Suscríbete a DeepL Pro para editar este documento sobre conceptos de IDS, Firewall y Honeypots

Suscríbete a DeepL Pro para poder editar este documento.
Entra en www.DeepL.com/pro para más información.
Certificado Ethical Hacker v10https://www.ethicalhackx.comfb.com/ethicalhackx

Certificado Ethical Hacker v10https://www.ethicalhackx.comfb.com/ethicalhackx
Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx
v10
Capítulo 1fi: Evasión de IDS, Firewall y Honeypots

Resumen de la tecnología
Conceptos de IDS, Firewall y Honeypot
Como la conciencia de la seguridad cibernética y de redes aumenta día a día,
es muy importante entender los conceptos básicos de Sistema de Detección
de Intrusos/Sistema de Defensa (IDG), así como Sistema de Prevención de
Intrusos (IPG). IDG e IPG a menudo crean confusión, ya que ambos módulos
son creados por múltiples proveedores y las diferentes terminologías
utilizadas para definir los conceptos técnicos son también las mismas. A
veces la misma tecnología puede ser utilizada para la detección y prevención
de alguna amenaza.
Al igual que otros productos, Cisco también ha desarrollado una serie de
soluciones para implementar IDG/IPG para la seguridad de la red. En la
primera fase de esta sección, se discutirán diferentes conceptos antes de pasar
a las diferentes metodologías de implementación.
Sistemas de detección de intrusos (IDS)
La colocación del sensor dentro de una red diferencia la funcionalidad del
IPG sobre el IDG. Cuando el sensor se coloca en línea con la red, es decir, la
entrada/salida común de un segmento específico de la red termina en una
interfaz de hardware o lógica del sensor y sale de la segunda interfaz de
hardware o lógica del sensor, entonces cada paquete será analizado y pasará a
través del sensor sólo si no contiene nada malicioso. Al eliminar el tráfico
malicioso del tráfico, la red de confianza o un segmento de la misma puede
protegerse de amenazas y ataques conocidos. Este es el funcionamiento
básico del Sistema de Prevención de Intrusos (IPG). Sin embargo, la
instalación en línea y la inspección del tráfico pueden provocar un ligero
retraso. IPG también puede convertirse en un único punto de fallo para toda
la red. Si se utiliza el modo'fail-open', el tráfico bueno y malicioso será
permitido en caso de cualquier tipo de falla dentro del sensor IPG. De manera
similar, si se configura el modo de'cierre por fallo', todo el tráfico IP se
reducirá en caso de fallo del sensor.

v10
v10
Figura 1£-01. Despliegue en línea de IPC Cencor

Si se instala un sensor en la posición que se muestra a continuación, se
enviará una copia de cada paquete al sensor para analizar cualquier actividad
maliciosa.
Figura 1£-0£. Despliegue de Cencor CA IDC

En otros medios, el sensor, funcionando en modo promiscuo, realizará la
detección y generará una alerta si es necesario. Como el flujo normal de
tráfico no se ve perturbado, no se introducirá ningún retraso de extremo a
extremo mediante la implementación de IDG. La única desventaja de esta
configuración es que IDG no podrá impedir que los paquetes maliciosos
entren en la red porque IDG no controla la ruta general del tráfico.
La siguiente tabla resume y compara varias características de IDG e IPG.
Característica IPS IDS

Not in-line with la
En con los red.
Posicionamient red. Recibe el
línea
o

v10
v10
Cada paquete pasa por ella. copia de cada paquete.

Modo En línea/tapón Promiscuo
Introduce un retraso porque No introduce retraso
cada paquete es analizado porque no está en línea
Retraso
antes de ser reenviado al con la red.
destino.
Ves. Si el sensor está caído,
puede caer así como el tráfico
malicioso que entra en la red, Sin impacto en el
¿Punto de fallo? dependiendo de uno de los tráfico ya que IDG no
dos modos configurados en está en línea con la red
él, a saber, fail-open o fail-
close.
Ves. Al reducir el tráfico IDG no puede detener
malicioso, los ataques pueden directamente un
¿Habilidad reducirse fácilmente en la red. ataque. Sin embargo,
para Si se despliega en modo TAP, ayuda a algunos
mitigar un obtendrá una copia de cada dispositivos en línea
ataque? paquete pero no puede como IPG a dejar caer
mitigar el ataque. cierto tráfico para
detener un ataque.
No. Como IDG recibe
Ves. Puede modificar el
¿Puede hacer tráfico reflejado, sólo
tráfico IP de acuerdo a un
manipulación puede realizar la
conjunto definido de reglas.
de paquetes? inspección.
Tabla 1£-01. Comparación IDC/IPC
Manera de detectar una
intrusión
Cuando un sensor analiza el tráfico en busca de algo extraño, utiliza
múltiples técnicas basadas en las reglas definidas en el sensor IPG/IDG. Las
siguientes herramientas y técnicas pueden ser utilizadas en este sentido:
● IDG/IPG basado en firmas
● IDG/IPG basado en políticas
● IDG/IPG basado en anomalías
● IDG/IPG basado en la reputación
IDS/IPS basados en firmas: Una firma busca una cadena específica o
v10
v10
en un solo paquete o secuencia de paquetes para detectar la anomalía. Los

módulos Cisco IPG/IDG, así como los firewalls de última generación, vienen
con firmas digitales precargadas que pueden utilizarse para mitigar los
ataques ya descubiertos. Cisco actualiza constantemente el conjunto de firmas
que también necesita cargar en un dispositivo el administrador de red.
No todas las firmas están habilitadas de forma predeterminada. Si alguna
firma está generando una alerta para el tráfico que se pretende permitir
debido a algunas necesidades de negocio, el administrador de red necesita
ajustar el módulo IPG/IDG para que no se generen falsos positivos generados
para el tráfico legítimo.
IDS/IPS basados en políticas: Como su nombre indica, el módulo IDG/IPG
basado en políticas funciona en función de la política o GOP de una
organización. Por ejemplo, si una organización tiene una política de
seguridad que cada sesión de gestión con dispositivos de red, así como
dispositivos finales, no debe iniciarse a través del protocolo TELNET. Es
necesario definir en los sensores una regla personalizada que especifique esta
política. Si está configurado en IPG, cada vez que el tráfico de TELNET llega
al IPG, se generará una alerta seguida de la caída de paquetes. Si se
implementa en un sensor basado en IDG, entonces se generará una alerta para
él, pero el tráfico sigue fluyendo porque IDG funciona en modo promiscuo.
IDS/IPS basados en anomalías: En este tipo, se crea una línea de base para
un tipo específico de tráfico. Por ejemplo, después de analizar el tráfico, se
observa que cada minuto se crean sesiones TCP semiabiertas. Después de
decidir la línea de base, digamos s5 conexiones TCP semiabiertas en un
minuto, asumiendo que el número de conexiones TCP semiabiertas ha
aumentado a 15O, entonces, basado en esta anomalía, IPG dejará caer las
conexiones semiabiertas adicionales y generará una alerta para ello.
IDS/IPS basados en la reputación: Si hay algún tipo de ataque global, por
ejemplo, ataques recientes de DDoG a servidores de twitter y algunos otros
sitios web sociales. Sería genial filtrar el tráfico conocido que resulta en la
propagación de estos ataques antes de que lleguen a la infraestructura crítica
de la organización. IDG/IPG basados en la reputación recopilan información
de los sistemas que participan en la correlación global. Los IDG/IPG basados
en la reputación incluyen descriptores relativos como URLs conocidas,
nombres de dominio, etc. Los servicios de correlación global son mantenidos
por Cisco Cloud Gervices.

v10
v10 La siguiente tabla resume las diferentes tecnologías utilizadas en IDG/IPG

v10
v10
junto con algunas ventajas sobre las desventajas.
IDS/IPS Ventajas Desventajas

Tecnología
No detecta los ataques que
pueden pasar por alto las
Mayor facilidad de
firmas. Puede requerir algunos
Basado en implementación y
ajustes para dejar de generar
firmas gestión.
falsos positivos para el tráfico
legítimo.
Puede detectar tráfico
malicioso basado en
Requiere una política de línea
la línea de base
de base. Diseños de redes
personalizada. Puede
Basado en grandes difíciles de basar.
negar cualquier tipo
anomalías Puede generar falsos positivos
de ataques recientes,
debido a una línea de base mal
ya que no se
configurada.
definirán en el ámbito
de la política de línea
de base.
Es una
Requiere la implementación
implementación
manual de la política.
simple con reliable
Cualquier cambio más leve
Basado en resulta
dentro de una red requerirá un
políticas dos. Todo lo demás
cambio en la política
fuera del ámbito de la
configurada en el módulo
política definida será
IPG/IDG.
eliminado.

v10
v10 Uses the information
provided by Cisco
Could Gervices Requiere actualizaciones
en el que los periódicas y participación en
Basado en sistemas comparten el servicio Cisco Could de
la su experiencia con los correlación global en el que
reputaci network los sistemas comparten su
ón ataques. La experiencia con otros
experiencia de miembros.
Gomeone se ha
convertido en la de
laprotection
organización.

v10
v10
Mesa 1£-0£. Comparicon de TEGHNIQUEC presentado por IDC/IPC

cencorc
Tipo de Intrusión Detección Syctemc
Dependiendo del escenario de red, los módulos IDG/IPG se despliegan en
una de las siguientes configuraciones:
● Detección de intrusos basada en host
● Detección de intrusos basada en la red
IPG/IDG basado en el host se despliega normalmente para la protección de
un equipo host específico, y trabaja en estrecha colaboración con el núcleo
del sistema operativo del equipo host. Crea una capa de filtrado y filtra
cualquier llamada de aplicación maliciosa al GO. Hay cuatro tipos principales
de IDG/IPG basados en host:
● Monitoreo de Sistemas de Archivo: En esta configuración,
IDG/IPG trabaja comparando estrechamente las versiones de los
archivos dentro de algún directorio con las versiones anteriores del
mismo archivo y comprueba si se ha producido alguna alteración o
cambio no autorizado dentro de un archivo. Los algoritmos hash se
utilizan a menudo para verificar la integridad de los archivos y
directorios, lo que da una indicación de los posibles cambios que se
supone que no deben producirse.
● Análisis de archivos de registro: En esta configuración,
IDG/IPG funciona analizando los archivos de registro del equipo host y
genera advertencias para los administradores del sistema que son
responsables de la seguridad del equipo. Están disponibles diversas
herramientas y aplicaciones que funcionan analizando los patrones de
comportamiento y correlacionándolos con los eventos reales.
● Análisis de conexiones: IDG/IPG trabaja monitoreando las
conexiones de red generales que se realizan con la máquina segura y
trata de averiguar cuáles de ellas son legítimas y cuántas no lo son.
Ejemplos de técnicas utilizadas son el escaneo de puertos abiertos,
conexiones TCP medio abiertas y maliciosas, etc.
● Detección de nivel de kernel: En esta configuración, el propio
núcleo de OG detecta el cambio dentro de los binarios del sistema, y
una anomalía en las llamadas del sistema para detectar los intentos de
intrusión en esa máquina.
La solución IPG basada en red funciona en línea con el dispositivo de borde
perimetral o con algún segmento específico de la red global. Como la
v10
v10 solución basada en la red funciona monitorizando el tráfico total de la red (o
los paquetes de datos en concreto), debería ser lo más rápido posible en
términos de potencia de procesamiento para que no se introduzca la latencia
total en la red. Dependiendo de

v10
v10
y series de IDG/IPG, puede utilizar una de las tecnologías anteriores en su

trabajo.
La siguiente tabla resume la diferencia entre la solución IDG/IPG basada en
host y en red:
Característica IDS/IPS basados en IDS/IPS basados en red

host
No es escalable ya que Altamente escalable.
Calificabilidad el número de hosts Normalmente se despliega
seguros aumenta en el perímetro de la
puerta de enlace.
Bajo. Más sistemas
Costo- Alto. Un par puede
significa más
efectividad monitorizar toda la red.
módulos IDG/IPG
Capaz de verificar si un
Sólo capaz de generar una
Capacidad ataque fue exitoso o no
alerta de ataque
Debe tener un alto poder
Poder de Se utiliza la potencia
de procesamiento para
procesami de procesamiento del
superar los problemas de
ento dispositivo host.
latencia
Mesa 1£-05. Hoct-baced vc. Colución IDC/IPC en red.
Cortafu
egos
La función principal de usar un dispositivo dedicado llamado cortafuegos en
el borde de la red corporativa es el aislamiento. Un cortafuegos impide la
conexión directa de la LAN interna con Internet o con el mundo exterior. Este
aislamiento se puede realizar de múltiples maneras, pero sin limitarse a ellas:
Un dispositivo de Capa que utiliza una Lista de Acceso para restringir
el tipo específico de tráfico en cualquiera de sus interfaces.
Un dispositivo Layer fi que utiliza el concepto de VLANs o VLANs
Privadas (PVLAN) para separar el tráfico de dos o más redes.
Un dispositivo host dedicado con software instalado en él. Este
dispositivo host, que también actúa como proxy, filtra el tráfico
deseado mientras permite el tráfico restante.
Aunque las características anteriores proporcionan aislamiento en cierto
v10
v10 sentido, las siguientes son las pocas razones por
las que se prefiere un
dispositivo de cortafuegos dedicado (ya sea en hardware o software) en
entornos de producción:

v10
Certificado Ethical Hacker Suscríbete a DeepL Pro para poder editar este documento.
https://www.ethicalhackx.com fb.com/ethicalhackx
v10 Entra en www.DeepL.com/pro para más información.
Riesg Protección por cortafuegos

os
Los cortafuegos intentan categorizar la red en
diferentes partes. Una parte se considera una
parte confiable de la LAN interna. La Internet
pública y las interfaces conectadas se consideran
una parte no confiable. De manera similar, los
servidores a los que acceden las entidades no
Acceso por parte de
confiables están ubicados en un segmento
entidades no
especial conocido como zona desmilitarizada
confiables
(DMZ). Al permitir sólo el acceso específico a
estos servidores, como el puerto PO del servidor
web, el firewall oculta la funcionalidad del
dispositivo de red, lo que dificulta que un
atacante entienda la topología física de la red.
Una de las características interesantes del
cortafuegos dedicado es su capacidad para
inspeccionar el tráfico más allá del nivel de IP y
Inspección de
de puerto. Mediante el uso de certificados
DeepPacket y
digitales, los cortafuegos de próxima generación
explotación de
disponibles hoy en día pueden inspeccionar el
protocolos
tráfico hasta la capa 7. Un cortafuegos también
puede limitar el número de conexiones
TCP/UDP establecidas y semiabiertas para
mitigar los ataques DDoG.
Al implementar AAA local o al usar servidores
Control de acceso ACG/IGE, el firewall puede permitir el tráfico
basado en la política AAA.
Antivirus y Mediante la integración de módulos IPG/IDP
protección contra con firewall, los datos maliciosos pueden ser
datos infectados detectados y filtrados en el borde de la red para
proteger a los usuarios finales.
Mesa 1£-04. Función de Mitigación de Rick de Firewall
Aunque el cortafuegos proporciona grandes características de seguridad,
como se explica en la tabla anterior, cualquier mala configuración o mal
diseño de la red puede acarrear graves consecuencias. Otro factor decisivo
v10
v10
importante de la implementación de un cortafuegos en el diseño de la red

actual depende de si los objetivos empresariales actuales pueden soportar las
siguientes limitaciones:
La mala configuración y sus consecuencias: La función principal de un

v10
v10
es proteger la infraestructura de red de una manera más elegante que los

dispositivos tradicionales de capas/Z. Dependiendo de los diferentes
proveedores y sus técnicas de implementación, es necesario configurar
muchas características para que un firewall funcione correctamente.
Algunas de estas características pueden incluir Traducción de Dirección
de Red (NAT), Listas de Acceso (ACL), políticas de base AAA y así
sucesivamente. La mala configuración de cualquiera de estas
características puede dar lugar a la fuga de activos digitales, lo que puede
tener un impacto financiero en las empresas. En resumen, los dispositivos
complejos como el cortafuegos también requieren un conocimiento
profundo de los equipos junto con el enfoque general de la
implementación.
Soporte de Aplicaciones y Servicios: La mayoría de los firewalls utilizan
diferentes técnicas para mitigar los ataques avanzados. Por ejemplo, la
NAT es una de las características más utilizadas en los cortafuegos, y se
utiliza para mitigar los ataques de reconocimiento. En situaciones en las
que se utiliza la infraestructura de red para soportar aplicaciones a medida,
puede ser necesario reescribir toda la aplicación para que funcione
correctamente con los nuevos cambios de red.
Latencia: Al igual que la implementación de NAT en una ruta añade un
retardo de extremo a extremo, el cortafuegos, junto con las funciones de
procesamiento pesado, añaden un retardo notable a través de la red.
Aplicaciones como Voz sobre IP (VOIP) pueden requerir una
configuración especial para su manejo.
Otro factor importante que debe tenerse en cuenta al diseñar las políticas de
seguridad de la infraestructura de red es el enfoque por capas, en lugar de
basarse en un único elemento. Por ejemplo, considere el siguiente escenario:

v10
v10
Figura 1£-05. Pocición de Firewall en un entorno de PRODUCCIÓN

La figura anterior muestra un escenario típico de GOHO y un entorno
corporativo de tamaño medio en el que toda la infraestructura de red está
soportada por un par de routers y conmutadores. Si se supone que el
cortafuegos de borde es el punto central de la implementación de seguridad,
entonces cualquier ligera mala configuración puede resultar en ataques a gran
escala. En general, se sigue un enfoque de seguridad por capas, y el paquete
pasa por múltiples controles de seguridad antes de llegar al destino deseado.
La posición del cortafuegos varía en diferentes variantes de diseño. En
algunos diseños, se coloca en el router perimetral de la corporación mientras
que en otros se coloca en el borde de la red como se muestra en la última
figura. Irrelevante para la posición, es una buena práctica implementar la
seguridad por capas en la que algunas de las características como el reenvío
de ruta inversa unicast, listas de acceso, etc. están habilitadas en el router
perimetral. Características como la inspección profunda de paquetes y las
firmas digitales coinciden en el cortafuegos. Si todo se ve bien, el paquete
puede llegar a la dirección de destino deseada.
Los cortafuegos de capa de red permiten o reducen el tráfico IP basándose en
la información de las Capas s y 4. Un router con lista de acceso configurada
en sus interfaces es un ejemplo común de firewall de capa de red. Aunque
son muy rápidos en su funcionamiento, los cortafuegos de capa de red no
realizan técnicas de inspección profunda de paquetes y detectan cualquier
actividad maliciosa.
Además de actuar como la primera línea de defensa, los cortafuegos de capa
de red también se despliegan dentro de los segmentos internos de la LAN
para mejorar la seguridad y el aislamiento en capas.
Arquitectura del cortafuegos
1. Baction Hoct
Bastion Host es un sistema informático que se sitúa entre la red pública y la
privada. Se pretende que sea el punto de cruce por el que pase todo el tráfico.
Ciertas funciones y responsabilidades se asignan a este equipo para que las
realice. El host Bastión tiene dos interfaces, una conectada a la red pública y
la otra conectada a la red privada.

v10
v10
Figura 1£-04. Baction Hoct

ß. Subred blindada
Gubnet con pantalla se puede configurar con un cortafuegos con tres
interfaces. Estas tres interfaces están conectadas con la red privada interna, la
red pública y la zona desmilitarizada (DMZ). En esta arquitectura, cada zona
está separada por otra zona, por lo que el compromiso de una zona no
afectará a otra zona.
Figura 1£-05. Cubnet VERDE

S. Cortafuegos multi-
homed
Cortafuegos multi-homed referido a dos o más redes donde cada interfaz está
conectada a su red. Aumenta la eficiencia y la fiabilidad de una red. Un
cortafuegos con dos o más interfaces permite una mayor subdivisión.

v10
v10
Figura 1£-0ð. Cortafuegos multihomed

Zona Desmilitarizada (DMZ)
Los cortafuegos basados en zonas IOG son un conjunto específico de reglas
que pueden ayudar a mitigar los ataques de seguridad de nivel medio en
entornos en los que la seguridad también está pensada para ser implementada
a través de enrutadores. En los cortafuegos basados en zonas (ZBF), las
interfaces de los dispositivos se colocan en diferentes zonas únicas como
(interior, exterior o DMZ) y luego se aplican políticas en estas zonas. Las
convenciones de nomenclatura para zonas deben ser más fáciles de entender
para que sean útiles en el momento de la resolución de problemas.
Los ZBFs también utilizan el filtrado por estado, lo que significa que si la
regla se define para permitir que el tráfico provenga de una zona, digamos
dentro de otra zona como DMZ, entonces el tráfico de retorno se permitiría
automáticamente. Se puede permitir el tráfico de diferentes zonas utilizando
políticas que permitan el tráfico en cada dirección.
Una de las ventajas de aplicar políticas en zonas en lugar de interfaces es que
cuando se requieren nuevos cambios a nivel de la interfaz, simplemente se
eliminan o añaden políticas en una zona en particular.
ZBF puede utilizar el siguiente conjunto de características en su
implementación:
● Inspección Gtateful
● Filtrado de paquetes
● Filtrado de URL
● Cortafuegos transparente
● Esta figura muestra el escenario
explicado anteriormente:
v10
v10
Figura 1£-07. CICGO IOC Cortafuegos de Zonas CGENARIO

Tipo de Firewall
1. Filtrado de paquetes Firewall
Packet Filtering Firewall incluye el uso de listas de acceso para permitir o
denegar el tráfico basado en la información de la capa s y de la capa 4. Cada
vez que un paquete llega a la interfaz de un dispositivo de capa configurado
por ACL, comprueba si hay coincidencia en un ACL (empezando por la
primera línea de ACL). Usando una ACL extendida en un dispositivo Cisco,
la siguiente información puede ser usada para hacer coincidir el tráfico:
● Dirección de origen
● Dirección de destino
● Puerto de origen
● Puerto de destino
● Tiene características adicionales como sesiones establecidas por TCP,
etc.
Esta tabla muestra las ventajas y desventajas del uso de técnicas de filtrado de
paquetes:
Ventajas Desventajas
No puede mitigar los ataques de
falsificación de IP. Un atacante
Facilidad de implementación puede poner en peligro los
mediante el uso de declaraciones activos digitales falsificando la
de permiso y denegación. dirección de origen IP en una de
las declaraciones de permiso de
v10
v10
la directiva

v10
v10
LCA
Menor uso intensivo de la Difícil de mantener cuando el
CPU que las técnicas de tamaño de ACLG crece
inspección profunda de
paquetes
Configurable en casi todas No se puede implementar el
las IOGs de Cisco filtrado basado en los estados de
sesión.
Gcenarios en los que se utilizan
puertos dinámicos, será necesario
Incluso un dispositivo de
abrir una serie de puertos en ACL
gama media puede realizar
que también pueden ser utilizados
un filtrado basado en ACL
por usuarios malintencionados.
Mesa 1£-05. Ventajas y desventajas del filtrado por PAGKETTES Teghniquec
ß. Cortafuegos de puerta de enlace de nivel Gircuit
El cortafuegos de la pasarela de nivel de circuito funciona en la capa de
sesión del modelo OGI. Capturan el paquete para monitorizar Handshaking
TCP, con el fin de validar si las sesiones son legítimas. Los paquetes
enviados al destino remoto a través de un cortafuegos de nivel de circuito
parecen haberse originado en el gateway.
s. Cortafuegos a nivel de aplicación
Application Level Firewall puede trabajar en la capa s hasta la capa 7 del
modelo OGI. Normalmente, un software especializado o de código abierto
que se ejecuta en un servidor de gama alta actúa como intermediario entre el
cliente y la dirección de destino. Como estos cortafuegos pueden operar hasta
la capa 7, es posible un control más granular de los paquetes que entran y
salen de la red. De manera similar, se vuelve muy difícil para un atacante
obtener la vista de topología de una red interna o de confianza porque las
solicitudes de conexión terminan en los cortafuegos de aplicaciones/proxy.
Algunas de las ventajas y desventajas de usar cortafuegos de
aplicaciones/proxy son:
El control granular del tráfico es Como proxy y aplicación, los
posible utilizando información de firewalls funcionan con software.
hasta la capa 7 del modelo OGI. Es posible que se requiera una
máquina de muy alta calidad para
v10
v10
cumplir con todos los requisitos

computacionales.
La conexión indirecta entre los Al igual que la NAT, no todas las

dispositivos finales hace que sea aplicaciones tienen soporte para
muy difícil generar un ataque. cortafuegos proxy y es posible que
se realicen pocas modificaciones.

v10
v10
ser necesario en las aplicaciones

actuales
arquitectura.
El registro detallado es posible ya Es posible que se necesite otro
que en cada sesión interviene el software para la función de
cortafuegos como intermediario. registro, que requiere una potencia
de procesamiento adicional.
Se puede utilizar cualquier Junto con la potencia
hardware disponible en el mercado computacional, puede ser necesario
para instalar y ejecutar cortafuegos un alto nivel de almacenamiento en
proxy en él. diferentes escenarios.
Tabla 1£-0ð. Ventajas y desventajas de APPLIGATION/PROXY Firewallc
4. Cortafuegos de Incpección de Multicapas de Estado
Como su nombre lo indica, esto guarda el estado de las sesiones actuales en
una tabla conocida como base de datos de estado. La inspección gtateful y los
cortafuegos que utilizan esta técnica normalmente niegan cualquier tráfico
entre interfaces confiables y no confiables. Siempre que un dispositivo final
de una interfaz de confianza desee comunicarse con alguna dirección de
destino adjunta a la interfaz no fiable del cortafuegos, su entrada se realizará
en una tabla de base de datos llena de estados que contiene información de
las capas s y Z. La siguiente tabla compara las diferentes características de los
cortafuegos basados en inspecciones de estado.
Ayuda a filtrar el tráfico inesperado Unable to mitigar los ataques a
la capa deUnable to
aplicación
Puede implementarse en una amplia Excepto TCP, otros protocolos no
gama de routers y cortafuegos tienen información de estado bien
definida para ser utilizada por el
cortafuegos.
Puede ayudar a mitigar los ataques Las aplicaciones Gome pueden
de denegación de servicio (DDoG) usar más de un puerto para una
operación exitosa. La revisión de la
arquitectura de la aplicación puede
ser necesaria para trabajar después
de la implementación de un
cortafuegos basado en inspección
v10
v10
de estado.
Tabla 1£-07. Ventajas y desventajas de Ctateful INCPEGTION baced Firewallc

J. Trancparent firewallc
La mayoría de los cortafuegos discutidos anteriormente funcionan en la capa s
y más allá.

v10
Los cortafuegos transparentes funcionan exactamente igual que las técnicas

mencionadas anteriormente, pero las interfaces del propio cortafuegos son de
capa Z en la naturaleza. Las direcciones IP no están asignadas a ninguna
interfaz, piense en ello como un switch con puertos asignados a alguna
VLAN. La única dirección IP asignada al cortafuegos transparente es para
fines de gestión. Del mismo modo, como no hay adición de saltos adicionales
entre dispositivos finales, el usuario no podrá estar al tanto de ninguna nueva
adición a la infraestructura de red y las aplicaciones hechas a medida pueden
funcionar sin ningún problema.
6. Nueva Generación (NGFW) firewallc
NGFW es un término relativamente nuevo usado para los últimos cortafuegos
con el conjunto de características avanzadas. Este tipo de cortafuegos
proporciona características de seguridad en profundidad para mitigar las
amenazas conocidas y los ataques de malware. Un ejemplo de firewalls de
última generación es la serie AGA de Cisco con servicios FirePOWER.
NGFW proporciona una visibilidad completa de los usuarios del tráfico de la
red, dispositivos móviles, comunicación de datos de máquina virtual (VM) a
VM, etc.
7. Perconal Firewallc
Personal Firewall es también conocido como cortafuegos de escritorio, ayuda
a los usuarios finales de los ordenadores personales de los ataques generales
de los intrusos. Los cortafuegos de Guch parecen ser una gran línea de
defensa de seguridad para los usuarios que están constantemente conectados
a Internet a través de DGL o módem de cable. Los cortafuegos personales
ayudan proporcionando filtrado de entrada y salida, controlando la
conectividad a Internet desde y hacia el ordenador (tanto en modo de dominio
como de grupo de trabajo) y alterando al usuario para cualquier intento de
intrusión.
Maceta
Los honeypots son los dispositivos o sistemas que se despliegan para atrapar
a los atacantes que intentan obtener acceso no autorizado al sistema o a la red
a medida que se despliegan en un entorno aislado y son monitoreados.
Normalmente, los honeypots se despliegan en DMZ y se configuran de forma
idéntica en un servidor. Cualquier sonda, malware, infección, la inyección
será detectada inmediatamente de esta manera ya que las honeypots parecen
ser una parte legítima de la red.
v10
v10
Tipo de Honeypotc
1. Honeypotc de alta interacción
Los Honeypots de alta interacción están configurados con una serie de
servicios que básicamente permiten perder el tiempo de un atacante y obtener
más información.

v10
v10
de esta intrusión. Múltiples honeypots pueden ser desplegados en una sola

máquina física para ser restaurados en caso de que el atacante haya
comprometido el honeypot.
ß. Honeypotc de baja interacción
Los Honeypots de baja interacción están configurados para entretener sólo los
servicios que son comúnmente solicitados por los usuarios. El tiempo de
respuesta, la menor complejidad y la escasez de recursos hacen que el
despliegue de honeypot de baja interacción sea más fácil en comparación con
los honeypots de alta interacción.
Detección de honeypotc
La lógica básica de la detección de un honeypot en una red es la de sondear
los servicios. El atacante suele crear un paquete malicioso para analizar los
servicios que se ejecutan en el sistema y la información de puertos abiertos y
cerrados. Estos servicios pueden ser HTTPG, GMTPG o IMAPG o bien. Una
vez que el atacante extrae la información, puede intentar construir una
conexión, el servidor actual completará el proceso de apretón de manos de
tres vías, pero la negación de apretón de manos indica la presencia de un
honeypot. Las herramientas Gend-Gafe Honeypot Hunter, Nessus y Hping
pueden utilizarse para detectar honeypots.

v10
v10
IDS, Firewall y Honeypot System

Herramientas de detección de intrusos
Esnifar
Gnort es un sistema de prevención de intrusiones de código abierto que
ofrece las soluciones de defensa de red en tiempo real más eficaces y
completas. Gnort es capaz de realizar análisis de protocolo, análisis de
paquetes en tiempo real y registro. También puede buscar y filtrar contenido,
detectar una amplia variedad de ataques y sondas, incluyendo
desbordamientos de búfer, escaneos de puertos, sondas GMB y mucho más.
Gnort también se puede utilizar en varias formas, incluyendo un rastreador de
paquetes, un registrador de paquetes, un dispositivo de registro de archivos
de red, o como un sistema completo de prevención de intrusiones en la red.
Regla de esnifar
Las reglas son un criterio para realizar la detección de amenazas y
vulnerabilidades en el sistema y la red, lo que lleva a la ventaja de la
detección de día cero. A diferencia de las firmas, las reglas se centran en
detectar las vulnerabilidades reales. Hay dos maneras de obtener las reglas de
Gnort:
1. Regla de los suscriptores de Gnort
Z. Regla de la Comunidad Gnort
No hay mucha diferencia entre la regla de los suscriptores de Gnort y la regla
de la Comunidad. Sin embargo, las reglas de suscripción se actualizan con
frecuencia y también se actualizan en el dispositivo. Requiere una suscripción
de pago para obtener actualizaciones en tiempo real de las reglas de Gnort.
Las normas comunitarias son actualizadas por la Comunidad Gnort, que
contiene todas las normas como el conjunto de normas de los abonados, pero
no se actualizan rápidamente como lo hace la norma de los abonados.
Las reglas Gnort se componen de dos secciones lógicas: -
1. La cabecera de la regla
La cabecera de la regla contiene la acción de la regla, el protocolo, las
direcciones IP de origen y destino y las máscaras de red, así como la
información de los puertos de origen y destino.
ß. La opción de la regla
La sección de opciones de reglas contiene mensajes de alerta e información
sobre las partes del paquete que deben inspeccionarse para determinar si se
debe tomar la acción de la regla.
v10
v10
Gategoriec de Snort Rulec

Las reglas Gnort se clasifican en diferentes categorías y se actualizan con
frecuencia mediante

v10
v10
TALOG. Algunas de estas categorías son

La categoría de reglas de detección de aplicaciones incluye las reglas de
supervisión del control del tráfico de determinadas aplicaciones. Estas reglas
controlan el comportamiento y las actividades de red de estas aplicaciones.
app-detect.rules
La categoría de Reglas de la Lista Negra incluye la URL, dirección IP, DNG y
otras reglas que se han determinado como un indicador de actividades
maliciosas.
reglas de la lista negra
La categoría Navegadores incluye la regla para la detección de
vulnerabilidades en ciertos navegadores.
navegador-
chrome.rules
navegador-
firefox.rules
navegador-ie.rules
navegador-webkit
navegador-otros
navegadores-plugins
La categoría Reglas del sistema operativo incluye reglas que buscan
vulnerabilidades en los JO.
os-Golaris
os-windows
os-mobile
os-Linux
os-otros
De manera similar, hay una serie de categorías y tipos de reglas.
Otras herramientas de detección de
intrusionesc ZoneAlarm PRO
Firewall ZO15 Comodo
Firewall
Cisco AGA 1OOOV Firewall de nube
Firewallc para
móviles Firewall
Android Firewall
v10
v10
IP
Herramienta Honeypot
KFGensor

v10
v10
GPECTER
PatriotBox
HIHAT

v10
v10
Evasión de la IDS
Ataque de inserción
Un ataque de inserción es un tipo de evasión de un dispositivo IDG
aprovechándose de creer ciegamente en el IDG. El sistema de detección de
intrusos (IDG) asume que los paquetes aceptados también son aceptados por
los sistemas finales, pero puede haber una posibilidad de que el sistema final
rechace estos paquetes. Este tipo de ataque está especialmente dirigido a
dispositivos IDG basados en Gignature para insertar datos en IDG.
Aprovechando la vulnerabilidad, el atacante puede insertar paquetes con una
mala suma de comprobación o valores TTL y enviarlos fuera de orden. IDG y
host final, al volver a ensamblar el paquete, pueden tener dos flujos
diferentes. Por ejemplo, un atacante puede enviar la siguiente secuencia.
Figura 1£-08. ACOPLAMIENTO DE Incerción en IDC

Evasión
La evasión es una técnica destinada a enviar el paquete que es aceptado por el
sistema final y que es rechazado por el IDG. Las técnicas de evasión están
destinadas a explotar al huésped. Un IDG que por error rechaza un paquete
de este tipo pierde su contenido por completo. Un atacante puede
aprovecharse de esta condición y explotarla.

v10
v10
Figura 1£-09. IDC Evacion

Ataque de
fragmentación
La fragmentación es el proceso de dividir el paquete en fragmentos. Esta
técnica se adopta generalmente cuando el dispositivo IDG y el dispositivo
Host están configurados con diferentes tiempos de espera. Por ejemplo, si un
IDG está configurado con 1O Geconds de timeout mientras que el host está
configurado con ZO seconds de timeout. Los paquetes que se envían con un
retardo de 15 segundos pasan por alto el reensamblado en IDG y se vuelven a
ensamblar en el host.
De manera similar, se envían fragmentos que se superponen. En la
fragmentación superpuesta, un paquete con el número de secuencia TCP
configurado se superpone. El reensamblado de estos paquetes solapados y
fragmentados se basa en la configuración de un sistema operativo. El OG del
host puede usar fragmentación original mientras que los dispositivos IOG
pueden usar fragmentos subsecuentes usando offset.
Ataque de denegación de servicio (DoS)
Los dispositivos IDG pasivos son inherentemente Fail-open en lugar de Fail-
Closed. Aprovechando esta limitación, un atacante puede lanzar un ataque de
denegación de servicio en la red para sobrecargar el sistema IDG. Para
realizar un ataque DoG sobre IDG, un atacante puede tener como objetivo el
agotamiento de la CPU o técnicas de agotamiento de la memoria para
sobrecargar el IDG. Esto se puede hacer enviando paquetes especialmente
diseñados que consumen más recursos de CPU o enviando un gran número
de paquetes fuera de orden fragmentados.
0bfuscante
La ofuscación es el cifrado de la carga útil de un paquete destinado a un
v10
v10
destino de manera que el host de destino pueda revertirlo, pero el IDG no

pudo. Se explotará al usuario final sin alertar al IDG utilizando diferentes
técnicas tales como

v10
v10
codificación, encriptación, polimorfismo. Los protocolos encriptados no son

inspeccionados por el IDG a menos que el IDG esté configurado con la clave
privada utilizada por el servidor para encriptar los paquetes. De manera
similar, un atacante puede usar código shell polimórfico para crear patrones
únicos para evadir IDG.
Falsa Generación Positiva
La generación de falsa alarma positiva es la indicación falsa de un resultado
inspeccionado para una condición o póliza en particular. Un atacante puede
generar un gran número de alertas positivas falsas enviando un paquete
Guspicious para manipular y ocultar un paquete malicioso real dentro de este
paquete para pasar IDG.
Empalme de sesiones
Gession Gplicing es una técnica en la que el atacante divide el tráfico en un
gran número de paquetes pequeños de forma que ni siquiera un solo paquete
activa la alerta. Esto también puede hacerse mediante una técnica ligeramente
diferente, como añadir un retardo entre paquetes. Esta técnica es efectiva para
aquellos IDG que no reensamblan la secuencia para comprobar si hay
intrusión.
Técnica de Evasión Unicode
La técnica de evasión Unicode es otra técnica en la que el atacante puede
utilizar Unicode para manipular IDG. Unicode es básicamente una
codificación de caracteres tal y como se ha definido anteriormente en la
sección Codificación HTML. La conversión de cadena utilizando caracteres
Unicode puede evitar la coincidencia de firmas y alertar al IDG, evitando así
el sistema de detección.
Mapa Mental

v10

v10
v10
Evasión de cortafuegos
Identificación del cortafuegos
La identificación del cortafuegos incluye la toma de huellas dactilares del
cortafuegos para obtener información confidencial, como puertos abiertos,
información de versión de servicios que se ejecutan en una red, etc. Esta
información es extraída por diferentes técnicas tales como escaneo de
puertos, Fire-walking, captura de banners, etc.
Escaneo de puertos
El escaneo de puertos es el procedimiento de examen más utilizado por los
atacantes para identificar el puerto abierto. Sin embargo, también puede ser
utilizado por los usuarios legítimos. El escaneo de puertos no siempre
conduce a un ataque ya que es usado por ambos. Sin embargo, es un
reconocimiento de la red que se puede utilizar antes de un ataque para
recopilar información. En este escenario, los paquetes especiales se envían a
un host en particular, cuya respuesta es examinada por el atacante para
obtener información sobre los puertos abiertos.
Caminata de fuego
El Fire-walking es una técnica en la que un atacante, utilizando un paquete
ICMP, descubre la ubicación del cortafuegos y el mapa de red probando la
petición de eco ICMP con valores TTL superiores a uno por uno. Ayuda al
atacante a encontrar una serie de saltos.
Agarre de pancartas
Agarrar un banner es otra técnica en la que se agarra la información de un
banner. Diferentes dispositivos como enrutadores, cortafuegos y servidores
web incluso muestran un banner en la consola después de iniciar sesión a
través de FTP, telnet. La información del proveedor de un dispositivo de
destino y la información de la versión del firmware se pueden extraer
mediante la captura de banners.
Spoofing de direcciones IP
Como se definió anteriormente en el libro de trabajo, el Gpoofing de
direcciones IP es una técnica que se utiliza para obtener acceso no autorizado
a las máquinas mediante la falsificación de la dirección IP. Un atacante se
hace pasar por cualquier máquina de usuario enviando paquetes IP
manipulados con una dirección IP falsa. El proceso de Gpoofing implica la
modificación del encabezado con una dirección IP de origen falsificada, una
suma de comprobación y los valores del pedido.
v10
v10
Enrutamiento de la fuente
El enrutamiento Gource es una técnica para enviar el paquete a través de la
ruta seleccionada. En

v10
v10
esta técnica se utiliza para intentar el spoofing IP como un host legítimo con
la ayuda del enrutamiento Gource para dirigir el tráfico a través de la ruta
idéntica a la ruta de la víctima.
Pasando Técnicas
Bypaccing Bloqueado Sitec Ucing IP Addrecc
En esta técnica, se accede al sitio web bloqueado en una red utilizando la
dirección IP. Considere un cortafuegos que bloquee el tráfico entrante
destinado a un dominio en particular. Se puede acceder a él escribiendo la
dirección IP en la URL en lugar de introducir el nombre del dominio, a
menos que la dirección IP también esté configurada en la lista de control de
acceso.
Bypacc Bloqueado Sitec Ucing Proxy
El acceso a los sitios web bloqueados utilizando un proxy es muy común.
Hay una gran cantidad de soluciones proxy en línea disponibles que ocultan
su dirección IP real para permitir el acceso a sitios web restringidos.
Bypaccing a través del Método de Túnelización IGMP
La tunelización ICMP es una técnica de inyección de datos arbitrarios en la
carga útil del paquete de eco y reenviados al host de destino. Funciones de
tunelización ICMP en peticiones de eco ICMP y paquetes de respuesta.
Básicamente usando este túnel ICMP, la comunicación TCP es tunelizada
sobre petición ping y responde porque el campo de carga útil de los paquetes
ICMP no es examinado por la mayoría de los cortafuegos, mientras que
algunos administradores de red permiten ICMP debido al propósito de
resolución de problemas.
Bypaccing Firewall a través del método HTTP Tunneling
El tunelado HTTP es otra forma de eludir los cortafuegos. Considere una
compañía con un servidor web que escucha el tráfico en el puerto 8O para el
tráfico HTTP. El tunelado HTTP permite al atacante, a pesar de la restricción
impuesta por el cortafuegos, encapsular los datos en el tráfico HTTP. El
firewall permitirá el puerto 8O; un atacante puede realizar varias tareas
escondiéndose en HTTP, como el uso de FTP a través del protocolo HTTP.
Herramienta para túneles HTTP
HTTPort
HTTHost
Túnel de red Guper
Túnel HTTP
v10
v10
Bypassing a través del método de túnel SSH

v10
v10
OpenGGGH es un protocolo de encriptación que se utiliza básicamente para

proteger el tráfico de diferentes amenazas y ataques como escuchas,
secuestros, etc. La conexión GGH es utilizada principalmente por las
aplicaciones para conectarse a los servidores de aplicaciones. El atacante
utiliza OpenGGGH para encriptar el tráfico y evitar ser detectado por
dispositivos de seguridad.
Evitar el cortafuegos a través de sistemas externos
El desvío a través del sistema externo es un proceso de secuestro de una
sesión de un usuario legítimo de una red corporativa al que se le permite
conectarse a una red externa. Un atacante puede olfatear fácilmente el tráfico
para extraer la información, robar el GessionID, las cookies y hacerse pasar
por él para evitar el cortafuegos. Un atacante también puede infectar el
sistema externo utilizado por el usuario legítimo con malware o troyanos para
robar información.
Mapa Mental

v10
v10
Contramedidas de Evasión IDS/Firewall

Manejar y prevenir una técnica de evasión es un gran desafío. Hay muchas
técnicas que dificultan que un atacante evite ser detectado. Estas técnicas
defensivas y de monitoreo aseguran el sistema de detección para proteger la
red y tener más control sobre el tráfico. Algunas de estas técnicas son la
resolución de problemas básicos y la monitorización, mientras que otras se
centran en la configuración adecuada de IPG/IDG y cortafuegos.
Inicialmente, observe y resuelva los problemas del cortafuegos de la siguiente
manera
Escaneo de
puertos Banner
agarrando Fire-
walking
Enrutamiento de
direcciones IP con
enrutamiento
Gource
Evitar el cortafuegos utilizando IP
en la URL Intentar un ataque de
fragmentación
Solución de problemas de comportamiento
mediante servidores proxy Solución de
problemas mediante tunelización ICMP
Vaciar los puertos no utilizados, puertos que están asociados con ataques
conocidos, en un paso efectivo para prevenir la evasión. Realizar un análisis
en profundidad, restablecer la sesión maliciosa, actualizar parches,
despliegue de IDG, normalización de paquetes fragmentados, aumentar la
caducidad de TTL, bloquear el paquete caducado de TTL, reensamblar el
paquete en IDG, endurecer la seguridad y aplicar correctamente las políticas
son pasos efectivos para prevenir estos ataques.

v10
v10
Laboratorio 1fi-1: Configuración de Honeypot en Mindows

Server fiŒ16
Máquinas:
Windows Gerver ZO16 (VM)
Windows 7 (VM)
Software utilizado:
HoneyBots (https://www.atomicsoftwaresolutions.com)
Procedimiento:
1. Abrir la aplicación HoneyBot
Z. Obtener parámetros o dejarlos por
defecto
Figura 1£-10. APLICACIÓN DE

s. Adaptadores HoneyBot
Gelect

v10
v10
Figura 1£-11. APLICACIÓN DE HoneyBot

4. Ir al equipo con Windows 7
5. Abrir Símbolo del sistema
6. Generar tráfico como FTP.

v10
v10
Figura 1£-1£. Símbolo del sistema (Ventana

7)
7. Volver a Windows Gerver ZO16 y observar los registros
Figura 1:15. Logc
8. Haga clic en Puerto > Z1 y seleccione el registro

v10
Figura 1£-14. logc
P. Haga clic con el botón derecho del ratón y vaya a Ver detalles

v10
v10
Figura 1:15. Detalle de la

entrada del registro
O. Haga clic con el botón derecho del ratón y vaya a Reverse DNG

v10
v10
Figura 1£-1ð. Reversión

DNC

v10
v10
Figura 1£-17. Reversión DNC

v10

Suscríbete a DeepL Pro para editar este documento sobre conceptos de IDS, Firewall y Honeypots

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Suscríbete a DeepL Pro para editar este documento sobre conceptos de IDS, Firewall y Honeypots

Caricato da

Copyright:

Formati disponibili

Suscríbete a DeepL Pro para poder editar este documento.

Entra en www.DeepL.com/pro para más información.

Certificado Ethical Hacker v10https://www.ethicalhackx.comfb.com/ethicalhackx

Capítulo 1fi: Evasión de IDS, Firewall y Honeypots

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 1£-01. Despliegue en línea de IPC Cencor

Figura 1£-0£. Despliegue de Cencor CA IDC

Característica IPS IDS

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Cada paquete pasa por ella. copia de cada paquete.

en un solo paquete o secuencia de paquetes para detectar la anomalía. Los

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

junto con algunas ventajas sobre las desventajas.

IDS/IPS Ventajas Desventajas

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Mesa 1£-0£. Comparicon de TEGHNIQUEC presentado por IDC/IPC

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

y series de IDG/IPG, puede utilizar una de las tecnologías anteriores en su

Característica IDS/IPS basados en IDS/IPS basados en red

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Riesg Protección por cortafuegos

importante de la implementación de un cortafuegos en el diseño de la red

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

es proteger la infraestructura de red de una manera más elegante que los

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 1£-05. Pocición de Firewall en un entorno de PRODUCCIÓN

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 1£-04. Baction Hoct

Figura 1£-05. Cubnet VERDE

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 1£-0ð. Cortafuegos multihomed

Figura 1£-07. CICGO IOC Cortafuegos de Zonas CGENARIO

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

cumplir con todos los requisitos

La conexión indirecta entre los Al igual que la NAT, no todas las

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

ser necesario en las aplicaciones

Tabla 1£-07. Ventajas y desventajas de Ctateful INCPEGTION baced Firewallc

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Los cortafuegos transparentes funcionan exactamente igual que las técnicas

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

de esta intrusión. Múltiples honeypots pueden ser desplegados en una sola

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

IDS, Firewall y Honeypot System

Gategoriec de Snort Rulec

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

TALOG. Algunas de estas categorías son

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 1£-08. ACOPLAMIENTO DE Incerción en IDC

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 1£-09. IDC Evacion

destino de manera que el host de destino pueda revertirlo, pero el IDG no

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

codificación, encriptación, polimorfismo. Los protocolos encriptados no son

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Bypassing a través del método de túnel SSH

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

OpenGGGH es un protocolo de encriptación que se utiliza básicamente para