CompTIA Security+ SY0-501 Cert Guide (Certification Guide) (201-250) .En - Es

||||||||||||||||||||
Tabla 5-2 Resumen de vulnerabilidades y ataques de programación
Vulnerabilidad Descripción
Colocado por los programadores, a sabiendas o sin darse cuenta, para eludir la autenticación normal, y
Puerta trasera
otros mecanismos de seguridad en el lugar.
desbordamiento Cuando un proceso almacena los datos fuera de la memoria que el desarrollador pretende.
de búfer
ejecución remota Cuando un atacante obtiene el control de un equipo de destino a través de algún tipo de
de código (RCE) vulnerabilidad, ganando el poder para ejecutar comandos en ese equipo remoto.
Cross-site
scripting (XSS) Explota la
inyección,
confianza
a navegador
menudo ende
losun
formularios
usuario enweb.
un sitio web a través del código
Cross-site Explota la confianza que tiene un sitio web en el navegador de un usuario, que se convierte en
falsificación de peligro y transmite comandos no autorizados a la página web.
petición (XSRF)
Cuando la inyección de código de entrada del usuario en los formularios web de base de datos no se filtra correctamente y es
ejecutado de manera incorrecta. inyección SQL es un ejemplo muy común.
salto de
Un método de acceso no autorizado de los padres (o peor), raíz de directorios.
directorio
Un grupo de ataques ejecutados en las vulnerabilidades en el software antes de que esas

Día cero
vulnerabilidades se sabe que el creador.
Los objetivos del examen CompTIA Security + no esperan que seas un programador, pero no esperamos que tenga un
conocimiento básico de los lenguajes de programación y metodologías para que pueda ayudar a asegurar las aplicaciones de
manera efectiva. Recomiendo un conocimiento básico de los lenguajes de programación utilizado para crear aplicaciones, como
Visual Basic, C ++, C #, Java y Python, así como lenguajes de programación basados en la web como HTML, ASP y PHP,
además de conocimiento de lenguajes de programación de bases de datos como SQL. Este conocimiento de la fundación le
ayudará no sólo en el examen, sino también como un administrador de seguridad cuando se tiene que actuar como enlace con el
equipo de programación, o si en realidad se está involucrado en la prueba de una aplicación.
Resumen del capítulo
Sin aplicaciones, un ordenador no hace mucho para el usuario. Desafortunadamente,
||||||||||||||||||||
||||||||||||||||||||
aplicaciones son a menudo la parte más vulnerable de un sistema. El hecho de que hay tantos de ellos y que provienen
de tantas fuentes puede hacer que sea difícil de implementar la seguridad efectiva aplicación. En este capítulo se dio
una base de métodos que puede utilizar para proteger sus programas.
La clave con la mayoría de las organizaciones es la de limitar el número de aplicaciones que se utilizan. El menor número de
aplicaciones, más fácil es para asegurar y, muy probablemente, los usuarios más productivos serán. Mencionamos la lista
blanca y lista negra de aplicaciones en este capítulo y en el Capítulo 4 Y estos métodos pueden ser muy eficaces. Sin embargo,
hay algunas aplicaciones que los usuarios no pueden prescindir. Un ejemplo es el navegador web. Edge, Internet Explorer,
Firefox, Chrome y Safari son muy ampliamente utilizado. Para los dispositivos móviles, Safari, Chrome y el navegador de
Android son comunes. Una regla general para los navegadores es estar atento a la última versión. Usted debe estar en la cima
de las actualizaciones de seguridad para la versión actual que está utilizando, pero siempre probar una nueva versión de un
navegador con mucho cuidado antes de su aplicación.
En general, las precauciones de seguridad del navegador incluyen la implementación de políticas, la formación de sus usuarios,
el uso de filtros de proxy y de contenido, y asegurar contra código malicioso. Más allá de eso, los diferentes navegadores tienen
sus propios métodos específicos de seguridad. Por ejemplo, cada uno tiene sus propios métodos para la gestión de las cookies,
que trabaja con sitios de confianza, el uso de complementos, apagar ActiveX y JavaScript, y estar pendiente de sesiones
encriptadas correctamente. Utilizar estos y otros métodos mencionados en el capítulo de los navegadores completamente
protegidas en los equipos cliente.
Otras aplicaciones pueden ser asegurados mediante la aplicación de control de cuentas de usuario (UAC), listas blancas
aplicaciones a través de la política, el uso de una fuerte protección de contraseña y cifrado de datos y el tráfico.
Como administrador de seguridad, por lo general trabaja con aplicaciones que ya se han
desarrollado para usted. Pero a veces, es posible que se meten en un cierto desarrollo mismo. Si
este es el caso, debe adherirse a los principios de la programación segura discutidos en este
capítulo. El ciclo de vida de desarrollo de software (SDLC) le da un proceso metódico de la
planificación, desarrollo, prueba, despliegue y mantenimiento de los sistemas y aplicaciones,
mientras que el mantenimiento de la confidencialidad, la preservación de la integridad y la
protección de la disponibilidad de los datos. Principios que debe invocar incluyen mínimo
privilegio, la defensa en profundidad, reduciendo al mínimo la superficie de ataque, y en su
defecto de forma segura. Para realmente hacer la mayor parte del SDLC, usted debe probar a
fondo, o por lo menos verificar que sus programadores han hecho. Negro-caja y caja blanca de
pruebas, caja de arena, pelusas,
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Aprender lo más que pueda acerca de los navegadores web y otras aplicaciones de uso común, tales como la suite de
Microsoft Office, para que pueda estar mejor preparados para protegerlos. Construir su conocimiento sobre las técnicas de
programación, incluyendo lenguajes de alto nivel como Visual Basic y C ++, y lenguajes basados en web, incluyendo HTML
y PHP. Mediante la combinación de los conocimientos de un administrador de sistemas y un programador, usted tendrá la
mejor oportunidad de asegurar sus sistemas y aplicaciones.
Capítulo revisar las actividades

Utilizar las características de esta sección para estudiar y revisar los temas de este capítulo.
Revisar los temas clave
Revisar los temas más importantes en el capítulo, señalado con el icono: tema clave en el margen exterior de la página. Tabla
5-3 enumera una referencia de estos temas clave y el número de página en la que se encuentra cada uno.
Tabla 5-3 Los temas clave para el Capítulo 5
Elemento Página
Descripción
clave de Tema Número
Figura 5-1 Microsoft Internet Explorer y Edge características de seguridad en el 130

Directiva de equipo local
políticas de Internet Explorer en la directiva GPO

Figura 5-3 132
Marketing-
Figura 5-4 Una conexión de servidor proxy en la configuración de un navegador 134
Figura 5-7 Ejecutar la política sólo aplicaciones de Windows especificado 141
Lista con viñetas principios de seguridad importantes para incorporar en el SDLC 147
Tabla 5-2 Resumen de vulnerabilidades y ataques de programación 159
Definir términos clave
Definir los siguientes términos clave de este capítulo, y compruebe sus respuestas en el glosario:
galletas, objetos compartidos localmente (LSO), Control de cuentas de usuario (UAC), la codificación segura
||||||||||||||||||||
||||||||||||||||||||
conceptos, ciclo de vida del software de desarrollo (SDLC), modelo cascada, modelo ágil, revisión de código seguro,
modelado de amenazas, pruebas de recuadro negro, pruebas de caja blanca, caja de arena, estructurado de excepciones
de manipulación (SEH), validación de entrada, pruebas de pelusa, desbordamiento de búfer , desbordamiento de enteros,
pérdida de memoria, referencia a un puntero nulo, dirección de diseño del espacio de la aleatorización (ASLR), la ejecución
remota de código (RCE), cross-site scripting (XSS), a través del sitio de falsificación de petición (XSRF), salto de directorio,
el ataque de día cero
Completar los escenarios del mundo real
Completar los escenarios del mundo real que se encuentran en el sitio web complementario ( www.pearsonitcertification.com/title/97807
). Va a encontrar un PDF que contiene el escenario y preguntas, así como el apoyo a los vídeos y simulaciones.
Preguntas de revisión
Responder a las siguientes preguntas de repaso. Compruebe sus respuestas con las respuestas correctas que siguen.
1 . ¿Qué combinación de teclas deben utilizarse para cerrar una ventana emergente?
A. De Windows + R
SI. Ctrl + Shift + Esc
C. Ctrl + Alt + Del
RE. Alt + F4
2 . ¿Qué protocolo se puede utilizar para asegurar el correo electrónico de inicio de sesión desde un cliente de Outlook
utilizando POP3 y SMTP?
A. SMTP
SI. SPA
C. SAVIA
RE. Intercambiar
3 . ¿Cuáles son dos maneras de asegurar un navegador web basado en Microsoft? (Seleccione los dos mejores respuestas.)
A. Establecer el nivel de seguridad de la zona Internet en Alta.
SI. Desactivar el bloqueador de pop-up.
C. Deshabilitar los controles ActiveX.
RE. Añadir sitios maliciosos a la zona de sitios de confianza.
4 . Montones y montones pueden verse afectados por cuál de los siguientes ataques?
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
A. desbordamientos de búfer
SI. rootkits
C. inyección SQL
RE. Cross-site scripting
5 . Como parte de su entrenamiento de concienciación de los usuarios, se recomienda que los usuarios eliminan cuál de los
siguientes cuando terminan acceder a Internet?
A. Mensajería instantánea
SI. Galletas
C. Las directivas de grupo
RE. Archivos temporales
6 . ¿Qué afirmación mejor se aplica al término applet de Java?
A. Disminuye la capacidad de uso de los sistemas habilitados para Internet.
SI. Es un lenguaje de programación.
C. Un navegador web debe tener la capacidad de ejecutar applets de Java.
RE. Se utiliza firmas digitales para la autenticación.
7 . ¿Cuál de los siguientes conceptos pueden facilitar la administración, pero puede ser víctima de un ataque malicioso?
A. zombies
SI. puertas traseras
C. desbordamiento de búfer
RE. Directiva de grupo
8 . En un intento de recopilar información sobre las actividades de un usuario, cuál de las siguientes serán utilizados por el
software espía?
A. Cookie de seguimiento
SI. cookie de sesión
C. Carrito de compras
RE. cookie persistente
9 . Lo que se sabe que cuando una secuencia de comandos web se ejecuta en su propio entorno y no interfiere con otros
procesos?
A. Cuarentena
SI. honeynet
||||||||||||||||||||
||||||||||||||||||||
C. Salvadera
RE. VPN
10 . ¿Cómo se puede entrenar a un usuario determinar fácilmente si una página web tiene un válido
¿certificado de seguridad? (Seleccione la mejor respuesta.)
A. Tener el contacto del usuario con el webmaster.
SI. Tener el control de usuario para HTTPS: //.
C. Haga que el usuario haga clic en el candado en el navegador y verificar el certificado.
RE. Haga que el usuario llame al ISP.
11 . Para codificar aplicaciones de una manera segura, ¿cuál es la mejor práctica para usar?
A. Cross-site scripting
SI. Flash de la versión 3
C. validación de entradas
RE. La versión HTML 5
12 . Una organización contrata a poner a prueba una aplicación que ha limitado el conocimiento de.
Se le da un nombre de usuario de la aplicación, pero no tienen acceso al código fuente. ¿Qué tipo de prueba que se
ejecuta?
A. Caja blanca
SI. De caja gris
C. Caja negra
RE. SDLC
13 . Se comprueba el registro de aplicación del servidor web y ves que alguien intentó
sin éxito para entrar en el siguiente texto en un campo de formulario HTML. La cual se intentó el ataque? prueba; etc /
passwd
A. inyección SQL
SI. inyección de código
C. inyección de comandos
RE. desbordamiento de búfer
14 . Un atacante se aprovecha de una vulnerabilidad en la programación que permite al

atacante para copiar más de 16 bytes a una variable de 16 bytes estándar. ¿Qué se está iniciando el ataque?
A. salto de directorio
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
SI. inyección de comandos
C. XSS
MI. ataque de día cero
15 . ¿Cuál es la mejor manera de prevenir los ataques de inyección SQL en aplicaciones web?
A. validación de entradas
SI. firewall basado en host
C. Añadir páginas HTTPS
RE. Actualizar el servidor web
dieciséis . ¿Cuál de los siguientes ataques utiliza un código de imagen JavaScript en un correo electrónico?
A. inyección SQL
SI. Cross-site scripting
C. Entre sitios de falsificación de petición
RE. salto de directorio
MI. referencia a un puntero nulo
17 . Cuál de las siguientes debe ocurrir primero en el desarrollo de software?
A. fuzzing
SI. Pruebas de penetración
C. revisión de código seguro
RE. La gestión de parches
18 . Usted es el administrador de seguridad para una compañía de desarrollo multimedia. Los usuarios son
en constante búsqueda de Internet para los medios de comunicación, información, gráficos, y así sucesivamente. Recibe
las quejas de varios clientes sobre las ventanas no deseadas que aparecen en sus pantallas. ¿Qué debe hacer?
A. Instalar el software antivirus.
SI. Instalar bloqueadores de ventanas emergentes.
C. Instalar protectores de pantalla.
RE. Instalar un firewall basado en host.
19 . De haber analizado lo que espera a ser el código malicioso. Los resultados muestran que
JavaScript está siendo utilizado para enviar datos al azar a un servicio separado en el mismo equipo. Lo que se ha
producido el ataque?
A. DoS
||||||||||||||||||||
||||||||||||||||||||
SI. inyección SQL
C. inyección LDAP
20 . ¿Cuál de las siguientes opciones describe mejor una contramedida de protección para SQL
¿inyección?
A. Validar la entrada del usuario en las aplicaciones basadas en la Web
SI. Instalación de un IDS para supervisar la red
C. La eliminación de las vulnerabilidades XSS
RE. La implementación de un servidor de seguridad entre Internet y el servidor de base de datos
21 . Ha implementado una técnica de seguridad, donde genera un sistema automatizado

datos de entrada aleatorios para probar una aplicación. ¿Qué has puesto en práctica?
A. XSRF
SI. fuzzing
C. Endurecimiento
RE. validación de entradas
22 . Muchos programas de terceros configuración de seguridad han desactivado por defecto. Que debería
usted como el administrador de seguridad hacer antes de implementar un nuevo software?
A. pruebas de penetración de red
SI. validación de entradas
C. listas blancas de aplicaciones
RE. Refuerzo de las aplicaciones
23 . Cuál de las siguientes permitirá la activación de una alerta de seguridad a causa de una
¿cookie de seguimiento?
A. aplicación anti-spyware
SI. El software anti-spam
C. servidor de seguridad basado en la red
RE. firewall basado en host
24 . servidores y aplicaciones de la organización están siendo auditados. Una de las TI

auditores pruebas de una aplicación como un usuario autenticado. ¿Cuál de los siguientes métodos de prueba se está
utilizando?
A. Caja blanca
SI. Pruebas de penetración
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
C. Caja negra
RE. De caja gris
25 . Cuál de las siguientes abarca la gestión de parches de aplicaciones?
A. La administración de políticas
SI. fuzzing
C. gestión de la configuración
RE. virtualización
Respuestas y Explicaciones
1 . RE. Alt + F4 es la combinación de teclas que se utiliza para cerrar una ventana activa. A veces está bien que haga clic en la X,
pero los creadores de malware son cada vez más inteligentes todo el tiempo; la X podría ser una trampa.
2 . SI. SPA (autenticación de contraseña segura) es un protocolo de Microsoft utilizado para autenticar clientes de correo
electrónico. S / MIME y PGP se pueden utilizar para asegurar las transmisiones de correo electrónico reales.
3 . A y C. Al aumentar el nivel de seguridad de la zona Internet en Alta, que emplean las garantías máximas para esa zona.
Los controles ActiveX pueden ser utilizados para propósitos maliciosos; deshabilitándolos lo hace para que no se
muestran en el navegador. La desactivación de un bloqueador de pop-up y la adición de sitios maliciosos a la zona de
sitios de confianza haría un navegador web basado en Microsoft (como Internet Explorer) menos seguro.
4 . A. Montones y montones son estructuras de datos que pueden verse afectadas por los desbordamientos de búfer. Los tipos de
valor se almacenan en una pila, mientras que los tipos de referencia se almacenan en un montón. Un codificador de ética
tratará de mantener estos funcionando de manera eficiente. Un codificador no ética intentará usar un desbordamiento de
búfer para afectar a montones y montones, que a su vez podría afectar a la aplicación en cuestión o el sistema operativo. El
desbordamiento de búfer podría ser iniciado por ciertos insumos y se puede prevenir mediante la comprobación de límites.
5 . SI. La mejor respuesta es cookies, que se pueden utilizar para la autenticación y seguimiento de la sesión y se pueden leer
como texto sin formato. Pueden ser utilizados por el software espía y pueden realizar un seguimiento de las personas sin
su permiso. También es aconsejable para eliminar los archivos temporales de Internet en lugar de archivos temporales.
6 . C. Para ejecutar applets de Java, un navegador web debe tener esa opción activada. Java aumenta la facilidad
de uso de los sistemas habilitados para Internet, y Java es un lenguaje de programación. No utiliza firmas
digitales para la autenticación.
7 . SI. Puertas traseras fueron creadas originalmente para facilitar la administración. Sin embargo, los atacantes
||||||||||||||||||||
||||||||||||||||||||
rápidamente descubrieron que podían usar estas puertas traseras para un ataque malicioso.
8 . A. Se utilizará una cookie de seguimiento, o mal utilizado por el spyware en un intento de acceder a las actividades de un
usuario. Las cookies de seguimiento son también conocidos como cookies del navegador o cookies HTTP, o simplemente
cookies. carritos de la compra se aprovechan de cookies para mantener el carrito de la compra fiable.
9 . C. Cuando una secuencia de comandos web se ejecuta en su propio entorno con el expreso propósito de no interferir con
otros procesos, se conoce como el funcionamiento en un entorno limitado. A menudo, la caja de arena se utiliza para crear
scripts de ejemplo antes de que se apliquen efectivamente. La cuarentena es un método usado para aislar los virus. Un
miel-net es una colección de servidores que se utilizan para atraer a los atacantes y aislarlos en una zona donde no pueden
hacer ningún daño. VPN es la abreviatura de red privada virtual, que permite la conexión de dos hosts de las redes remotas.
10 . C. En general, el usuario debe hacer clic en el candado en el navegador; esto mostrará el

información certificada. A menudo, la barra de direcciones tendrá diferentes colores como el fondo; por ejemplo, verde por
lo general significa que el certificado es válido, mientras que el rojo o rosa indica un problema. O bien, es posible que tenga
que hacer clic en el nombre del sitio web que aparece en la barra de direcciones justo antes de donde dice HTTPS para
averiguar la validez del certificado. Ponerse en contacto con el webmaster y llamar a la ISP consumen mucho tiempo, no
se hace fácilmente, y no es algo que un usuario final debe hacer. Aunque HTTPS: // puede decir a una persona que el
navegador está utilizando Protocolo de transferencia de hipertexto seguro, que no necesariamente determina si el
certificado es válido.
11 . C. validación de entrada es la mejor práctica utilizar al codificar aplicaciones. Esto es

importante en la creación de aplicaciones web o páginas web que requieren información que se ha introducido por el
usuario.
12 . SI. Una prueba de caja gris es cuando se le da una información limitada sobre el sistema que
están probando. probadores negro-box no se les da nombres de usuario, código fuente, o cualquier otra cosa, a pesar
de que puedan conocer la funcionalidad del sistema. probadores de caja blanca se dan nombres de usuarios, código
fuente, documentación, y mucho más. SDLC es sinónimo de ciclo de vida de desarrollo de software, de los cuales este
tipo de pruebas son sólo una parte.
13 . C. En este caso se introduce una orden, y el atacante estaba tratando de ganar

el acceso al archivo de contraseñas en el directorio / etc. Si el atacante trató de inyectar código, que no usaría comandos,
sino más bien PHP, ASP, o en otro idioma. inyecciones SQL se ejecutan en bases de datos por lo general, no formularios
HTML servidores web. desbordamientos de búfer tienen que ver con la memoria y cómo las aplicaciones utilizan la
misma.
14 . RE. Un desbordamiento de búfer puede iniciarse cuando una variable de cadena no está programado
correctamente, por ejemplo, si la variable permite más de la cantidad estándar de
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
bytes. salto de directorio es cuando un atacante utiliza comandos y código de acceso a directorios padre no autorizadas.
inyección de comandos es cuando se introducen los comandos y la sintaxis de comando en una aplicación o sistema
operativo. XSS o cross-site scripting es cuando se inyecta código en un formulario de la página para obtener información y
el acceso no autorizado. Cero ataques de día son los que no se sabe que los fabricantes de hardware / software cuando se
ponen en marcha.
15 . A. validación de entrada es la mejor manera de prevenir los ataques de inyección SQL en los servidores web
y servidores de base de datos (o combinaciones de los dos). ayuda firewalls basados en host en la prevención de ataques
a la red, pero no los ataques de este tipo necesariamente codificada. páginas HTTPS inician una transferencia segura de
datos, pero que no necesariamente se bloquean a cabo atacantes que planean sobre el uso de la inyección de SQL. La
actualización del servidor web es una buena idea, pero tendrá poco o ningún efecto sobre las formas que están escritas
por el programador web.
dieciséis . SI. cross-site scripting (XSS) puede ser iniciado en los formularios web oa través de correo electrónico. Eso
menudo utiliza JavaScript para la realización de sus medios. inyección SQL es cuando se inserta código (SQL basada) en
formas o bases de datos. Entre sitios de falsificación de petición (XSRF) es cuando el navegador de un usuario no
autorizado envía comandos a un sitio web, sin el consentimiento del usuario. salto de directorio es cuando un atacante
intenta obtener acceso a directorios superiores en un sistema operativo. Una referencia a un puntero nulo es una falta de
referencia de memoria que puede resultar en un error de memoria.
17 . C. Las respuestas anteriores, revisión de código seguro debe ocurrir primero en el SDLC. Eso
debe ser seguido por la formación de pelusa y la penetración de las pruebas, en ese orden. La gestión de parches es un
tema que se repite hasta que el software se encuentra con el final de su ciclo de vida.
18 . SI. Las ventanas que se están exhibiendo son más probables las ventanas emergentes. Estándar emergente
bloqueadores, evitará la mayoría de estos. El software antivirus de por sí no tiene emergente tecnología de bloqueo, pero
podría combinarse en una suite de software anti-malware que tiene la capacidad de bloqueo de pop-up. Salvapantallas no
afectarán a las sesiones de web de los usuarios. firewalls basados en host son una buena idea y evitarán los ataques, pero
desde un servidor de seguridad permitirá que las conexiones que hacen los usuarios a sitios web, que no pueden dejar
mensajes emergentes.
19 . RE. desbordamientos de memoria pueden ser iniciados por el envío de datos al azar a otros servicios en una
computadora. Mientras JavaScript se utiliza comúnmente en los ataques XSS, sino que también puede ser usado para crear
un desbordamiento de búfer. DoS es sinónimo de servicio de denegación de, que es cuando un ordenador envía muchos
paquetes a un servidor u otro sistema importante en la esperanza de hacer que el sistema falle. SQL e inyección LDAP no
utilizan JavaScript.
20 . A. validación de entrada es extremadamente importante cuando se trata de asegurar la programación. A

prevenir los ataques de inyección SQL, asegúrese de que los desarrolladores han probado a fondo de la página web
mediante la validación de entrada del usuario. Un IDS puede ayudar a detectar ataques a la red, pero es
||||||||||||||||||||
||||||||||||||||||||
No va a ayudar a prevenir la inyección de SQL. La eliminación de las vulnerabilidades XSS podrían acaba de pasar a ayudar
con todo tipo de inyección de código, pero no se puede estar seguro. Usted debe validar las entradas específicamente para
cada ataque. Un firewall puede dejar de algunos ataques basados en la red, pero no codificado ataques.
21 . SI. Fuzzing (o pruebas de pelusa) es cuando una persona, o más comúnmente una automatizado
sistema, entra datos aleatorios en una forma o aplicación en un esfuerzo para probarlo. XSRF (cross-site solicitud
falsificación, también abreviado como CSRF) es un exploit de un sitio web donde los comandos no autorizados se emiten
desde un usuario de confianza. Endurecimiento es el acto de obtener un sistema operativo o aplicación. validación de entrada
es cuando las formas y otras páginas web se comprueban para asegurarse de que van a filtrar los datos introducidos
correctamente, y se utiliza en conjunción con la formación de pelusa.
22 . RE. Usted debe emplear el endurecimiento de la aplicación. Esto significa que la actualización de la aplicación,
la configuración de contraseñas fuertes, la aplicación de políticas, si es necesario, y en general, la configuración de los
ajustes de la aplicación de forma segura. pruebas de penetración de red es cuando se utiliza un conjunto de herramientas
para ver si tiene una gran cantidad de puertos abiertos u otras vulnerabilidades. validación de entrada es cuando el código
de un formulario se comprueba para asegurarse de que los filtros de entrada de usuario correctamente. listas blancas de
aplicaciones es cuando sólo se permiten las aplicaciones específicas para ser ejecutado, por lo general impuesto por la
directiva del equipo.
23 . A. Anti-spyware se puede utilizar para activar las alertas de seguridad en caso de que el navegador web de un usuario
accede a una página web que incluye una cookie de seguimiento. El software anti-spam, posiblemente, puede desencadenar
alertas cuando un correo electrónico parece ser el spam (o simplemente moverlo a una carpeta de correo basura de forma
automática). Los cortafuegos pueden configurarse para enviar alertas a los administradores de seguridad, pero por lo general
se refieren a una dirección IP que intentó acceder a la red.
24 . RE. Este sería un ejemplo de las pruebas de caja gris. El auditor de TI no es un empleado
de la empresa (que es a menudo un requisito para las pruebas de caja blanca), sino más bien un consultor externo. Al ser un
consultor externo, el auditor de TI no se debe dar detalles confidenciales del sistema a ensayar. Sin embargo, el auditor se le
dio un verdadero inicio de sesión, por lo que el auditor no puede empleando la prueba de recuadro negro. Las pruebas de
penetración podría estar ocurriendo en este escenario así, esto es cuando un auditor, u otro experto en seguridad, pruebas
de conexiones de red de los servidores en busca de vulnerabilidades. Pero el escenario sólo se establece que el auditor está
probando una aplicación.
25 . C. Gestión de la configuración abarca la administración de parches aplicación y otra

formas de endurecimiento de un sistema operativo o aplicación. La administración de políticas se considera por separado, ya
que puede ser utilizado para endurecer o ablandar un sistema; Además, es mejor hacerlo en un servidor- que afecta a muchos
sistemas a la vez. Fuzzing (o pruebas de pelusa) es el acto de proporcionar datos aleatorios a un programa de ordenador,
para ello, de forma automatizada. virtualización
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
es el término utilizado para referirse a cualquier plataforma de computación virtual.
||||||||||||||||||||
||||||||||||||||||||
CAPÍTULO 6
Elementos de diseño de red
Este capítulo cubre los siguientes temas: Diseño de red: Esta sección analiza los elementos de diseño de red tales como
conmutadores y routers, y la forma de proteger los dispositivos de los ataques. También habla de la traducción de
direcciones de red, lo privado frente a direcciones IP públicas, y los rangos de IP privadas. A continuación, aprenderá
acerca de las zonas de la red y las interconexiones; por ejemplo, intranets y extranets, zonas desmilitarizadas, LANs y
WANs,. Por último, se aprende cómo defenderse contra los ataques a sus redes de área local virtuales, subredes IP y
dispositivos de telefonía.
Nube de Seguridad y Defensa del servidor: A medida que el tiempo avanza, más y más organizaciones de transferencia de
parte o la totalidad de sus recursos del servidor y de la red a la nube. Esto crea muchos riesgos y vulnerabilidades
potenciales que deben ser abordados por el administrador de seguridad y por el proveedor de la nube. Copa entre estas
preocupaciones son los servidores, donde se almacena y acceder a todos los datos. Servidores de todo tipo deben ser
endurecidas y protegidos de una variedad de ataques en un esfuerzo por mantener la integridad de los datos se vean
comprometidos. Sin embargo, los datos también deben estar disponibles. Y así, el administrador de seguridad debe lograr un
equilibrio entre la seguridad y disponibilidad. En esta sección, discutiremos las amenazas basadas en la nube, así como las
vulnerabilidades de servidores, y cómo combatirlos eficazmente.
Hasta ahora nos hemos centrado en el sistema informático individual. Vamos a ampliar nuestro perímetro de seguridad para
incluir ahora las redes. diseño de la red es extremadamente importante en un entorno informático seguro. Los elementos que
se incluyen en su diseño pueden ayudar a defenderse contra muchos tipos diferentes de ataques a la red. Ser capaz de
identificar estas amenazas de la red es el siguiente paso en la seguridad de su red. Si se aplican las estrategias y los
mecanismos de defensa incluidos en este capítulo, usted debería ser capaz de evitar la mayoría de los ataques basados en la
red. La seguridad de la infraestructura de servidores y la red de una organización es el trabajo del administrador de
seguridad, pero con la inclusión de la nube de las áreas de responsabilidad podría variar. Esto depende de la cantidad de la
nube es proporcionado por un tercero, y cuánto de la nube es una empresa privada dentro del dominio de la organización. Ya
se trate de proveedores de la nube, el sitio de recursos basados en la nube, servidores de propiedad local y redes, o una
mezcla de todos ellos, el administrador de seguridad tiene una gran cantidad de funciones y debe comprender no sólo la
seguridad, sino la forma en red de la computadora funciona realmente. Para ahorrar tiempo y ser más eficiente, este capítulo
y en los siguientes tres capítulos se supone que tiene un conocimiento práctico de las redes y
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
que tiene la certificación CompTIA Network + o experiencia acorde. De aquí en adelante, este libro va a funcionar dentro de esa
forma de pensar y se referirá directamente al lado de la seguridad de las cosas a medida que avanza. Así, se puso su sombrero
de redes y vamos a empezar con el diseño de la red.
Fundación Temas
Diseño de red
Un diseño adecuado de la red es crítico para la seguridad de sus equipos de red, servidores y clientes. Es necesario para
proteger los dispositivos de red para que ellos y los clientes que se conectan entre sí estarán menos sujetos a los ataques.
La implementación de la traducción de direcciones de red y adecuadamente empleando rangos de IP privada estándar
pueden proteger aún más todos los ordenadores de una red estándar. Un conocimiento profundo de las zonas de la red
ejemplo, redes de área local y desmilitarizadas también zonas es importante en el diseño de una red segura. Por último,
mediante la utilización de subredes, redes de área local virtuales (VLAN), control de acceso a redes y dispositivos de
telefonía seguras, puede poner los toques finales a su diseño de red.
Empezamos con una rápida revisión del modelo OSI, que la mayor parte de los temas en Los capítulos 6
mediante Capítulo 9 (Y más allá) se refieren a. Esto no es un discurso completo en el modelo OSI, que es un concepto
pre-requisito para el examen de seguridad +, pero debería ayudar a estimular su cerebro y ayudar a empezar a pensar desde
un punto “OSI” de vista.
El modelo OSI
El modelo de referencia de Interconexión de Sistemas Abiertos (OSI) fue creada y ratificada por la Organización
Internacional de Normalización (ISO), y está representada en los Estados Unidos por el American National
Standards Institute (ANSI). Este modelo fue creado para hacer lo siguiente:
Explicar las comunicaciones de red entre los hosts en la LAN o WAN. Presentar un sistema de clasificación para
series de protocolos de comunicación (tales como TCP / IP). Muestran cómo los diferentes conjuntos de protocolos
pueden comunicarse entre sí. Recuerde, existían las comunicaciones de red antes de la creación del modelo OSI. Este
modelo es una forma abstracta de categorizar las comunicaciones que ya existen. El modelo fue diseñado para ayudar a
los ingenieros a comprender lo que está sucediendo con los protocolos de comunicación detrás de las escenas. Se
divide en siete capas, como se muestra en Tabla 6-1 . Se enumeran numéricamente, que sería considerado de abajo
hacia arriba.
||||||||||||||||||||
||||||||||||||||||||
Tabla 6-1 Capas OSI Modelo
Capa Unidad de
Nombre Uso
# Medición
capa 1 Capa
medio físico y eléctrico para la transferencia de datos. Los bits
fisica
capa 2 Capa de Establece, mantiene y decide cómo la transferencia de datos se lleva
marcos
enlace de datos a cabo sobre la capa física.
capa 3 Capa de Dedicado a información de conmutación de enrutamiento y

red entre diferentes máquinas, las redes y las internetworks. Los paquetes
Gestiona y garantiza una transmisión sin errores de los mensajes entre

Segmentos
hosts a través de direccionamiento lógico y asignación de puerto
capa 4 Capa de (TCP)
(orientado a la conexión). También gestiona las conexiones de
transporte datagramas
streaming, las que se permite un número n de errores (sin conexión).
(UDP)
Regula el establecimiento, la terminación, y la sincronización de las

capa 5 capa de
sesiones previstas en el sistema operativo en la red y entre los hosts. mensajes
sesión
Traduce el formato de datos del emisor al receptor y proporciona

capa 6 Capa de
mecanismos para la conversión de código, compresión de datos y cifrado mensajes
presentación
de archivos.
capa 7 Capa de Donde comienza la creación de mensajes. protocolos de usuario final, tales como FTP, HTTP,
SMTP y el trabajo en esta capa. mensajes
aplicación
Nota
Las “unidades de medida” en la tabla también se denominan unidades de datos de protocolo, o PDUs.
Podríamos llenar un libro sobre el modelo OSI, pero de nuevo, la comprensión de este modelo es un requisito previo para el
examen de seguridad +, por lo que no se tratarán en profundidad aquí. Sin embargo, por lo menos, usted debe saber las capas,
su orden, y sus descripciones básicas. En
Capítulo 7 , “ Protocolos de red y amenazas ,”Vamos a aplicar protocolos diferentes a sus respectivas
capas OSI.
Si usted siente que necesita para poner al día el modelo OSI más, y luego considerar los libros de redes informáticas (por
ejemplo, Red +) libros de texto, artículos en línea y redes clases de entrenamiento.
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Nota
Para una breve introducción sobre el modelo OSI y sus capas, consulte el enlace siguiente:
http://www.davidlprowse.com/articles/?p=905
Además, considere uno de los muchos libros de CompTIA Network + disponibles, o consulte los siguientes enlaces:
http://www.cisco.com/cpress/cc/td/cpress/fund/ith/ith01gb.htm#xtocid166844
https://support.microsoft.com/en-us/help/103884
Nota
También verá el modelo TCP / IP (también conocido como conjunto de protocolos de Internet). Esto es similar al
modelo OSI con nombres ligeramente diferentes para las capas: aplicación, transporte, internet, y enlace. En
comparación con el modelo OSI, no tiene en cuenta la mayor parte de la capa física y la capa de aplicación
equivale a capas de aplicación, presentación y sesión de la OSI.
Dispositivos de red
Vamos a comenzar con los dispositivos de red comunes en las redes de hoy en día. dispositivos de conexión central, tales
como interruptores necesitan ser asegurados y supervisado; que tiene sentido debido a que estos dispositivos se conectan
todos los equipos de la red de área local. Ataques dirigidos a estos dispositivos podrían hacer caer toda la LAN. Y, por
supuesto, los routers son extremadamente importantes cuando se interconectan las LAN y subredes. Debido a que muchos
de los routers tienen direcciones IP visible en Internet, debe ampliar su línea de pensamiento para incluir el acto de
asegurar estos dispositivos de los atacantes que podrían venir de fuera y dentro de su red. Es más común que los
atacantes estarán situadas fuera de la red, pero nunca se sabe!
Cambiar
conmutación Ethernet fue desarrollado en 1996 y rápidamente se afianzó como el método preferido para la creación de
redes, tomando el lugar de los dispositivos obsoletos como hubs y puentes de estilo older-. Esto es debido a la mejora del
interruptor en las áreas de transferencia de datos y la seguridad. Un interruptor es un dispositivo de conexión central a la que
todos los equipos de la red pueden conectarse. El interruptor se regenera la señal que recibe y (por defecto) envía la señal a
la computadora individual correcta. Esto se hace mediante la asignación de direcciones MAC ordenadores a su puerto físico
correspondiente. Esto efectivamente puede hacer todo un puerto
||||||||||||||||||||
||||||||||||||||||||
entidad individual, asegurando así la red, y aumentando exponencialmente el rendimiento de datos. Interruptores emplean una
matriz de cableado de cobre en lugar del circuito de tronco estándar, y la inteligencia para pasar información al puerto correcto.
El examen CompTIA Security + se centra en las capas 2 y 3 interruptores. Switches de capa 2 trato con solamente direcciones
MAC. Pero conmutadores de capa 3 trabajan con direcciones MAC y direcciones IP. La mayor parte de los ataques que se
discuten son la capa 2 a base, pero no todos. Estar listo para fijar en ambas capas.
A pesar de que el interruptor es una excelente solución topológica basada en estrella, algunas implicaciones de
seguridad están todavía involucrados con ella. Estos incluyen pero no se limitan a lo siguiente:
inundaciones MAC: Interruptores han establecido la memoria reservada para almacenar la dirección MAC de la tabla de
traducción de puerto, conocida como la tabla de memoria de contenido direccionable, o tabla CAM . Una inundación MAC
puede enviar numerosos paquetes al conmutador, cada uno de los cuales tiene una dirección MAC de origen diferente, en un
intento de utilizar la memoria en el interruptor. Si esto tiene éxito, el interruptor cambia de estado a lo que se conoce como el
modo a prueba de abierto . En este punto, los datos de emisiones en todos los puertos del conmutador del modo en un cubo
hace. Esto significa dos cosas: primero, que el ancho de banda se reduce drásticamente, y en segundo lugar, que una
persona traviesa ahora podría utilizar un analizador de protocolos, que se ejecuta en modo promiscuo, para capturar datos
desde cualquier otro ordenador de la red. Uff! Algunos interruptores están equipados con la capacidad de apagar un puerto en
particular si recibe una cierta cantidad de paquetes con direcciones MAC diferente origen. Por ejemplo, interruptores Cisco
utilizan la seguridad de puerto, que puede actuar como un guardia de inundación (entre muchas otras cosas). Esto restringe
un puerto mediante la limitación y la identificación de direcciones MAC de los equipos permitido acceder a ese puerto. Un
switch Cisco define tres categorías de direcciones MAC seguras como parte de una política sobre el interruptor. Otros
proveedores tienen como políticas que pueden ser implementadas. Otras formas de asegurar contra inundaciones MAC y
limitan la conectividad incluyen el uso de control de acceso de red (NAC) y dispositivos 802.1X conformes, VLAN dinámicas, y
sistemas de detección de intrusiones en la red (NIDS), y el seguimiento de forma consistente la red. Hablamos más de estos
conceptos más adelante en este capítulo y en los capítulos siguientes.
Suplantacion de MAC: MAC spoofing es cuando un atacante máscaras de la dirección MAC del adaptador de red de su
ordenador con otro número. Esto puede permitir a un usuario para disfrazar su equipo como otro sistema de encendido o
apagado, la red, engañando así un interruptor y posiblemente ganar acceso. característica de seguridad de los puertos de
Cisco NAC y sistemas u otras soluciones de capa de aplicación puede ayudar a prevenir esto, pero en el caso de una
información privilegiada de intentar esto, un router también debe ser configurado para aceptar sólo una cierta cantidad de
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Las direcciones MAC estáticas. Este ataque puede ser mejorada mediante el inicio de un ataque de hambre DHCP, que
funciona mediante peticiones DHCP con direcciones MAC de radiodifusión imitan, que en última instancia puede agotar el
espacio de direcciones disponible para los servidores DHCP. Para ayudar a prevenir contra de esto, permite la inspección
DHCP. Además, cerrar cualquier conmutador interfaces de significado no es de confianza, los que se conectan fuera de la red
o cortafuegos. Por último, otro ataque relacionado es la suplantación ARP, que es cuando un atacante puede hacer un
sistema aparece como el host de destino solicitada por el emisor, con evidentes repercusiones. Esto se puede prevenir
mediante: la reducción del tiempo de una entrada permanece en la caché ARP-en el conmutador y en los clientes;
comprobación / eliminación de entradas ARP estáticas; usando inspección dinámica ARP; y también mediante el Snooping
DHCP antes mencionada.
Nota
Al realizar cambios en los switches de Cisco, interruptores o cualquier otro, siempre recuerde guardar (y una copia de
seguridad) los archivos de configuración apropiados. Mantener un registro de lo que se aplicaron cambios a los que los
archivos de copia de seguridad.
la manipulación indebida física: Algunos conmutadores tienen un puerto de gestión dedicado. Si esto es accesible, una
persona podría perpetuar una variedad de ataques a la red. Incluso si un solo puerto del conmutador es accesible, una
persona podría intentar el mencionado ataque por inundación MAC y pasar de allí. Además, si una persona para obtener
acceso físico al switch, esa persona podría intentar bucle, que es cuando los dos extremos de un cable de red están
conectados al mismo conmutador; o, cuando dos interruptores de conexión en cascada están conectados entre sí con dos
cables de conexión en lugar de sólo uno. Además, el potencial de bucle inadvertida crece con cada interruptor adicional.
Para evitar bucles de cable, considere un entorno conmutado jerárquica; por ejemplo, uno en el que todos los
conmutadores de LAN se conectan a un el interruptor de “master”, también conocido como un interruptor de agregación.
Algunos conmutadores vienen con la capacidad de activar la protección del bucle dentro del firmware. Por ejemplo, se
debe permitir que el Spanning Tree Protocol (STP) esto es, si no está activado por defecto. STP-así como el STP rápido y
STP-múltiple construye una topología libre de bucles lógico para la red Ethernet y pueden reconocer y conexiones
inadecuadas de derivación. Sin embargo, es preferible evitar que el problema ocurra físicamente en el primer lugar. Así,
recuerda que el interruptor tiene que ser protegido físicamente, muy probablemente en una sala de servidores con algún
tipo de sistema de control de acceso y todos los interruptores deben ser revisadas para bucles de cable interno. Suena tan
simple, pero es comúnmente pasado por alto por muchas empresas. Además, deshabilitar los puertos no utilizados en el
interruptor, si el interruptor tiene esa capacidad. Por último, emplear una buena gestión de cable: puertos y cables de
etiquetas y organizar cables de conexión según sea necesario.
Puente
||||||||||||||||||||
||||||||||||||||||||
Un puente se utiliza para separar una LAN física (o WLAN) en dos redes lógicas, o para conectar dos
redes entre sí. Esto se hace conectando físicamente el dispositivo a las dos secciones de la red. El
dispositivo será entonces buscar direcciones MAC en ambos lados y mantener esa información
almacenada en una tabla. Si una persona en un lado del puente quiere comunicarse en la red, el
puente decidirá si la información debe cruzar al otro lado. Esto elimina algunos de radiodifusión. Un
puente menudo reside en la capa de enlace de datos. Tenga en cuenta que desde el advenimiento de
conmutación, los puentes se han vuelto mucho menos común. Sin embargo, es posible verlos conecta
dos secciones de la red entre sí. Dicho esto, la seguridad se convierte en vital. Por ejemplo, en un
entorno en puente inalámbricos, es posible optar por un túnel IPsec entre dispositivos. Sin embargo,
Router
Un router conecta dos o más redes para formar una interconexión de redes. Los routers se utilizan en redes LAN,
WAN en, ya través de Internet. Este dispositivo enruta los datos de un lugar a otro, por lo general por medio de la
dirección IP y números de red IP. Routers funcionan en la capa de red del modelo OSI.
Routers vienen en varias formas: los routers SOHO, los dispositivos de cuatro puertos utilizados en los hogares y oficinas
pequeñas que se conectan a Internet; servidores, que se pueden configurar para encaminar si tienen varios adaptadores de red y
el software adecuado; y, más comúnmente, los dispositivos de recuadro negro, como los routers de Cisco. Los routers son
inteligentes e incluso tienen su propio sistema operativo; por ejemplo, los routers Cisco utilizan IOS (sistema operativo
Internetwork). A menudo, una DMZ se establecerá dentro de un router, especialmente dispositivos router SOHO; hablamos más
sobre la zona de distensión más adelante en este capítulo.
Los routers pueden ser víctima de ataques de denegación de servicio, intrusiones de malware y otros ataques (cubierto en mayor
profundidad más adelante en este capítulo) y se pueden propagar estos ataques y malware a otros tramos de la red. Los routers
pueden ser protegidos de los ataques de las siguientes maneras:
configuración del router Secure: La mayoría de los routers son inherentemente inseguro fuera de la caja. Esto significa que
puede ser que tengan una contraseña por defecto en blanco, nombre de usuario fácil de adivinar, las direcciones IP
conocidas, tablas de encaminamiento por defecto, y así sucesivamente. La primera línea de defensa es para configurar el
nombre de usuario y una contraseña para que sea difícil de adivinar y difícil de romper. Esto significa contraseñas muy
complejas. Ir a través de todas las posibles configuraciones por defecto y bloquearlos antes de poner el router en una red
activa.
Los cortafuegos: Los cortafuegos protegen contra y filtrar el tráfico no deseado. Un servidor de seguridad puede ser un
dispositivo individual o puede ser añadido a un router. Por ejemplo, la mayoría de los routers SOHO tienen un firewall
integrado, y enrutadores de servicios integrados de Cisco (ISR) incluyen la
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Cisco IOS Firewall. routers regulares y routers con funcionalidad de firewall, tienen la capacidad de bloquear ciertos tipos de
tráfico. Por ejemplo, si ICMP ha sido bloqueado, entonces usted podría no ser capaz de hacer ping al router. Puede
encontrar más información sobre los servidores de seguridad en Capítulo 8 , “ Red de seguridad perimetral ".
Los sistemas de prevención de intrusiones (IPS): Un IPS no sólo detectará sino también prevenir los ataques
dirigidos, ataques de botnets, malware y otras formas de ataques. Un IPS puede instalarse como una solución basada
en la red o en un equipo en particular y algunos routers. Más información sobre IPS de la red (e IDS) soluciones se
pueden encontrar en Capítulo 8 .
conectividad VPN segura: En lugar de conectar directamente a un router, redes privadas virtuales permiten para
conexiones seguras utilizando IPsec y SSL. conectividad VPN segura se puede implementar con los routers SOHO
(para organizaciones más pequeñas), concentradores VPN (para organizaciones más grandes), routers avanzados
como los ofrecidos por Cisco, o con un servidor de Windows. Puede encontrar más información acerca de las VPN en
Capítulo 10 , “ Seguridad física y autenticación Modelos ".

El filtrado de contenidos: bloques de filtrado de contenido o restringe el acceso a ciertos sitios web. Esto proporciona
protección contra sitios web maliciosos. El filtrado de contenidos se puede instalar como un servidor, como un aparato (por
ejemplo, una pasarela de seguridad web), o en algunos routers. Puede encontrar más información acerca de los filtros de
contenido en Capítulo 8 .
listas de control de acceso (ACL): listas de control de acceso permiten o deniegan el tráfico. Estos pueden ser
implementados en un router y dentro de los cortafuegos; en algunos casos los dos será el mismo dispositivo físico. Por
ejemplo, una ACL se puede configurar para negar cualquier conexión de equipos que tienen direcciones IP fuera el número de
red. ACL juegan un papel decisivo en el bloqueo de ataques de suplantación de identidad. Puede encontrar más información
acerca de las ACL en Capítulo 11 , “ Métodos y Modelos de Control de Acceso ".
Nota
Los objetivos de CompTIA Security + también se refieren a la unidad de servicio de canal (CSU) y la unidad de servicio
de datos (ESD). Estos dos dispositivos-combinan a menudo como un CSU / DSU
- están dentro del ámbito de los equipos de comunicaciones de datos (DCE). Se conectan equipo terminal de
datos (DTE) como un enrutador a un circuito digital, como un T-1. Hoy en día, la funcionalidad de estos
dispositivos (o dispositivo) se incorpora a menudo en un router en la forma de una tarjeta de interfaz WAN (WIC)
o de otra manera. Módems de cable y DSL también se consideran CSU / DSU. Es importante actualizar el
firmware de estos dispositivos periódicamente y reemplazar el hardware antiguo con nuevos dispositivos.
Traducción de direcciones de red y lo privado frente a IP pública
||||||||||||||||||||
||||||||||||||||||||
traducción de direcciones de red (NAT) es el proceso de cambiar una dirección IP mientras está en tránsito a través de un
router. Esto se implementa normalmente de modo que una mayor espacio de direcciones (privada) se puede volver a asignar a
otro espacio de direcciones, o una única dirección IP (pública). En este caso se conoce como red de enmascaramiento o el
enmascaramiento de IP, y se implementó originalmente para aliviar el problema del agotamiento de las direcciones IPv4. Hoy en
día, NAT proporciona un nivel de protección en redes IPv4 ocultando dirección IPv4 conocido interna privada de una persona
como el efecto cortafuegos. routers básicos sólo permiten NAT básica, que es la dirección de traslación de sólo IPv4. Sin
embargo, los routers más avanzados permiten PAT, o traducción de direcciones de puerto , lo que se traduce ambas
direcciones IPv4 y números de puerto. Comúnmente, una implementación de NAT en un servidor de seguridad se esconde toda
una red privada de direcciones IPv4 (por ejemplo, la red 192.168.1.0) detrás de una sola dirección IPv4 se muestra
públicamente. Muchos routers SOHO, servidores y enrutadores más avanzados ofrecen esta tecnología para proteger los
ordenadores de una empresa en la LAN. Generalmente, cuando un equipo individual intenta comunicarse a través del router, NAT
estática se emplea, lo que significa que la dirección IPv4 privada solo se traducirá en una única dirección IPv4 pública. Esto
también se llama uno-a-uno mapeo .
También es importante saber la diferencia entre las direcciones privadas y públicas. Una dirección privada es uno que no se
muestra directamente a Internet y es normalmente detrás de un cortafuegos (o dispositivo habilitado para NAT). Por lo general,
estos son direcciones que un router o un servidor DHCP SOHO sería asignar automáticamente a los clientes. Una lista de los
rangos reservada IPv4 privada se muestra en la Tabla 6-2 . direcciones públicas son las direcciones mostradas directamente a
Internet; que son las direcciones que alguien, posiblemente, se puede conectar a todo el mundo. La mayoría de las direcciones,
además de los privados que figuran en el Tabla 6-2 se consideran direcciones públicas.
Figura 6-1 muestra un ejemplo de un router / firewall implementación de NAT. megafonía del router es 207.172.15.50,
y su dirección privada es 10.0.0.1. Ordenadores situados a la izquierda del router están en la LAN, y todas sus
direcciones IP son privados, protegidos por NAT, que se produce en el router. Servidores de Internet (dentro de la
nube) tienen direcciones IPv4 públicas (por ejemplo, 208.96.234.193) para que puedan tener acceso a cualquier
usuario de Internet.
Tabla 6-2 IPv4 privada Rangos (como Asignado por la IANA)
Clase IP Campo asignado
Clase A 10.0.0.0-10.255.255.255
Clase B 172.16.0.0-172.31.255.255
Clase C 192.168.0.0-192.168.255.255
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Figura 6-1 Ejemplo de direcciones IPv4 públicos y privados
Tenga en cuenta que la mayoría internos redes LAN-intencionados se subnetted o están sin clases en la naturaleza. Es
importante conocer los rangos de direcciones IP privadas y sus clases, pero sólo recuerda que sin clases es muy común,
especialmente en redes más grandes. También debe saber las categorías de direcciones IPv6. Tabla 6-3 proporciona una
revisión de este tipo. Tenga en cuenta que la gama estándar “privado” para IPv6 es FE80 :: / 10, que se extiende por las
direcciones que comienzan con FE80, FE90, FEA0 y FEB0. Este es el rango reservado por defecto de direcciones IPv6 que
los ordenadores en una LAN (y detrás de un firewall) se asignarán a partir.
||||||||||||||||||||
||||||||||||||||||||
Tabla 6-3 Tipos de direcciones IPv6
Tipo de
Dirección Objeto Rango
IPv6
unicast global
comienza a 2000 de
unicast Dirección asignada a una interfaz de un host.
enlace local :: 1 y
FE80 :: / 10
Estructurado como anycast

direcciones unicast Dirección asignado
Los paquetes a un grupo
se entregan a lade interfaces
“primera” en varios
interfaz única.nodos.
Dirección asignado a un grupo de interfaces en varios nodos. Los paquetes se

MulticastFF00 :: / 8
entregan a todas las interfaces.
Hay riesgos involucrados con direcciones IPv6 configuradas automáticamente. Una vez que un ordenador está conectado
físicamente a una red, se puede obtener fácilmente una dirección IPv6 sin ninguna interacción del usuario y comenzar la
comunicación con otros ordenadores en la red, tal vez de una manera insegura. Para evitar esto, considere el uso de la
autenticación 802.1X, que detiene el tráfico IPv6 hasta que el anfitrión es autenticado a la red. Usted puede leer más en 802.1X
en
Capítulo 10 . También, considere el uso de túneles cifrados, y adaptadores de red que estén certificados para
transmisiones alámbricas y / o inalámbricas seguras.
Una última palabra sobre la seguridad de IP-IPv4 e IPv6 tienen problemas de seguridad, y ambos tienen diferentes formas en
que se puede asegurar. No se deje engañar; ambos tipos de redes IP deben ser diseñados pensando en la seguridad. Por
ejemplo, el IPv6 tiene soporte IPsec incorporada, pero que podría no ser el mejor método de seguridad de la organización.
IPv4 también puede hacer uso de IPsec, y en ese aspecto puede ser tan seguro como IPv6, pero el apoyo no está integrada,
por lo que podría optar por aplicar métodos alternativos de seguridad para IPv4. Muchas redes utilizan ambos protocolos, y
aunque se está trabajando de una manera segura, eso no significa que el otro protocolo está protegido. Recuerde que debe
diseñar ambos tipos de redes IP para hacer frente a todos los problemas de seguridad, y poner a prueba a fondo en múltiples
plataformas.
Zonas de red e interconexiones

En el diseño de la red, pensar en todas las piezas de la red y todas las conexiones de la red podría hacer a otras
redes. ¿Está a cargo de una sola red de área local? O es usted responsable de más de una red de área local
que tal vez formar una red de área amplia? ¿Qué clase de, y el número de conexiones a Internet tiene? Va a
tener servidores que necesitan ser visitada por los usuarios en Internet? Participa la nube o la virtualización? Y
se necesita para compartir información con los empleados de la compañía que trabajan desde casa o con otras
organizaciones, asegurando al mismo tiempo que se
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
información del usuario medio en Internet? Los más interconexiones y las zonas de red que tenga, más
riesgo de seguridad que están asumiendo. Tenga esto en cuenta al leer a través de la sección.
LAN WAN Versus

Una red de área local o LAN, es un grupo de ordenadores conectados en red contenidos en un espacio tan pequeño
como una pequeña oficina, una escuela, o uno o dos edificios muy unidas. En general, los equipos de la LAN están
asignadas direcciones IP privadas y están detrás de un firewall. Aunque los ordenadores en una LAN no tienen que
conectarse a Internet, por lo general hacer, pero lo hacen a través de un router que actúa como un proxy IP y emplea
NAT. (NAT es mucho más común en las redes IPv4, pero no imposible en redes IPv6.) Es importante proteger los equipos
de la LAN, colocándolos detrás del router, la asignación de direcciones IP privadas si es necesario, y verificar que los
programas anti-malware son instalada. Una red de área amplia, o WAN, es uno o más LANs conectadas entre sí. La gran
diferencia entre una LAN y una WAN es que una WAN cubre un área geográfica más grande. Esto implica que los
servicios de un proveedor de comunicaciones de telecomunicaciones o de datos son necesarios. Las implicaciones de
seguridad de una red WAN son grandes; los más conexiones de la red tiene, los ataques más probablemente se
convertirá. Todas las conexiones deben ser monitoreados y un cortafuegos si es posible. Consideran que puede haber
conexiones a otros estados o países ... y, en la mayor WAN de ellos todo Internet.
Internet
El Internet es la interconexión mundial de ordenadores individuales y las redes informáticas. Debido a que es un espacio
público, cualquier usuario de Internet, posiblemente, puede ser un objetivo, o un atacante. Todos los tipos de sesiones en
Internet deben ser protegidos en todo momento. Por ejemplo, las llamadas de voz se debe hacer dentro de un sistema de VoIP
protegida; sesiones de datos deben ser protegidos por ser atropellado dentro de una red privada virtual; y así. Las
computadoras individuales deben ser protegidos por cortafuegos y programas anti-malware. Las redes deben estar protegidos
por cortafuegos también. Pero ¿qué pasa con los sistemas que necesitan acceder a la LAN y también necesitan ser visitada
por los clientes a través de Internet? Bueno, una opción es crear un área que no es exactamente la LAN, y no del todo Internet;
esta es una zona desmilitarizada o DMZ.
Zona desmilitarizada (DMZ)
En seguridad informática, una zona desmilitarizada (DMZ) es un área especial de la red (a veces denominado libremente
como una subred) que alberga los servidores que alojan la información visitada por los clientes u otras redes en Internet.
Algunos de estos servidores pueden incluir Web, FTP, correo, y las computadoras de bases de datos. Es importante que
cada servidor es
||||||||||||||||||||
||||||||||||||||||||
configurado con la dirección IP de puerta de enlace predeterminada adecuada para que los usuarios de Internet puedan
acceder a ella. Estos servidores también podrían ser accesibles a los clientes de la LAN, además de servir de Internet. Hay
varias formas de configurar una DMZ; una forma común es la perímetro 3- pierna DMZ, como se muestra en Figura 6-2 . Note
la tercera “pierna”, que se desvía el cortafuegos a la derecha. Esto conduce a un interruptor especial que tiene servidores
WWW y FTP conectados a él. También tenga en cuenta que la DMZ está en una red IP diferente a la LAN, aunque tanto la
LAN y DMZ son números de red IP privadas.
Figura 6-2 3-Pierna Perímetro DMZ
El firewall puede (y generalmente) se configura de una manera segura en la conexión DMZ (192.168.100.200) y de forma
aún más segura en la conexión LAN (172.29.250.200). La conexión DMZ Figura 6-2 necesita tener sólo los puertos
entrantes 80 (WWW) y 21 (FTP) abiertos; todos los demás puertos se pueden cerrar, por lo tanto filtrar el tráfico entrante.
La conexión LAN puede estar completamente protegido en el lado de entrada. Aunque DMZ se pueden crear
lógicamente, que se encuentran con mayor frecuencia que las implementaciones físicas. Hay varias otras
implementaciones de una DMZ. Por ejemplo, una DMZ se puede configurar con dos servidores de seguridad que lo
rodean, también conocido como back-to-back perímetro configuración de la red; en este caso la DMZ se encuentra entre
la LAN e Internet. Una DMZ también se podría crear dentro de un router, especialmente en las pequeñas organizaciones
que utilizan
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
dispositivos básicas del router SOHO. Todo depende de la arquitectura de red y los problemas de seguridad de la
organización.
Intranets y extranets
Intranets y extranets se implementan de manera que una empresa (o empresas) pueden compartir sus datos a través de todas las
características y beneficios de Internet, manteniendo los datos seguros de que dentro de la organización, seleccione
organizaciones y usuarios específicos. En el caso de una intranet, sólo una empresa está involucrada; que podría ser tan simple
como una página web interna de la empresa, o de una arquitectura más avanzada de servidores, sistemas operativos y redes que
implementan herramientas, aplicaciones, y, por supuesto, los datos. En el caso de una extranet, múltiples empresas pueden estar
involucrados, o una organización pueden optar por compartir sus datos y recursos con los usuarios que no forman parte de la
organización (s). Este intercambio se realiza a través de Internet, pero de nuevo, está asegurada por lo que sólo las personas y
organizaciones particulares pueden conectarse. Ya sea que tenga una intranet o extranet, la seguridad es una preocupación
importante. esquemas de autenticación apropiados deben ser implementados para garantizar que sólo los usuarios apropiados
pueden acceder a los datos y recursos. Sólo ciertos tipos de información deben ser almacenados en una intranet o extranet.
información secreta confidencial, secreto y superior no debe estar alojado dentro de una intranet o extranet. Por último, el
despliegue de un servidor de seguridad (s) se debe planificar cuidadosamente de antemano. Un ejemplo de una empresa que
aloja una intranet y una extranet se muestra en la Figura 6-3 . Tenga en cuenta que los pasajeros de datos de la empresa A puede
acceder a la intranet, ya que trabajan para la empresa. También tenga en cuenta que la empresa B puede tener acceso a la
extranet, pero no la intranet. En este ejemplo, la empresa (empresa A) ha creado dos DMZ, uno para su intranet y una para su
extranet. Por supuesto, es posible hacerlo usando sólo una DMZ, pero las listas de control de acceso en el servidor de seguridad
y otros dispositivos tendría que ser organizado y controlado con más cuidado. Si es posible, la separación de los datos en dos
ubicaciones físicas distintas tendrá varias ventajas, a saber, siendo más seguro; si bien, va a costar más dinero para hacerlo.
Todo esto depende del nivel de riesgo aceptable de la organización y su presupuesto!
||||||||||||||||||||
||||||||||||||||||||
Figura 6-3 Ejemplo de una Intranet y una Extranet
Control de acceso a redes (NAC)
En este capítulo, hemos mencionado varios tipos de tecnologías de redes y elementos de diseño. Pero lo que
usted elija de usar, que necesita ser controlado de una manera segura.
control de acceso a la red (NAC) Hace esto mediante el establecimiento de las reglas por las que se rigen las conexiones a
una red. Ordenadores que intentan conectarse a una red se les niega el acceso a menos que cumplan con las normas
relativas a los niveles de protección antivirus, las actualizaciones del sistema, y así sucesivamente ... escarda con eficacia a
los que perpetuaría ataques maliciosos. El equipo cliente sigue negando hasta que haya sido debidamente actualizados, que
en algunos casos pueden ser atendidos por la solución NAC de forma automática. A menudo, esto requiere algún tipo de
software preinstalado (un agente) en el equipo cliente, o el ordenador es explorado por la solución NAC a distancia que sería
conocido como sin agente. Cuando se usan agentes, por lo general hay una comprobación de postura o la salud en el
anfitrión o el punto final. A menudo esto se ata en el acceso basado en roles. Hay dos tipos de agentes: persistente y soluble.
agentes persistentes están instalados en el dispositivo de destino y se puede utilizar una y otra vez. agentes solubles
proporcionan para la autenticación de una sola vez y luego se eliminan. sistemas NAC sin agentes también están disponibles
pero ofrecen menos control y menos capacidades de inspección.
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Algunas compañías (como Cisco) soluciones NAC basada en hardware que se ofrecen, mientras que otras organizaciones
ofrecen soluciones NAC pagados basados en software y los libres (tales como PacketFence https://packetfence.org ), Que es de
código abierto.
El estándar IEEE 802.1X, conocido como control de acceso de red basado en puerto, o PNAC, es una forma básica de
NAC que permite el establecimiento de conexiones autenticadas de punto a punto, pero NAC ha crecido hasta incluir
software; 802,1 ahora se considera un subconjunto de NAC. Vea la sección “ Modelos de autenticación y Componentes ”en
Capítulo 10
para obtener más información acerca de IEEE 802.1X.
La división en subredes
La división en subredes es el acto de crear subredes lógicamente a través de la manipulación de las direcciones IP. Estas
subredes son partes distintas de una misma red IP. La división en subredes es implementado por varias razones:
Se incrementa la seguridad al compartimentar la red. Es un uso más eficiente del espacio de direcciones IP.
Reduce el tráfico de difusión y las colisiones. Para ilustrar el primer punto, examinar Figura 6-4 . Esto muestra un
diagrama simple de dos subredes dentro de la red 192.168.50.0 IPv4 utilizando la máscara de subred
255.255.255.240; esto también se conoce como 192.168.50.0/28 en notación CIDR (cubierto en breve). Se puede ver que
las subredes se dividen; esto implica que el tráfico está aislado, no puede viajar de una subred a otra sin una ruta
establecida específicamente para ese propósito. Por lo tanto, las computadoras dentro de subred ID 2 pueden comunicarse
entre sí de forma predeterminada y equipos dentro de subred ID 8 pueden comunicarse entre sí, pero las computadoras en
la Subred 2 no pueden comunicarse con las computadoras en la Subred 8, y viceversa.
||||||||||||||||||||
||||||||||||||||||||
Figura 6-4 Ejemplo de una red con subredes
Como medida de seguridad, el uso de subred 0 (cero) no se recomienda, y en lugar de un administrador de

red debe comenzar con subred 1, que en el ejemplo anterior sería
192.168.50.16. Esto evita cualquier posible confusión con respecto al número real de red (192.168.50.0) y sus subredes.
Si un administrador de red fuera a usar la primera subred y luego utilizar inadvertidamente una máscara de subred por
defecto (como 255.255.255.0), esto crearía una vulnerabilidad de seguridad, los anfitriones de dicha subred tendría
acceso a más de la red de lo que normalmente debería . Este tipo de error es común cuando se utiliza la primera subred
y es la razón principal por la que no se recomienda.
Otro ejemplo común de una organización subredes de la red es tomar lo que normalmente sería una red de clase
(con la máscara de subred 255.0.0.0) y hacerlo sin clases cambiando la máscara de subred para, por ejemplo,
255.255.255.224. Esto se llama enrutamiento sin clase interdominio, o CIDR, que se basa en de longitud variable de
subred enmascaramiento (VLSM). Por ejemplo, podríamos usar 10.7.7.0 como el número de red. Normalmente,
simplemente se conoce como la red 10 si era Clase A. Pero la máscara de subred
255.255.255.224 hace que funcione como una red de clase C con subredes, que en la práctica hace que sea sin clases.
En la notación CIDR esto se escribe como 10.7.7.0/27, porque hay 27 bits enmascarados en la máscara de subred. de la
máscara de subred “224” es la clave. Cuando calculamos esto, nos encontramos con que podemos tener 30 hosts
utilizables por subred de la red 10.7.7.0. La primera gama de anfitriones sería 10.7.7.1-10.7.7.30, el segundo rango sería
10.7.7.33-10.7.7.62, y así sucesivamente. Un host con la dirección IP 10.7.7.38 no sería capaz de comunicarse (por
defecto) con un host mediante la dirección IP 10.7.7.15 porque están en dos subredes separadas.
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Nota
Puede comprobar las declaraciones anteriores por la búsqueda y el uso de una calculadora libre de subredes
en línea. Le recomiendo que practique esto!
Cuando compartimentar la red a través de subredes, los departamentos de una organización pueden ser asignados a subredes
individuales, y grados variables de las políticas de seguridad se pueden asociar a cada subred. Incidentes y ataques
normalmente se aíslan a la subred que se producen sucesivamente. Cualquier router que hace que las conexiones lógicas para
subredes debe tener su firmware actualizado regularmente, y el tráfico debe ser monitoreado de vez en cuando para comprobar
que se encuentra aislada.
Nota
Para una breve introducción acerca de las subredes, consulte el siguiente enlace:
www.davidlprowse.com/articles/?p=1185
Red de área local virtual (VLAN)

Una VLAN se implementa para segmentar la red, reducir las colisiones, organizar la red, mejorar el rendimiento, y, con
suerte, aumentar la seguridad. Un dispositivo tal como un interruptor puede controlar el VLAN. Al igual que la división en
subredes, una VLAN compartimenta la red y se puede aislar el tráfico. Pero a diferencia de las subredes, una VLAN se
puede configurar de manera física; un ejemplo de esto sería la VLAN basado en puerto, como se muestra en Figura 6-5 . En
este ejemplo, cada grupo de equipos tales como Aula 1 tiene su propia VLAN; Sin embargo, los equipos de la VLAN se
pueden situar en cualquier lugar de la red física. Por ejemplo, las computadoras del personal pudieron ser localizados en
varias áreas físicas en el edificio, pero independientemente de dónde se encuentren, que están asociados con la VLAN de
personal debido al puerto físico se conectan a. Debido a esto, es importante colocar tomas de red físicos en lugares
seguros para las VLAN que tienen acceso a los datos confidenciales.
||||||||||||||||||||
||||||||||||||||||||
Figura 6-5 Ejemplo de una VLAN
También hay tipos lógicos de VLAN, como la VLAN basada en protocolo y la VLAN basada en la dirección MAC, que
tienen toda una serie separada de medidas de seguridad, pero esas precauciones van más allá del alcance del
examen CompTIA Security +.
El estándar más común asociado con las VLAN es IEEE 802.1Q, que modifica las tramas Ethernet por
“etiquetado” con la información de la VLAN apropiada, basada en la VLAN a la trama Ethernet debe ser
dirigida a.
VLAN restringen el acceso a los recursos de red, pero esto puede ser anuladas mediante el uso de
VLAN hopping . VLAN hopping pueden dividirse en dos categorías, como se muestra en Tabla 6-4 .
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Tabla 6-4 Tipos de VLAN Hopping
VLAN
Hopping Cómo defenderse
Método Cómo funciona
Ponga puertos desenchufado en

el interruptor en una VLAN sin
usar. Estáticamente configurar los
puertos de conmutación a cargo
de fallecimiento etiquetados
marcos para ser troncos y
El equipo atacante debe ser capaz de hablar el etiquetado y trunking
explícitamente las etiquetas con
protocolos utilizados por el interruptor de VLAN trunking para imitar el
interruptor de interés específicos. Desactivar
interruptor. Si tiene éxito, el tráfico de una o más VLAN es entonces
suplantación de identidad Dynamic Trunking Protocol (DTP)
accesible para el equipo atacante.
si es necesario. Evitar el uso de
nombres de las VLAN por defecto
como VLAN o VLAN1.
Actualizar el firmware o software.

Escoja una VLAN sin usar como la
VLAN por defecto (también
En un ataque de doble etiquetado, un host atacante adjunta dos etiquetas conocida como VLAN nativa) para
VLAN a las tramas que transmite. La primera, la cabecera adecuada se elimina todos los troncos, y no lo utilice
doble por el primer interruptor de los encuentros de trama, y después se reenvía la para ningún otro propósito.
etiquetado trama. La segunda falsa de cabeza, es entonces visible para el segundo Considere el rediseño de la VLAN
interruptor que los encuentros del marco. si múltiples
se utilizan interruptores
802.1Q.
ataques de inundación MAC también se pueden perpetuar en una VLAN, pero debido a la inundación de paquetes se verá
limitado a una VLAN individual, saltando VLAN no será posible como resultado de una inundación MAC.
Las VLAN también puede ser víctimas de ataques ARP, ataques de fuerza bruta, ataques de árbol de expansión, y otros
ataques, todos los cuales se discuten en capítulos posteriores.
||||||||||||||||||||
||||||||||||||||||||
Nota
Hasta ahora, las redes de área local virtuales que hemos discutido interruptores físicos utilizar para hacer que
la conectividad entre ordenadores. Sin embargo, en un entorno de uno completamente virtualizado donde todos
los sistemas operativos son virtuales, es posible utilizar un conmutador virtual para conectar los sistemas. En
este caso, todo es virtual, desde los servidores a la infraestructura de red. A menudo se utiliza en entornos de
prueba, y le da un nuevo significado al término “LAN virtual”.
Telefonía
Telefonía tiene como objetivo proporcionar la comunicación de voz para sus usuarios y requiere varios equipos para lograr este
objetivo. los dispositivos más antiguos, como los módems pueden ser víctima de un ataque, pero hoy en día las computadoras
son también muy involucrado en la telefonía; esto se conoce como integración de telefonía informática, o CTI. ¿Qué significa
esto para usted, el administrador de seguridad? Bueno, por un lado, los teléfonos y los servidores especiales requieren especial
de seguridad, para un nuevo nivel de ataques y formas de orientar este equipo. El teléfono, independientemente de qué tipo,
sigue siendo uno de los principales métodos de comunicación y por lo tanto tiene que estar en funcionamiento todo el tiempo.
módems
En entornos de red tales como un centro de operaciones de red (NOC) o sala de servidores, módems todavía se utilizan por los
administradores de red para conectarse a servidores y equipos de red a través de líneas de acceso telefónico. A menudo, este es
un escenario redundante, peor de los casos la aplicación, a veces, es la forma predeterminada para los administradores para
acceder y configurar sus equipos de red. En algunos casos, esto se hace sin ningún tipo de autenticación, y para empeorar las
cosas, a veces los administradores de utilizar Telnet para configurar sus equipos. Por supuesto, esto es inseguro, por decir lo
menos. Un módem puede ser víctima de La técnica de marcado ,
que es el acto de números de teléfono de escaneado por ellos marcando uno a la vez. Ordenadores suelen recoger en el primer
anillo, y el sistema de la técnica de marcado hace una nota de eso y añade que el número de la lista. Además de la molestia social
evidente que esto podría crear, un hacker podría entonces utilizar la lista para intentar acceder a las redes de ordenadores. Ahora
piense de nuevo al sistema que no tiene un esquema de autenticación en su lugar!
Así que para proteger las conexiones de módem, un administrador de red debe 1) utilizar la función de devolución de llamada en el
software del módem y configurarlo para devolver la llamada a un número de teléfono predefinido; 2) utilizar algún tipo de esquema
de autenticación de nombre de usuario / contraseña y seleccionar contraseñas fuertes, porque solamente de guerra-dialers lo más
probable es tratar de adivinar la contraseña; y 3) utilizar Acceso telefónico a módems con moderación, sólo en lugares seguros, y
tratar de mantener en secreto el número de teléfono del módem. Y, por cierto, una palabra rápida en Telnet: no es segura y debe
ser
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
sustituido con SSH o de otra manera, más seguro de la configuración de un dispositivo remoto. Para el usuario típico que todavía
utiliza un módem en un ordenador cliente, configurar el módem de no responder a las llamadas entrantes, y asegúrese de no
utilizar ningún software de control remoto del sistema que alberga el módem. Por último, considere actualizar a una solución más
rápida y segura de acceso a Internet!
Equipo PBX
Una central telefónica privada (PBX) hace que todas las conexiones telefónicas internas de una organización y también
proporciona conectividad a la red telefónica pública conmutada (PSTN). Originalmente, las PBX eran dispositivos simples, pero a
medida que pasaba el tiempo se incorporaron muchas características nuevas y en el camino se hizo más de un problema de
seguridad. Por ejemplo, un atacante podría intentar aprovechar un PBX para obtener el servicio gratuito de larga distancia, o
emplear la ingeniería social para obtener información de las personas en la organización que posee la central. Para asegurar una
PBX estándar, asegúrese de que está en una habitación segura (sala de servidores, armarios de cableado bloqueado, y así
sucesivamente); Por lo general, se debe montar en la pared, pero podría ser fijado al suelo también. Además, cambiar las
contraseñas con regularidad, y sólo permiten el mantenimiento autorizado; ingrese ningún tipo de mantenimiento autorizado hecho
tan bien. PBX ordenadores suelen tener un puerto remoto (básicamente un módem incorporado u otro dispositivo) para la
vigilancia y el mantenimiento; asegúrese de que este puerto no es explotada y que sólo el personal autorizado sabe cómo acceder
a ella. PBX dispositivos de hoy en día pueden actuar como servidores de integración de telefonía de ordenador de la red, y / o
podrían incorporar VoIP, que también se conoce como IP-PBX.
VoIP
Voz sobre Protocolo de Internet (VoIP) es un término amplio que se refiere a la transmisión de datos de voz sobre redes IP,
como Internet. Es utilizado por las organizaciones y en los hogares. En una organización, los teléfonos IP pueden ser víctima de
ataques tanto como equipos individuales lata. Además, los servidores de VoIP pueden ser explotados de la misma manera que
los otros servidores pueden; por ejemplo, por medio de ataques de denegación de servicio. Al asegurar VoIP-servidores
también conocido como puertas de enlace VoIP o medios de administradores pasarelas de seguridad deben poner en práctica
muchas de las mismas precauciones que harían para servidores más tradicionales, tales como servidores de archivos y
servidores FTP. Algunas soluciones de VoIP, especialmente para uso en el hogar, utilizan el Protocolo de Iniciación de Sesión
(SIP), que puede ser explotada por los ataques man-in-the-middle (MITM). Para ayudar a reducir el riesgo, sistemas de VoIP
deben actualizarse regularmente y utilizar el cifrado y un esquema de autenticación. Otra preocupación es la disponibilidad de
VoIP. Si hay varios tipos de tráfico de red que compiten por el ancho de banda, se puede utilizar la configuración de Calidad de
Servicio (QoS) para priorizar el tráfico en un router, y en última instancia, a aumentar la disponibilidad de telefonía IP.
||||||||||||||||||||
||||||||||||||||||||
Podríamos hablar de VoIP por días, pero por suerte para usted, el examen requiere que tenga solamente una comprensión
básica de lo que es VoIP y cómo protegerlo en un sentido general. La mayoría de las formas que va a mitigar el riesgo en un
sistema de VoIP son los mismos que lo haría para otros sistemas de servidor, y éstos se tratan más adelante en este capítulo,
así como en Capítulo 7 .
Nube de Seguridad y Defensa del servidor
Históricamente, la “nube” era sólo un nombre para Internet, cualquier cosa más allá de su red que usted como usuario no se
podía ver. Técnicamente hablando, la nube fue el área de la compañía telefónica de la infraestructura, era todo lo que entre
punto de demarcación de una organización y el punto de otra organización de la demarcación. Se incluyó oficinas centrales,
oficinas de conmutación, postes telefónicos, dispositivos de conmutación de circuitos, ensambladores de paquetes /
desensambladores (PAD), centrales de conmutación de paquetes (PSE), y así sucesivamente. De hecho, todas estas cosas, y
mucho más, siguen siendo parte de la “nube”, en el sentido técnico. De vuelta en el día, este término fue utilizado solamente por
profesionales de las telecomunicaciones e ingenieros de red.
Hoy en día, la “nube” tiene un significado algo diferente. Casi todo el mundo ha oído hablar de ella y probablemente se
utiliza en cierta medida. Se utiliza mucho en la comercialización, y el significado es menos técnico y más orientado al
servicio de lo que solía ser. Toma el lugar de la mayoría de intranets y extranets que habían existido durante décadas antes
de su aparición. Hablamos de protección básica en equipo Capitulo 2 , “ Informática de Sistemas de Seguridad Parte I “, El
endurecimiento de los sistemas operativos (incluyendo los sistemas operativos virtuales) en
Capítulo 4 , “ El endurecimiento del sistema operativo y virtualización “, Y en la programación segura Capítulo 5 , “ Seguridad de las
aplicaciones ." En esta sección, vamos a construir en esos conjuntos de conocimientos y describimos una defensa servidor. I
servidores lugar en esta sección del capítulo, ya que están en el corazón de las redes. Servidores de control el envío y recepción
de todo tipo de datos a través de la red, incluyendo FTP y sitios web, correo electrónico y mensajes de texto y datos almacenados
como archivos individuales y en formato de base de datos. Una gran parte de estos servidores están ahora en la nube, con más
de trasladarse allí todos los días. y la nube, sin embargo una organización se conecta a él, es todo acerca de las redes. Por lo
tanto, la nube, la virtualización de servidores, y en general todas se entrelazan a fondo.
Computación en la nube
Computación en la nube puede definirse como una forma de ofrecer servicios a la carta que extienden las capacidades de la
computadora de una persona o de la red de una organización. Estos pueden ser servicios gratuitos, tales como correo
electrónico personal basado en el navegador de varios proveedores, o podrían ser ofrecido en una base de pago por uso, tales
como los servicios que ofrecen acceso a datos, almacenamiento de datos, la infraestructura y los juegos en línea. Una conexión
de red de algún tipo se requiere para realizar la conexión a la “nube” y obtener acceso a estos servicios en el sector
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
hora.
Algunos de los beneficios a una organización que utilizan los servicios basados en la nube incluyen el costo, menos
administración y mantenimiento, más fiabilidad, mayor escalabilidad, y posible un mayor rendimiento rebajado. Un ejemplo
básico de un servicio basado en la nube sería el correo electrónico basado en el navegador. Una pequeña empresa con pocos
empleados sin duda necesita de correo electrónico, pero no puede permitirse los costes de un servidor de correo electrónico y
tal vez no quieren tener su propio dominio alojado y los costos y el trabajo que van junto con eso. Mediante la conexión a un
servicio basado en navegador web gratuito, la pequeña empresa puede obtener cerca de correo electrónico ilimitado,
contactos, calendario y soluciones. Sin embargo, no existe un control administrativo, y algunos problemas de seguridad, que se
discuten en tan sólo un poco.
servicios de computación en la nube generalmente se dividen en varias categorías de servicios:
El software como servicio (SaaS): El más comúnmente utilizado y reconocido de las tres categorías, SaaS es cuando los
usuarios acceden a las aplicaciones a través de Internet que son proporcionados por un tercero. Las aplicaciones no
necesitan ser instalados en el equipo local. En muchos casos, estas aplicaciones se ejecutan dentro de un navegador web; en
otros casos el usuario se conecta con los programas de intercambio de pantalla o programas de escritorio remoto. Un ejemplo
común de esto es webmail.
Nota
A menudo comparado con el modelo SaaS es proveedor de servicios de aplicaciones (ASP). SaaS normalmente
ofrece un servicio generalizado a muchos usuarios. Sin embargo, un ASP típicamente proporciona un servicio (tal vez
una sola aplicación) a un pequeño número de usuarios.
Infraestructura como servicio (IaaS): Un servicio que se ofrece a las redes de computadoras, almacenamiento, balanceo
de carga, enrutamiento, y VM de alojamiento. Cada vez más organizaciones están viendo los beneficios de la descarga de
parte de su infraestructura de red a la nube.
Plataforma como servicio (PaaS): Un servicio que ofrece diversas soluciones de software para las organizaciones,
especialmente la capacidad de desarrollar aplicaciones en un entorno virtual sin el coste o la administración de una
plataforma física. PaaS se utiliza para los sistemas operativos de configuración fáciles de usar y bajo demanda de la
informática. A menudo, este utiliza IaaS, así como para una infraestructura subyacente a la plataforma. entornos virtuales
basados en la nube de escritorio (vDes) e infraestructuras de escritorio virtual (VDI) se consideran a menudo ser parte de
este servicio, pero pueden ser parte de IaaS también.
Seguridad como Servicio (SECaaS): Un servicio donde un gran proveedor de servicios integra sus servicios de
seguridad en la infraestructura existente de la empresa / cliente. El concepto es que el proveedor de servicios puede
proporcionar la seguridad más eficiente y
||||||||||||||||||||
||||||||||||||||||||
más rentable que una empresa puede, especialmente si tiene un personal de TI limitado o presupuesto. El Cloud
Security Alliance (CSA) define varias categorías para ayudar a las empresas a implementar y entender SECaaS,
incluyendo: el cifrado, prevención de pérdida de datos (DLP), la monitorización continua, la continuidad del negocio y
recuperación de desastres (BCDR), escaneo de vulnerabilidades, y mucho más.
Nota
Periódicamente, los nuevos servicios llegarán, tales como el monitoreo como un servicio (Maas)
- un marco que facilite el despliegue de monitoreo dentro de la nube de una manera continua. Hay
muchos tipos de servicios basados en la nube. Si ellos no se encuentran en la lista anterior, a
continuación, que a menudo entran en la categoría “todo como servicio” (XaaS).
Un proveedor de servicios cloud (CSP) podría ofrecer uno o más de estos servicios. Entre 2005 y 2010, los servicios de nube
eran lentos para ser adoptada por las organizaciones. Una de las razones de esto es los problemas de seguridad inherentes que
se presentan cuando una organización relega su software, plataformas, y sobre todo la infraestructura de un CSP. Después de
2010, sin embargo, la implementación de servicios en la nube ha crecido de forma espectacular, con la mayoría de las empresas,
o bien ya se ejecutan servicios en la nube o en fase de planificación. Al igual que en el CSP es el proveedor de servicios
gestionados (MSP), que puede suministrar a la red, aplicaciones, sistemas y servicios de gestión utilizando un modelo de pago
por uso de reparto. Hay diferentes tipos de nubes que utilizan las organizaciones: públicas, privadas, híbridas y de la comunidad.
Vamos a discutir cada uno brevemente.
nube pública: Cuando un proveedor de servicios ofrece aplicaciones y almacenamiento espacio para el público en general a
través de Internet. Un par de ejemplos de esto incluyen libre, la Web servicios de correo electrónico basados, y pay-as-you-go
servicios de clase empresarial. Los principales beneficios de esto incluyen baja (o cero) de costos y escalabilidad. Los
proveedores de espacio de la nube pública, tales como Google, Rackspace y Amazon.
Nube privada: Diseñado para una organización en particular en mente. El administrador de seguridad tiene más control
sobre los datos y la infraestructura. Un número limitado de personas que tienen acceso a la nube, y por lo general se
encuentra detrás de un cortafuegos de algún tipo con el fin de obtener acceso a la nube privada. Recursos podrían ser
proporcionados por un tercero, o podrían venir de la sala de servidores o centro de datos del administrador de seguridad.
nube híbrido: Una mezcla de nubes públicas y privadas. Los servidores dedicados ubicados dentro de los servidores de la
organización y en la nube de un tercero se utilizan conjuntamente para formar la red colectiva. En estos escenarios híbridos,
los datos confidenciales se mantiene habitualmente casa in-.
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
nube comunitaria: Otra mezcla de público y privado, pero uno que múltiples organizaciones pueden compartir la parte
pública. nubes comunitarios apelan a organizaciones que por lo general tienen una forma común de la computación y
almacenamiento de datos. El tipo de nube utiliza una organización será dictada por su presupuesto, el nivel de seguridad
que requiere, y la cantidad de mano de obra (o la falta del mismo) que tiene que administrar sus recursos. Mientras que una
nube privada puede ser muy atractivo, es a menudo más allá de la capacidad de una organización, obligando a esa
organización a buscar la nube pública o basado en la comunidad. Sin embargo, no importa qué tipo de nube se utiliza.
Recursos todavía tiene que ser asegurado por alguien, y usted tendrá una mano en que la seguridad de un modo u otro.
cloud Security
seguridad en la nube depende del nivel de control de un administrador de seguridad retiene y los tipos de controles de seguridad
los implementos de administración. Cuando una organización toma la decisión de utilizar la computación en nube, probablemente
la preocupación de control de seguridad más importante para los administradores es la pérdida de control físico de datos de la
organización. Una lista más a fondo de los problemas de seguridad de computación en la nube incluye la falta de privacidad, la
falta de rendición de cuentas, autenticación irregular, falta de control administrativo, problemas de sensibilidad y la integridad de
los datos, los problemas de segregación de datos, la ubicación de los datos y los problemas de recuperación de datos, ataque
interno malicioso, la explotación de errores, falta de apoyo de investigación cuando hay un problema, y finalmente, cuestionable
viabilidad a largo plazo. En general, todo lo que te preocupa de su red local y los ordenadores! También mencionaremos que los
proveedores de servicios en la nube pueden ser objeto de abuso, así-atacantes a menudo intentan utilizar la infraestructura de los
proveedores para lanzar ataques de gran alcance. Las soluciones a estos problemas de seguridad son los siguientes:
contraseñas complejas: Las contraseñas seguras son importantes más allá; que son críticos, ya que voy a mencionar
muchas veces en este texto. A partir de la redacción de este libro, aceptadas esquemas de contraseña son los siguientes:
- Por seguridad general: 10 caracteres mínimos, incluyendo al menos una letra mayúscula, un
número y un carácter especial
- Para los datos confidenciales: 15 caracteres mínimas que incluyan un mínimo de dos cada una de las letras
mayúsculas, números y caracteres especiales
Cuando se trata de la nube, un administrador de seguridad sólo podría optar por usar la segunda opción para cada tipo de
nube. El razonamiento es que las nubes públicas pueden ser inseguros (que simplemente no sabe), y las nubes privadas
más probable es que la casa de los datos más confidenciales. Para cumplir el tipo de contraseñas que desea que los
usuarios elijan, se recomienda una política basada en un servidor fuerte.
||||||||||||||||||||
||||||||||||||||||||
Poderosos métodos de autenticación: Las contraseñas son muy bien, pero ¿cómo la persona se autentica
demostrarán ser tan importante. autenticación de múltiples factores puede ofrecer una cierta cantidad de defensa en
profundidad. En este escenario, si una forma de autenticación se ve comprometida, el otro funciona como una copia de
seguridad. Por ejemplo, además de una contraseña, una persona se le puede pedir la confirmación biométrica como
una autorización de huella digital o la voz, para un PIN adicional, o para pasar una tarjeta inteligente. autenticación de
múltiples factores pueden ser o no ser físicamente posible, dependiendo del entorno de nube que se utiliza, pero si es
posible, se debe considerar.
políticas de acceso a los datos de la nube fuertes: Estamos hablando el quién, qué, y cuándo. Cuando se trata de nubes
públicas, especialmente, debe definir específicamente qué usuarios tienen acceso, exactamente qué recursos tienen acceso
a, y cuando se les permite acceder a esos recursos. Configurar contraseñas fuertes y considerar la autenticación de dos
factores. Configurar las directivas de los servidores que rigen los usuarios; por ejemplo, utilizar objetos de directiva de grupo
en un controlador de dominio de Windows Server. Auditoría de cualquier y todos los dispositivos y aplicaciones conectadas.
Considere almacenar diferentes tipos de datos con diferentes servicios de algunos servicios hacen mejor con archivos
multimedia, por ejemplo. Recuerde que el almacenamiento en la nube no es la copia de seguridad. El enfoque de la copia de
seguridad de datos como un procedimiento aparte.
encriptación: El cifrado de archivos de datos individuales, cifrado de disco completo, archivos de máquinas virtuales con
firma digital ... la lista sigue. Quizás el más importante es una robusta infraestructura de clave pública (PKI), cuestión que
se aborda en capítulo 15 , “ Protocolos de PKI y encriptación ." Esto se debe a que muchos usuarios acceder a los datos a
través de un navegador web.
Normalización de la programación: Están previstas las aplicaciones manera, diseñados, programados, y se ejecutan en
la nube todos deben ser estandarizados de una plataforma a otra, y de un programador a otro. Lo más importante es la
prueba estandarizada en forma de validación de entrada, la formación de pelusa, y blanco, de grises, o las pruebas de
recuadro negro.
Protección de todos los datos !: Esto incluye área de almacenamiento de redes (SAN), almacenamiento en la nube en
general, y el manejo de grandes volúmenes de datos (por ejemplo, datos astronómicos). Cuando los datos se almacenan en
varias ubicaciones, es fácil para algunos de deslizarse a través de las grietas. La documentación detallada de lo que se
almacena en donde (y la forma en que está asegurado) debe ser mantenido y actualizado periódicamente. Como
administrador de seguridad de primera categoría, que no desea que sus datos sean manipulados. Por lo tanto, la aplicación de
algunos controles de seguridad basados en la nube puede ser muy útil. Por ejemplo, considere los siguientes: controles de
disuasión (impedir la manipulación de los datos), los controles preventivos (aumentar la fuerza de seguridad de un sistema que
alberga los datos), controles correctivos (reducen los efectos de la manipulación de datos que se ha producido), y controles de
detección ( detectar ataques en tiempo real, y tener un plan de defensa que se puede llevar a cabo de inmediato).
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Nota
Discutiremos los controles de seguridad con mayor profundidad en capítulo 12 , “ Evaluación de vulnerabilidad y riesgo ".
¿Qué más estamos tratando de proteger aquí? Estamos preocupados con la protección de la identidad y la privacidad
de sus usuarios (especialmente los ejecutivos porque son objetivos de alto perfil). Tenemos que asegurar la privacidad
de los números de tarjetas de crédito y otra información súper confidencial. Queremos asegurar los servidores físicos
que forman parte de nuestra sala de servidores o centro de datos, ya que podrían ser parte de nuestra nube privada.
Deseamos protección de nuestras aplicaciones con los procedimientos de prueba y de admisión. (Tenga en cuenta que
todas estas cosas se deben hacer dentro de las obligaciones contractuales con los proveedores de la nube de
terceros.) Y, por último, estamos interesados en la promoción de la disponibilidad de nuestros datos. Después de que
todos nuestros controles y métodos de seguridad se han implementado, podemos encontrar que hemos bloqueado a
más personas que primero destinado. Entonces,
Los clientes están considerando el uso de servicios de computación en la nube debe solicitar información detallada
transparencia o por la seguridad del proveedor. El proveedor debe estar en conformidad con las políticas de seguridad
de la organización; de lo contrario, los datos y el software en la nube se convierte en mucho menos seguro que los
datos y el software dentro de la propia red del cliente. Este concepto, y la mayoría de los conceptos en la primera mitad
de este capítulo, se deben considerar en la planificación de la posibilidad de disponer de datos, los sistemas y la
infraestructura de contenidos en las instalaciones, en un entorno alojado, en la nube, o una mezcla de ellos. Si hay una
mezcla de la infraestructura en las instalaciones y la infraestructura de la nube de un proveedor, una empresa podría
considerar un corredor de seguridad acceso a la nube: una herramienta de software o servicio (CASB) que actúa como
el guardián entre los dos,
||||||||||||||||||||
||||||||||||||||||||
Otros “nube” Las preocupaciones basadas
Existen otras tecnologías a tener en cuenta que están conectados sin apretar, con lo que llamamos tecnologías en la nube.
Un ejemplo son los medios sociales. entornos de medios sociales pueden incluir sitios web, así como aplicaciones
especiales que se cargan directamente en el equipo (de escritorio o móvil), entre otras maneras de conectar, tanto
legítimos como ilegítimos. Las personas comparten las cosas darndest en los sitios web de medios sociales, que pueden
comprometer fácilmente la seguridad de los empleados y de datos. ¿El punto? Hay varias maneras de acceder a las
plataformas de medios sociales, y puede ser difícil para un administrador de seguridad para encontrar todos los sitios web,
aplicaciones, servicios, y el puerto que es utilizado por los medios de comunicación social. En casos como estos, un
administrador podría considerar más listas blancas de aplicaciones, por lo que los usuarios están mejor bloqueados. Otra
cosa a tener en cuenta es las redes P2P. Compartición de archivos, juegos, streaming de medios de comunicación, y todo
el mundo es aparentemente disponible para un usuario, si el usuario sabe dónde buscar. Sin embargo, el P2P a menudo
viene con un precio: la infiltración sistema de malware y potencial. Por último quiero decir que los ordenadores pueden
convertirse en participantes involuntarios en el intercambio de datos en una red P2P. Este es un ejemplo en el que la nube
invade los equipos cliente, a menudo sin el consentimiento del usuario. El acceso al intercambio de ficheros, P2P, y
torrentes también necesita una permanente “candado”. a menudo sin el consentimiento del usuario. El acceso al
intercambio de ficheros, P2P, y torrentes también necesita una permanente “candado”. a menudo sin el consentimiento del
usuario. El acceso al intercambio de ficheros, P2P, y torrentes también necesita una permanente “candado”.
Luego está la red oscura. Cuando Batman almacena sus datos ... No, una red oscura es otro tipo de P2P (a menudo
referido como un F2F, es decir, amigos a los amigos) que crea conexiones entre pares de confianza (a diferencia de la
mayoría de los otros P2Ps), pero utiliza los puertos y protocolos estándar. Esto hace que sea un poco más difícil de
detectar. Darknets son a menudo el refugio seguro de las actividades ilegales porque están diseñados específicamente
para resistir la vigilancia. Los equipos que forman parte de la red de un administrador, y más a menudo, las máquinas
virtuales en la nube de la administración, pueden ser parte de estos darknets, y puede pasar sin ser detectados fácilmente
por el administrador. En algunos casos, un empleado de la organización (o un empleado del proveedor de la nube)
podrían haber configurado algunos recursos basados en la nube para unirse a una red oscura. Esto puede tener
consecuencias devastadoras legales si las actividades ilegales se remontan a su organización. La inspección minuciosa
de los recursos basados en la nube puede ayudar a prevenir esto. Además, la detección de los empleados, la inspección
cuidadosa de los acuerdos de nivel de servicio con los proveedores de nube, y el uso de otras marcas de auditores de TI
puede evitar la posibilidad de conectividad de red oscura, enlaces P2P, y el uso indebido de los medios sociales.
Defensa del servidor
Ahora llegamos a esto. Los servidores son la piedra angular de los datos. Se almacenan, transferirlo, archivar, y permitir o no
el acceso a la misma. Que necesitan conexiones de red súper rápida que son monitoreados y la línea base regular.
Requieren un administrador para configurar las políticas,
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
comprobar los registros, y realizar auditorías con frecuencia. Existen en redes grandes y pequeñas, dentro de las nubes
públicas y privadas, y con frecuencia están presentes de forma virtual. Lo que todo se reduce a es que los servidores
contienen los datos y los servicios que todo el mundo se basa. Por lo tanto, son efectivamente las cosas más importantes
para asegurar en su red. Vamos a romper cinco tipos de servidores que son de gran importancia (en ningún orden en
particular), y hablar de algunas de las amenazas y vulnerabilidades a esos servidores, y las maneras de protegerlos.
servidores de archivos
Archivo de almacén de equipos de servidor, transferencia, migrar, sincronizar, y los ficheros de archivo. Realmente cualquier
ordenador puede actuar como un servidor de archivos de todo tipo, pero los ejemplos de software de servidor real incluyen
Microsoft Windows Server, MacOS / OS X Server, y los diversos tipos de versiones de servidor de Linux (por ejemplo, Ubuntu
Server o Servidor de Red Hat), no hablar de Unix. Los servidores de archivos son vulnerables a los mismos tipos de ataques y
malware que los ordenadores de sobremesa son típicos. Para asegurar los servidores de archivo (y el resto de los servidores de
esta lista), empleará el endurecimiento, la actualización, las aplicaciones anti-malware, firewalls basados en software, sistemas de
detección de intrusos basados en hardware (HIDSs), y el cifrado, y asegúrese de supervisar la servidor con regularidad.
Los controladores de red
Un controlador de red es un servidor que actúa como un depósito central de cuentas de usuario y cuentas de equipo en la red.
Todos los usuarios se conectan a este servidor. Un ejemplo de esto sería un sistema de Windows Server que ha sido ascendido a
un controlador de dominio (se ejecuta Active Directory). Además de los ataques mencionados para servidores de archivos, un
controlador de dominio puede ser la víctima de la inyección LDAP. También tiene vulnerabilidades de Kerberos, que en última
instancia pueden dar lugar a una escalada de privilegios o la suplantación de identidad. Como se menciona en Capítulo 5 ,
Inyección LDAP se puede prevenir con la validación de entrada adecuada. Sin embargo, en el caso específico de un controlador
de dominio de Windows, realmente la única manera de mantenerla protegida (aparte de las medidas preventivas mencionadas
para servidores de archivos) es instalar los parches calientes actualización de seguridad específica para el sistema operativo,
incluso si el Service Pack más reciente ha sido instalada. Esto también se aplica a las vulnerabilidades de Kerberos.
Nota
Un ejemplo de un Boletín de seguridad de Microsoft que abordan vulnerabilidades en Kerberos se puede encontrar en
el siguiente enlace. Se puede ver que incluso con la última actualización, el servidor todavía puede ser vulnerable.
https://technet.microsoft.com/library/security/ms11-013
||||||||||||||||||||
||||||||||||||||||||
Servidores de correo electrónico
Los servidores de correo electrónico son parte de la familia de servidores de mensajes. Cuando hacemos referencia a un servidor
de mensajes, nos referimos a cualquier servidor que se ocupa de e-mail, fax, mensajes de texto, chat, y así sucesivamente. Sin
embargo, para esta sección nos concentraremos estrictamente en el servidor de correo electrónico. La más común de ellas es
Microsoft Exchange. Un servidor de Exchange puede ejecutar POP3, SMTP e IMAP, y permitir conexiones basadas en la web de
Outlook. Eso es una gran cantidad de protocolos y puertos en ejecución. Por lo tanto, no es sorprendente escuchar algunos
administradores de Exchange confiesan que la ejecución de un servidor de correo electrónico puede ser difícil a veces, sobre todo
porque es vulnerable a ataques XSS, se desborda, los ataques DoS / DDoS, ataques de memoria SMTP, ataques de salto de
directorio, y de correo no deseado por supuesto. En pocas palabras, tiene que ser parcheado ... mucho.
Un administrador tiene que mantenerse en la cima de las últimas vulnerabilidades y ataques, y posiblemente esté preparado para
apagar o poner en cuarentena a un servidor de correo electrónico en cualquier momento. Nuevos ataques y exploits están
constantemente saliendo a la superficie porque los servidores de correo electrónico son un objetivo común y con una gran
superficie de ataque de gran tamaño. Por correo no deseado, un filtro de spam basado en hardware es más eficaz (tal como uno
de Barracuda), pero los filtros basados en software también puede ayudar. Para proteger la integridad y confidencialidad de los
datos de correo basadas en correo electrónico, un administrador debe considerar DLP y cifrado. La seguridad también podría venir
en forma de POP3 y SMTP seguro seguro, y vamos a hablar más sobre los protocolos de correo electrónico seguro específicas en
las Capítulo 7 . Pero también, la seguridad puede venir como SSL cifrado / conexiones TLS, la evaluación de la situación de
seguridad (SPA), redes privadas virtuales seguras, y otros tipos de cifrado, en especial para las conexiones basadas en la Web.
conexiones basadas en la Web pueden ser particularmente insegura-gran cuidado se debe tomar para asegurar estas conexiones.
Por ejemplo, los servicios de notificación de inserción para dispositivos móviles son bastante comunes. Mientras TLS se utiliza
normalmente como un canal seguro para la conexión de correo electrónico, texto y metadatos a veces puede ser enviada como
texto claro. Una solución a esto es para el sistema operativo para utilizar una clave simétrica para cifrar la carga útil de datos. Los
vendedores pueden o no pueden hacer esto, por lo que es hasta que el administrador de correo electrónico para incorporar esta
capa adicional de seguridad, o por lo menos verificar que los proveedores de correo electrónico empuje que están implementando.
Pensando un poco fuera de la caja, un administrador podría considerar alejándose de Microsoft (que es la víctima de la
mayoría de los ataques) y hacia una solución Linux como el servidor SMTP basada en Java incorporado en Apache, o con una
herramienta de terceros tales como Zimbra (o uno de muchos otros). Estas soluciones no son infalibles, y todavía necesitan ser
actualizadas, pero es un hecho bien conocido que históricamente Linux no ha sido atacado con tanta frecuencia como
Microsoft (en general), aunque la diferencia entre los dos en el número de ataques con experiencia tiene reducido
considerablemente desde el comienzo del nuevo milenio.
Servidores web
El servidor web puede ser el servidor más comúnmente atacado de todos ellos. Los ejemplos de servidores web
incluyen Internet Servicios de Información de Microsoft (IIS), Apache HTTP
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
Servidor (Linux), lighttpd (FreeBSD), Oracle iPlanet Web Server (Oracle), y el predecesor de iPlanet de Sun Java System Web
Server (Sun Microsystems). Los servidores web en general pueden ser víctima de ataques de denegación de servicio, se
desborda, XSS y XSRF, la ejecución remota de código, y varios ataques que hacen uso de puertas traseras. Por ejemplo, en IIS,
si está habilitada la autenticación básica, una puerta trasera se podría crear, y los atacantes en última instancia, podría eludir las
restricciones de acceso. Un administrador de IIS debe mantenerse al día con las últimas vulnerabilidades de Microsoft mediante
la lectura de los boletines de seguridad, como este que se ocupa de la divulgación de información posible:
https://technet.microsoft.com/library/security/ms12-073 . En general, un administrador de seguridad debe

mantenerse al día con Vulnerabilidades y Exposiciones Comunes (CVE) como mantenida por MITRE ( http://cve.mitre.org/
). Los nuevos anuncios CVE para aplicaciones y sistemas operativos se encuentran allí y en varios otros sitios web.
Aparte de las soluciones programáticas habituales a vulnerabilidades tales como XSS (discutido en Capítulo 5 ), Y la
actualización de parches estándar y caliente, un administrador de seguridad podría considerar la posibilidad de añadir y
configurar un servidor de seguridad basada en hardware de Cisco, Juniper, Check Point, u otra empresa similar. Y, por
supuesto, HTTPS (SSL o sea, mejor aún, TLS) puede ser beneficioso si el escenario lo requiere. Una vez que se aseguró un
servidor, puede probar la seguridad relativa del sistema a los usuarios mediante el uso de un programa de escaneo de
vulnerabilidades automatizado (como Netcraft) que deja una pequeña imagen en las páginas web que indica si o no el sitio es
seguro y cuando fue escaneada o auditado.
Apache puede ser la víctima de muchos ataques, así, como una escalada de privilegios, inyección de código, y explota a la
porción de proxy del software. formas de PHP y el motor PHP podrían actuar como puertas de acceso al servidor web
Apache. Parches para CVEs conocidos deben aplicarse lo antes posible.
Nota
Una lista de CVEs a Apache HTTP Server (y los cambios correspondientes) se puede encontrar en el
siguiente enlace: http://httpd.apache.org/security/ .
Cuando se trata de servidores web Apache, los administradores de seguridad tienen que mirar hacia fuera para el ataque del
servidor web llamado Darkleech. Esto toma la forma de un módulo de Apache malicioso (específicamente una etiqueta iframe
HTML inyectada dentro de un archivo PHP). Si se carga en un servidor web Apache comprometida, se puede iniciar todo tipo
de ataques y entregar diversas cargas útiles de malware y ransomware. O bien, podría redirigir a un usuario a otro sitio que
contiene un exploit kit como el Blackhole exploit kit mencionado en Capitulo 2 . Aunque Darkleech no se limita a Apache, la
mayor parte de los sitios infectados por Darkleech haber sido Apache basa.
||||||||||||||||||||
||||||||||||||||||||
Nota
Esto en cuanto a Microsoft que es menos específica que la de Linux. A medida que el tiempo avanza, parece que
ninguna plataforma es segura. Una palabra al sabio-no depende de ninguna tecnología en particular a causa de una
reputación, y asegúrese de actualizar y parchear todas las tecnologías que utiliza.
En cuanto a la lucha contra el Darkleech, un webmaster puede intentar el sistema en busca de archivos PHP almacenados en
carpetas con nombres largos hexadecimales con desconfianza. Si es conveniente para la organización, todos los marcos flotantes
pueden ser filtrados. Y, por supuesto, el servidor Apache debe actualizarse tan pronto como sea posible, y si es necesario, fuera
de línea mientras se repara. En muchos casos, este tipo de ataque servidor web es muy difícil de detectar, ya veces el único
recurso es la reconstrucción de la (imagen del servidor virtual o) del servidor que aloja el servidor Apache.
Nota
Otra de las herramientas que utilizan algunos atacantes es archive.org. Este sitio web toma instantáneas de muchos
sitios web con el tiempo y los almacena. Son accesibles a cualquier persona, y pueden dar una idea de los atacantes
más viejos (y posiblemente menos seguros) páginas y scripts que utilizan para ejecutar en un servidor web. Podría ser
que estos archivos y programas todavía se encuentran en el servidor web a pesar de que ya no se utilizan. Se trata de
una vulnerabilidad de seguridad que los administradores deben tener en cuenta. Totalmente de considerar la
eliminación de archivos no utilizados de edad avanzada y secuencias de comandos de los servidores web.
servidor FTP
Un servidor FTP se puede utilizar para proporcionar acceso a los archivos de base pública o privada. Los ejemplos de
servidores FTP incluyen el servidor FTP integrado en IIS, el FtpServer Apache, y otras ofertas de terceros, tales como
FileZilla Server y Pure-ftpd.
El servidor FTP estándar, por defecto es bastante inseguro. Utiliza puertos conocidos (20 y
21), no utiliza el cifrado por defecto, y tiene la autenticación básica nombre de usuario / contraseña. Como resultado, los
servidores FTP son a menudo víctimas de muchos tipos de ataques. Los ejemplos incluyen ataques de rebote cuando una
persona intenta secuestrar el servicio FTP para escanear otros ordenadores; intentos de desbordamiento de búfer cuando un
atacante intenta enviar un nombre de usuario extremadamente largo (o contraseña o nombre de archivo) para activar el
desbordamiento; y los ataques a la cuenta anónima (si se utiliza).
Si los archivos que se almacenan en el servidor FTP son en absoluto confidencial, el administrador de seguridad debe
considerar la seguridad adicional. Esto se puede hacer mediante la incorporación de software de FTP que utiliza protocolos
de transferencia segura de archivos, tales como FTPS o SFTP.
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
seguridad adicional se puede proporcionar mediante el uso de software de FTP que utiliza la asignación dinámica de puertos de
datos, en lugar de utilizar el puerto 20 cada vez. Vamos a discutir más sobre los puertos y protocolos seguros en Capítulo 7 . El
cifrado se puede prevenir la mayoría de los atacantes de la lectura de los archivos de datos, incluso si son capaces de obtener
acceso a ellos. Por supuesto, si no un FTP público, la cuenta anónima debe ser desactivada.
Pero hay otros ataques, más siniestros que están al acecho, los que trabajan en conjunto con el servidor web, que es a
menudo en el mismo equipo, o parte de la misma suite, software, por ejemplo, la cáscara web. Hay un montón de variantes
de la cáscara de la web, pero vamos a detalle su función básica. La cáscara web es un programa que se instala en un
servidor web por un atacante, y se utiliza para acceder de forma remota y volver a configurar el servidor sin el consentimiento
del propietario.
conchas web son troyanos de acceso remoto (RAT), sino que también se les conoce como puertas traseras, ya que ofrecen una
forma alternativa de acceder a la página web para el atacante. La razón por la que coloco el ataque cáscara web aquí en la
sección de FTP se debe a que por lo general es el servidor FTP que contiene las contraseñas reales de vulnerabilidad-débil. Una
vez que un atacante se da cuenta de una contraseña de administrador del servidor FTP (a menudo a través de los intentos de
fuerza bruta), el atacante puede instalar fácilmente la cáscara web, y efectivamente hacer cualquier cosa que desee para que el
servidor web (y / o el servidor FTP). Parece como un castillo de naipes, y de una manera, lo es. ¿Cómo podemos evitar que esto
suceda? En primer lugar, aumentar la seguridad de las contraseñas y cambiar las contraseñas de todas las cuentas de
administrador. En segundo lugar, eliminar las cuentas innecesarias, especialmente cualquier cuentas de administrador superfluos
y la cuenta anónima temida. A continuación, considerar seriamente que separa el servidor FTP y servidor web para dos equipos
diferentes o máquinas virtuales. Por último, configurar las exploraciones automatizadas para shell scripts web (normalmente
archivos PHP, lo he aquí), o tener el proveedor de servidor web lo hacen. Si el proveedor no ofrece ese tipo de escaneo, utilizar un
proveedor diferente. Si un ataque cáscara web se lleva a cabo con éxito en el servidor, el administrador de seguridad debe por lo
menos buscar y eliminar los archivos originales RAT, y en el peor recrear la imagen del sistema y restaurar la copia de seguridad.
Esta última opción es a menudo necesaria si el atacante ha tenido algo de tiempo para comprometer el servidor. Algunas
organizaciones tienen políticas que los servidores estatales deben volver a crear la imagen si están comprometidos de ninguna
manera, forma o forma. Es una manera de empezar de nuevo con una pizarra limpia, sino que significa una gran cantidad de
configuración para el administrador. Pero, de nuevo, la preocupación general aquí es la complejidad de, y la frecuencia de cambio,
la contraseña. Esa es la breve lista de servidores. Pero hay un montón de otras personas que necesitan estar al tanto de,
incluyendo: servidores DNS (que cubrimos en Capítulo 7 ), Servidores de aplicaciones, servidores de virtualización, servidores
firewall / proxy, servidores de bases de datos, servidores de impresión, servidores de conectividad remota como RRAS y VPN (del
que hablaremos más en Capítulo 10 ), E integración de telefonía e informática (CTI) de los servidores. Si usted está a cargo de la
seguridad de un servidor, asegúrese de examinar los CVEs y boletines para que el software, y estar listo para alambrón,
||||||||||||||||||||
||||||||||||||||||||
parchear el sistema en cualquier momento. Esto significa tener un RDP, VNC, u otra conexión remota a ese servidor
específico listo para ir en su escritorio, para que pueda acceder a ella rápidamente.
Resumen del capítulo
El diseño de una red segura es algo más que la creación de un documento de Microsoft Visio y arrastrando un cortafuegos a la
LAN. Esto podría haber sido una buena planificación de la seguridad en 1998, pero hoy necesitamos un plan que incluye
muchas capas de protección, lo que permite la defensa en profundidad. Por ejemplo, las redes de hoy en día requieren
dispositivos de especial seguridad tales como conmutadores, routers y equipos de telefonía. Y esas redes podrían necesitar
zonas desmilitarizadas (DMZ), sistemas de prevención de intrusiones (IPS), filtrado de contenidos, control de acceso a la red
(NAC), subredes, redes de área local virtuales (VLAN), y por supuesto ... cortafuegos.
Tenga en cuenta que algunas de estas tecnologías podrían existir en, o ser trasladado a la nube. Esto abre la caja de Pandora
cuando se trata de seguridad. El administrador de seguridad tiene que estar seguro de que los recursos no sólo se fijan
correctamente, sino también que el proveedor de la nube es de confianza, y se encargará de su extremo de la seguridad de los
datos y las infraestructuras de la organización.
Una organización tiene un montón de opciones cuando se trata de la nube. El software como servicio (SaaS), infraestructura como
servicio (IaaS), plataforma como servicio (PaaS), y la seguridad como servicio (SECaaS) son algunos de los principales tipos de
ofertas de nube. SaaS es probablemente el más común, y se utiliza para ejecutar aplicaciones basadas en la Web de forma
remota. IaaS descarga a la infraestructura de red de una empresa a la nube y utiliza máquinas virtuales para almacenar sistemas
operativos completos. PaaS permite a las empresas desarrollar aplicaciones en un entorno virtual de gran alcance sin necesidad
de utilizar los recursos internos. SECaaS incorpora servicios de seguridad a una estructura corporativa a través de suscripción de
una manera eficiente que muchas pequeñas empresas de tamaño medio / no pueden proporcionar. Algunas organizaciones optar
por usar más de una de estas soluciones.
Una vez seleccionado el tipo de solución de nube, una organización debe seleccionar si sus recursos se mantendrán pública,
privada, o (orientadas híbrido o comunidad) una mezcla de los dos. Esta será la base del presupuesto y los recursos humanos de
la organización en cuestión, sino que cada opción tiene su propio conjunto de problemas de seguridad. Además de la pérdida del
poder administrativo, una organización que va a la nube podría encontrarse con problemas de integridad de datos, problemas de
disponibilidad, y, lo peor de todo, la pérdida potencial de la confidencialidad. Esa es toda la tríada de la CIA allí mismo, por lo que
haciendo uso de la nube debe abordarse con cautela. Para reducir la posibilidad de filtraciones de datos en la nube, las
organizaciones hacen uso de contraseñas complejas, contraseña y acceso a los datos de nube
Technet24.ir
||||||||||||||||||||
||||||||||||||||||||
políticas, métodos de autenticación fuerte, cifrado y protección de datos y aplicaciones en

varios niveles.
Son los servidores que son de mayor preocupación. Son atacados con más frecuencia, ya que son ellos los que contienen los
datos. Las víctimas más comunes son los servidores de correo electrónico, servidores web, servidores FTP y, porque son tan
fácilmente accesibles, y debido a la gran cantidad de formas en que pueden verse comprometidas. sistemas de parcheo es un
excelente método de protección y mantenerse al día con las últimas vulnerabilidades y exposiciones comunes (CVE) es la mejor
manera de saber exactamente lo que necesita ser parcheado.
Como comentario final, un buen administrador de seguridad tiene que recordar que cualquier plataforma es
susceptible al ataque, de una forma u otra. Cada dispositivo servidor y redes sola, ya sea en la red local o en la
nube, se debe asegurar en consecuencia.
Capítulo revisar las actividades

Utilizar las características de esta sección para estudiar y revisar los temas de este capítulo.
Revisar los temas clave
Revisar los temas más importantes en el capítulo, señalado con el icono: tema clave en el margen exterior de la página. Tabla
6-5 enumera una referencia de estos temas clave y el número de página en la que se encuentra cada uno.
Tabla 6-5 Los temas clave para el Capítulo 6
Elemento clave de Tema Descripción Número de página
Lista con viñetas Descripción de las implicaciones de seguridad de conmutador 176
Figura 6-1 Ejemplo de direcciones IPv4 públicas y privadas 181
Figura 6-2 3-pierna perímetro DMZ 184
Tabla 6-4 Tipos de VLAN hopping 189
Definir términos clave
Definir los siguientes términos clave de este capítulo, y compruebe sus respuestas en el glosario:
inundaciones MAC, tabla CAM, a prueba de modo abierto, la suplantación de MAC, Spanning Tree Protocol
||||||||||||||||||||
||||||||||||||||||||
(STP), la traducción de direcciones de red, traducción de direcciones de puerto, NAT estática, uno-a-uno mapeo, zona
desmilitarizada (DMZ), perímetro 3-pierna, perímetro espalda con espalda, de control de acceso de red (NAC), VLAN
hopping, la técnica de marcado, el cloud computing, software como servicio (SaaS), infraestructura como servicio (IaaS),
plataforma como servicio (PaaS), la seguridad como servicio (SECaaS), Vulnerabilidades y exposiciones comunes (CVE)
Completar los escenarios del mundo real
Completar los escenarios del mundo real que se encuentran en el sitio web complementario ( www.pearsonitcertification.com/title/97807
). Va a encontrar un PDF que contiene el escenario y preguntas, así como el apoyo a los vídeos y simulaciones.
Preguntas de revisión
Responder a las siguientes preguntas de repaso. Compruebe sus respuestas con las respuestas correctas que siguen.
1 . Cuál de las siguientes armarías en un multifunción SOHO router?

A. DMZ
SI. DOS
C. OSI
RE. ARP
2 . ¿Cuál de las siguientes es una dirección IPv4 privada?
A. 11.16.0.1
SI. 127.0.0.1
C. 172.16.0.1
RE. 208.0.0.1
3 . ¿Cuál de estos cueros toda una red de direcciones IP?
A. SPI
SI. NAT
C. SSH
RE. FTP
4 . ¿Cuál de las siguientes afirmaciones describe mejor un NAT estática?
A. NAT estática utiliza una asignación uno a uno.
Technet24.ir
||||||||||||||||||||

CompTIA Security+ SY0-501 Cert Guide (Certification Guide) (201-250) .En - Es

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

CompTIA Security+ SY0-501 Cert Guide (Certification Guide) (201-250) .En - Es

Caricato da

Copyright:

Formati disponibili

||||||||||||||||||||

Tabla 5-2 Resumen de vulnerabilidades y ataques de programación

Un grupo de ataques ejecutados en las vulnerabilidades en el software antes de que esas

Resumen del capítulo

Sin aplicaciones, un ordenador no hace mucho para el usuario. Desafortunadamente,

Capítulo revisar las actividades

Revisar los temas clave

Tabla 5-3 Los temas clave para el Capítulo 5

Figura 5-1 Microsoft Internet Explorer y Edge características de seguridad en el 130

políticas de Internet Explorer en la directiva GPO

Figura 5-4 Una conexión de servidor proxy en la configuración de un navegador 134

Figura 5-7 Ejecutar la política sólo aplicaciones de Windows especificado 141

Tabla 5-2 Resumen de vulnerabilidades y ataques de programación 159

Definir términos clave

Completar los escenarios del mundo real

SI. Ctrl + Shift + Esc

C. Ctrl + Alt + Del

A. Establecer el nivel de seguridad de la zona Internet en Alta.

SI. Desactivar el bloqueador de pop-up.

C. Deshabilitar los controles ActiveX.

RE. Añadir sitios maliciosos a la zona de sitios de confianza.

RE. Cross-site scripting

C. Las directivas de grupo

RE. Archivos temporales

6 . ¿Qué afirmación mejor se aplica al término applet de Java?

A. Disminuye la capacidad de uso de los sistemas habilitados para Internet.

SI. Es un lenguaje de programación.

C. Un navegador web debe tener la capacidad de ejecutar applets de Java.

RE. Se utiliza firmas digitales para la autenticación.

RE. Directiva de grupo

SI. cookie de sesión

RE. cookie persistente

A. Tener el contacto del usuario con el webmaster.

SI. Tener el control de usuario para HTTPS: //.

C. Haga que el usuario haga clic en el candado en el navegador y verificar el certificado.

RE. Haga que el usuario llame al ISP.

SI. Flash de la versión 3

RE. La versión HTML 5

SI. De caja gris

SI. inyección de código

RE. desbordamiento de búfer

14 . Un atacante se aprovecha de una vulnerabilidad en la programación que permite al

SI. inyección de comandos

RE. desbordamiento de búfer

MI. ataque de día cero

SI. firewall basado en host

C. Añadir páginas HTTPS

RE. Actualizar el servidor web

SI. Cross-site scripting

C. Entre sitios de falsificación de petición

RE. salto de directorio

MI. referencia a un puntero nulo

17 . Cuál de las siguientes debe ocurrir primero en el desarrollo de software?

C. revisión de código seguro

RE. La gestión de parches

A. Instalar el software antivirus.

SI. Instalar bloqueadores de ventanas emergentes.

C. Instalar protectores de pantalla.

RE. Instalar un firewall basado en host.

SI. inyección SQL

RE. desbordamiento de búfer

A. Validar la entrada del usuario en las aplicaciones basadas en la Web

SI. Instalación de un IDS para supervisar la red