CyOps1.1 Chp07 Instructor Supplemental Material PDF

Capítulo 7: Una mirada más
detallada a los ataques a la red

Materiales del Instructor
CCNA Cybersecurity Operations v1.1

Materiales para el instructor: Guía de planificación del capítulo 7
 Esta presentación en PowerPoint se divide en dos partes:
 Guía de planificación para el instructor

• Información para ayudarlo a familiarizarse con el capítulo
• Ayuda didáctica
 Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva # 9
 Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
Capítulo 7: Una mirada
más detallada a los
ataques a la red
Operaciones de ciberseguridad de
CCNA: guía de planificación v1.1
Capítulo 7: Actividades
¿Qué actividades se relacionan con este capítulo?
N.° de página Tipo de actividad Nombre de la actividad
7.0.1.2 Actividad de clase ¿Qué sucede?
7.1.2.6 Actividad interactiva Identificación de herramientas de monitoreo de redes
7.1.2.7 Packet Tracer Generar archivos de registro de la actividad de la red
7.2.1.10 Actividad interactiva Identificación de vulnerabilidades de IP
7.3.1.6 Práctica de laboratorio Exploración de tráfico de DNS
7.3.2.4 Práctica de laboratorio Ataque a una base de datos MySQL
7.3.2.5 Práctica de laboratorio Lectura de registros de servidores
Capítulo 7: Evaluación
 Los estudiantes deben completar el capítulo 7 "Evaluación" después de completar el capítulo 7.
 Los cuestionarios, las prácticas de laboratorio, los Packet Tracers y otras actividades se pueden
utilizar para evaluar informalmente el progreso de los estudiantes.
Capítulo 7: Prácticas recomendadas
Antes de enseñar el capítulo 7, el instructor debe:
 Completar correctamente el capítulo 7: "Evaluación".
 Completar las actividades de laboratorio del capítulo 7.
 Hacer énfasis en los siguientes conceptos relativos a los ataques a redes:

• Las redes deben monitorearse en busca de ataques.
• Los ataques apuntan a los pilares mediante protocolos de red.
• Los ataques apuntan a los servicios, las aplicaciones y las bases de datos.
Capítulo 7: Ayuda adicional
 Para obtener ayuda adicional sobre las estrategias de enseñanza, incluidos los planes de
lección, las analogías para los conceptos difíciles y los temas de conversación, visite los
Foros comunitarios.
 Si tiene planes o recursos de lección que desee compartir, cárguelos en los Foros
comunitarios a fin de ayudar a otros instructores.
 Los alumnos pueden inscribirse en Introducción a Packet Tracer (autodidacta).
Capítulo 7: Una mirada más
detallada a los ataques a la red
CCNA Cybersecurity Operations v1.1

Capítulo 7: Secciones y objetivos
 7.1 Monitoreo de red y herramientas
• Explicar el monitoreo del tráfico de redes.
• Explicar la importancia del monitoreo de redes.
• Explicar cómo se realiza el monitoreo de redes.
 7.2 Ataques a los pilares

• Explicar cómo las vulnerabilidades de TCP/IP permiten los ataques a redes.
• Explicar cómo las vulnerabilidades de IP permiten los ataques a redes.
• Explicar cómo las vulnerabilidades de TCP y UDP permiten los ataques a redes.
 7.3 Ataques a nuestra tarea

• Explicar cómo son vulnerables a ataques los servicios y las aplicaciones comunes de red.
• Explicar las vulnerabilidades de IP.
• Explicar cómo las vulnerabilidades de IP permiten los ataques a redes.
7.1 Monitoreo de red y
herramientas
Introducción al monitoreo de red
Topología de seguridad de red
 Todas las redes son objetivos y
deben protegerse con un método
de defensa en profundidad.
 Los analistas de seguridad deben
estar muy familiarizados con el
comportamiento normal de las
redes, ya que el comportamiento
anormal suele ser indicio de
problemas.
Métodos de monitoreo de red
 Algunas herramientas empleadas
para evaluar el comportamiento son
los IDS, los analizadores de paquetes,
SNMP y NetFlow.
 Métodos de captura de información de

tráfico:
• TAP de redes: puntos de acceso de
evaluación de redes que reenvían todo el
tráfico, incluidos los errores de capa
física, a un dispositivo de análisis.
• Replicación de puertos: permite que un
switch copie tramas de uno o varios
puertos en un puerto analizador de
puertos de switches (SPAN) conectado a
un dispositivo de análisis.
Introducción al monitoreo de la red
TAPS de redes
 Un TAP de la red suele ser un dispositivo de
división pasiva implementado en línea entre la
red y un dispositivo de interés. El TAP reenvía
todo el tráfico (incluidos los errores de la capa
física) a un dispositivo de análisis.
 Normalmente, los TAP también son a prueba
de fallos, lo que significa que, si ocurre un
error o deja de funcionar, el tráfico entre el
firewall y el router interno no se ve afectado.
Introducción al monitoreo de la red
Replicación del tráfico y SPAN
 La replicación de puertos permite que un switch copie
tramas de uno o varios puertos en un puerto
analizador de puertos de switches (SPAN) conectado
a un dispositivo de análisis.
 En la figura, el switch reenvía el tráfico que ingresa en
F0/1 y el tráfico que sale de F0/2 al puerto SPAN de
destino en G0/1 que se conecta a un IDS.
 La asociación entre los puertos de origen y un puerto
de destino recibe el nombre de sesión de SPAN. En
una sola sesión, es posible monitorear uno o varios
puertos.
Herramientas para los métodos de monitoreo de red
 Herramientas de monitoreo:
• Analizadores de protocolos: son programas empleados
para capturar tráfico. Ej. Wireshark y Tcpdump.
• NetFlow: ofrece auditoría completa de la información básica
de todo el flujo de IP reenviado de un dispositivo.
• SIEM: los sistemas de administración de eventos de
información de seguridad ofrecen informes en tiempo real y
análisis de largo plazo de los eventos de seguridad.
• SNMP: el protocolo de administración simple de redes
permite solicitar y pasivamente recopilar información de
todos los dispositivos de red.
Archivos de registros: es común que los analistas de

seguridad lean y analicen los archivos de registros syslog para
leer y analizar las alertas y los eventos de sistema.
Introducción a las herramientas de monitoreo de red
Analizadores de protocolos de la red
 Los analistas pueden utilizar los analizadores de protocolos como Wireshark y tcpdump para ver los
intercambios de red hasta el nivel de paquetes.
 Los analizadores de protocolos de red también resultan muy útiles para la solución de problemas de red, el
desarrollo de software y protocolos, y la capacitación. En la informática forense de seguridad, un analista de
seguridad puede reconstruir un incidente a partir de capturas de paquetes relevantes.
NetFlow  NetFlow es una tecnología de Cisco IOS que
proporciona estadísticas las 24 horas, todos los
días, sobre los paquetes que atraviesan un router o
switch multicapa de Cisco.
 NetFlow puede utilizarse para el monitoreo de la

red y la seguridad, la planificación de redes y el
análisis de tráfico. Sin embargo, no captura el
contenido.
 Los recopiladores de NetFlow, como Cisco

StealthWatch, también pueden realizar funciones
avanzadas, entre ellas:
• Agrupación de flujos (flow stitching): agrupa
entradas individuales en flujos.
• Deduplicación de flujos (flow deduplication): filtra
las entradas duplicadas que provienen de varios
clientes de NetFlow.
• Agrupación de NAT (NAT stitching): simplifica los
flujos con entradas NAT.
SIEM
 Los sistemas de administración de eventos de información de seguridad (SIEM) ofrecen
informes en tiempo real y análisis de largo plazo de los eventos de seguridad.
 SIEM incluye las siguientes funciones esenciales:
• Análisis de informática forense: permite realizar búsquedas en registros de eventos a partir de
fuentes en toda la organización. Proporciona información más completa para el análisis de informática
forense.
• Correlación: analiza logs y eventos de diferentes sistemas o aplicaciones, lo que acelera la
detección de las amenazas de seguridad y la capacidad de reacción ante ellas.
• Agregación: reduce el volumen de datos de eventos mediante la consolidación de registros
duplicados.
• Informes: los informes permiten ver los datos sobre eventos correlacionados y acumulados mediante
monitoreo en tiempo real y resúmenes a largo plazo.
Sistemas de SIEM
 Splunk es uno de los sistemas de SIEM patentados
más conocido y utilizado por los centros de operación
de seguridad.
 En este curso, se usa el conjunto de productos ELK

para la funcionalidad de SIEM, dado que es una
opción de código abierto. ELK es una sigla que
incluye tres productos de código abierto de Elastic:
 Elasticsearch: motor de búsqueda de texto completo

orientado a documentos
 Logstash: sistema de procesamiento de flujo que

conecta entradas a salidas con filtros opcionales en el
medio
 Kibana: análisis con base en el navegador y tablero

de búsqueda para Elasticsearch
Packet Tracer: registro de la actividad de redes
7.2 Atacar los cimientos
Vulnerabilidades y amenazas de IP
IPv4 e IPv6
 Es importante que los analistas de
seguridad conozcan los diferentes campos
de los encabezados de IPv4 e IPv6, ya que
los actores maliciosos pueden manipular la
información de los paquetes.
Encabezado de paquete IPv4
 En el encabezado de paquetes IPv4 hay
10 campos:
• Versión
• Longitud del encabezado de Internet
• Servicios diferenciados o DiffServ (DS)
• Longitud total
• Identificación, indicador y desplazamiento de
fragmentos
• Tiempo de vida (TTL)
• Protocolo
• Checksum del encabezado
• Dirección IPv4 de origen
• Dirección IPv4 de destino
• Opciones y relleno
Encabezado de paquete IPv6
 En el encabezado de paquetes IPv4
hay 8 campos:
• Versión
• Clase de tráfico
• Etiqueta de flujo
• Longitud de carga útil
• Encabezado siguiente
• Límite de saltos
• Dirección IPv6 de origen
• Dirección IPv6 de destino
Vulnerabilidades de IP
Ataques ICMP
 El ICMP se desarrolló para llevar mensajes de
diagnóstico e informar condiciones de error cuando no
están disponibles rutas, hosts y puertos. Los mensajes
de ICMP son generados por los dispositivos cuando
ocurre un error o una interrupción en la red.
 Los mensajes de ICMP comunes que resultan de

interés para los agentes de amenaza incluyen los
siguientes:
• Solicitud de eco y respuesta de eco de ICMP: se utiliza
para realizar la verificación del host y ataques de DoS.
• ICMP fuera del alcance: esto se utiliza para realizar
ataques de reconocimiento y análisis de la red.
• Respuesta de máscara de ICMP: se utiliza para
conocer la disposición de una red de IP interna.
• Redireccionamientos de ICMP: se utiliza para lograr
que un host de destino envíe todo el tráfico a través de
un dispositivo atacado y crear un ataque de MITM.
• Detección de router de ICMP: se utiliza para inyectar
rutas falsas en la tabla de routing de un host de destino.
Ataques DoS
 El objetivo de un ataque de denegación de servicio
(DoS) es evitar que los usuarios legítimos tengan
acceso a sitios web, correo electrónico, cuentas en
línea y otros servicios.
 Existen dos fuentes principales de ataques de DoS:
• Paquetes con formato malicioso: los actores de

amenazas crean paquetes con formato malicioso y los
reenvían a un host susceptible para que funcione muy
lentamente o deje de hacerlo.
• Volumen de tráfico excesivo: los actores de amenazas
abruman la red, el host o la aplicación objetivo para que
funcione muy lentamente o deje de hacerlo.
 Un ataque de DoS distribuido (DDoS, Distributed DoS

Attack) combina varios ataques de DoS.
Ataques de reflejo y amplificación
 Los agentes de amenaza suelen usar
técnicas de amplificación y reflejo
para crear ataques de DoS. En la
figura, se ejemplifica cómo se utiliza
una técnica de amplificación y reflejo
llamada "ataque Smurf" para abrumar
un host objetivo:
1. Amplificación: el actor de amenazas
reenvía mensajes de solicitud de eco
de ICMP que contienen la dirección IP
de origen de la víctima a una gran
cantidad de hosts.
2. Reflejo: todos estos hosts responden
a la dirección IP falsa de la víctima para
abrumarla.
Ataques DDoS
 Un ataque de DDoS es de mayor magnitud que un
ataque de DoS, ya que se origina a partir de varias
fuentes coordinadas. Los ataques de DDoS
introducen nuevos términos, como botnet, sistemas
controladores y computadoras zombis.
Un ataque de DDoS puede ocurrir del siguiente modo:
1. El agente de amenaza (botmaster) crea o compra la

capacidad de uso de una botnet de hosts zombis. El servidor de
comando y control (CnC, command-and-control) se comunica
con los zombis mediante un canal encubierto usando IRC, P2P,
DNS, HTTP o HTTPS.
2. Las computadoras zombis siguen escaneando e infectando

más objetivos para crear más zombis.
3. Cuando está listo, el botmaster utiliza los sistemas de

controles para hacer que el botnet de zombis lleve a cabo el
ataque de DoS en el objetivo elegido.
Ataques de suplantación de direcciones
 Los ataques de suplantación de dirección IP se producen cuando
un agente de amenaza crea paquetes con información falsa de la
dirección IP de origen para ocultar la identidad del remitente o
hacerse pasar por otro usuario legítimo. Entonces, el atacante
puede obtener acceso a datos a los que no podría acceder de
otro modo, o pasar por alto configuraciones de seguridad.
Vulnerabilidades de TCP y UDP
TCP
 La información de segmento de TCP aparece inmediatamente después del encabezado de IP.
 El TCP ofrece los siguientes servicios:
• Entrega confiable
• Control de flujo
• Comunicación con estado
Ataques de TCP
 Si bien TCP es un protocolo orientado
a las conexiones y confiable, existen
vulnerabilidades que pueden atacarse.
 Los ataques de TCP están destinados
a comportamientos de protocolo
esperados:
• Ataque de inundación SYN a TCP
• Ataque de restablecimiento a TCP
• Usurpación de la sesión TCP
Ataques de TCP y UDP
 UDP es un protocolo simple que proporciona las funciones básicas de la capa de transporte. DNS,
TFTP, NFS y SNMP utilizan comúnmente UDP. También lo utilizan aplicaciones en tiempo real,
como la transmisión multimedia o VoIP. UDP es un protocolo de capa de transporte sin conexión
 Por defecto, UDP no está protegido por ningún tipo de cifrado. La falta de encriptación permite que
cualquiera vea el tráfico, lo modifique y lo envíe a su destino.
 Los ataques de protocolo UDP están destinados a la falta de comportamientos de protocolo (UDP):
• Ataque de checksum a UDP
• Ataque de inundación a UDP
• Ataques de DoS a UDP
7.3 Atacar lo que hacemos
Servicios IP
Vulnerabilidades de ARP
 Los hosts transmiten una solicitud
de ARP a otros hosts del
segmento para determinar la
dirección MAC de un host con
una dirección IP específica.
 Todos los hosts de la subred
reciben y procesan la solicitud de
ARP.
 El host con la dirección IP que
coincide con la de la solicitud de
ARP envía una respuesta de ARP.
Servicios IP
Envenenamiento de caché de ARP
 Los ataques de envenenamiento de caché de ARP infectan deliberadamente la caché de otra
computadora al suplantar las asignaciones de direcciones IP a direcciones MAC.
Servicios IP
Ataques de DNS
 Los servidores DNS convierten los nombres
en direcciones IP y son un gran objetivo
para los atacantes. Estos son algunos
ataques de DNS:
• Resoluciones de DNS abiertas
(servidores de nombres públicos)
• Ataques sigilosos de DNS
• Ataques en las sombras de DNS: se
usan dominios usurpados para crear
subdominios que luego se emplean para
dirigir a sitios web maliciosos
• Ataques de túneles de DNS: se ocultan
instrucciones maliciosas dentro de
consultas y respuestas de DNS
Servicios IP
Túnel de DNS
 Los agentes de amenaza que
utilizan la tunelización de DNS
colocan tráfico que no es DNS
en tráfico DNS. Con
frecuencia, este método evita
las soluciones de seguridad.
Para que el agente de
amenaza use la tunelización
de DNS, se modifican los
diferentes tipos de registros de
DNS, como TXT, MX, SRV,
NULL, A o CNAME.
Servicios IP
DHCP
 Un ataque de DHCP podría hacer que todos los hosts de una red se comuniquen con gateways y servidores DNS maliciosos. Un
ataque por suplantación de DHCP crea un servidor DHCP falso para brindar información falsa.
1 3
2 4
Servicios IP
Práctica de laboratorio: exploración de tráfico DNS
Servicios de la empresa
HTTP y HTTPS
 La navegación web posiblemente sea el medio de ataque más importante. Los analistas de seguridad
deberían conocer a fondo cómo funcionan los ataques web.
• iFrames maliciosas: una iFrame permite que una página de otro dominio se abra en línea dentro de la
página actual. La iFrame puede usarse para ejecutar código malicioso.
• Embalaje de HTTP 302: permite que una página web redirija y se abra en otra URL. Puede usarse para
redirigir a código malicioso.
• Dominios en las sombras: sitios web maliciosos creados a partir de subdominios creados desde un
dominio usurpado.
Correo electrónico
 A los mensajes de correo electrónico se accede desde muchos
dispositivos diferentes que no suelen estar protegidos por el
firewall de la empresa.
• Ataques con adjuntos: correo electrónico que trae archivos
ejecutables maliciosos adjuntos.
• Suplantación de correo electrónico: ataque con el cual un
mensaje parece tener una procedencia legítima.
• Correo electrónico no deseado: mensaje no solicitado con
publicidad o contenido malicioso.
• Servidor de retransmisión de correo abierto: servidores
de correo mal configurados pueden enviar enormes
cantidades de correo no deseado y gusanos.
• Homoglifos: plan de suplantación para usar caracteres de
texto (hiperenlaces) que lucen parecidos a los verdaderos.
Bases de datos expuestas en la Web
 Las aplicaciones web suelen conectarse a una base de datos relacional. Estas bases de datos, al contener
generalmente datos sensibles, suelen ser un objetivo de los ataques.
• Ataques de inyección de comandos: el código y las aplicaciones web inseguros permiten la inyección de
comandos de SO en campos de formularios o en la barra de direcciones.
• Ataques de scripts entre sitios (XSS): los scripts de servidor inseguros donde la entrada no se valida
permiten que se inserten comandos de scripts en campos de formularios generados por usuarios, como los
comentarios de páginas web. Esto hace que se redirija a los visitantes a sitios web maliciosos
con código de malware.
• Ataques de inyección de SQL: los scripts de servidores
inseguros permiten que se inserten comandos de SQL en los
campos de formularios donde la entrada no se valida.
• Ataques de inyección de HTTP: la manipulación de html permite
inyectar código ejecutable mediante etiquetas div de HTML, etc.
Práctica de laboratorio: ataque a una base de datos mySQL
Práctica de laboratorio: registros del servidor de lectura
7.4 Resumen del capítulo
Resumen del capítulo
Resumen
 Todas las redes son objetivos y deben protegerse con un método de defensa en profundidad.
 Algunas herramientas empleadas para evaluar el comportamiento son los IDS, los analizadores de paquetes,
SNMP y NetFlow.
 El TAP de red reenvía todo el tráfico (incluidos los errores de la capa física) a un dispositivo de análisis.
 La replicación de puertos permite que un switch copie tramas de uno o varios puertos en un puerto analizador de
puertos de switches (SPAN) conectado a un dispositivo de análisis.
 Los analistas pueden utilizar los analizadores de protocolos como Wireshark y tcpdump para ver los intercambios
de red hasta el nivel de paquetes.
 NetFlow puede utilizarse para el monitoreo de la red y la seguridad, la planificación de redes y el análisis de
tráfico. Sin embargo, no captura el contenido.
 Los sistemas de administración de eventos de información de seguridad (SIEM) ofrecen informes en tiempo real y
análisis de largo plazo de los eventos de seguridad.
 Splunk y ELK son dos sistemas de SIEM patentados utilizados por los centros de operación de seguridad.
Resumen (continuación)
 Los analistas de seguridad deben conocer los diferentes campos de los encabezados de IPv4 e IPv6, ya
que los actores maliciosos pueden manipular la información de los paquetes.
 Existen 10 campos en el encabezado de paquetes IPv4: versión, longitud del encabezado de Internet,
servicios diferenciados o DiffServ (DS), longitud total, identificación, indicador y desplazamiento de
fragmentos, tiempo de vida (TTL), protocolo, checksum del encabezado, dirección IPv4 de origen,
dirección IPv4 de destino, opciones y relleno.
 Hay 8 campos de encabezado de paquetes IPv4:versión, clase de tráfico, identificador de flujo, longitud de
carga útil, encabezado siguiente, límite de salto, dirección IPv6 de origen y dirección IPv6 de destino.
 Las vulnerabilidades de IP incluyen ataques de ICMP, ataques de DoS y de DDoS, suplantación de

direcciones, ataques de MITM y secuestro de sesiones.
 El ICMP se desarrolló para llevar mensajes de diagnóstico e informar condiciones de error cuando no
están disponibles rutas, hosts y puertos. Los mensajes de ICMP son generados por los dispositivos
cuando ocurre un error o una interrupción en la red.
 El objetivo de un ataque de denegación de servicio (DoS) es evitar que los usuarios legítimos tengan acceso a sitios web,
correo electrónico, cuentas en línea y otros servicios.
 Los agentes de amenaza suelen usar técnicas de amplificación y reflejo para crear ataques de DoS.
 Un ataque de DDoS es de mayor magnitud que un ataque de DoS, ya que se origina a partir de varias fuentes. Los ataques
de DDoS introducen términos como botnet, sistemas controladores y computadoras zombis.
 Los ataques de suplantación de dirección IP se producen cuando un agente de amenaza crea paquetes con información
falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse pasar por otro usuario legítimo.
 TCP proporciona los siguientes servicios: entrega fiable, control de flujo y comunicación con estado.
 Si bien el protocolo de TCP es un protocolo orientado a las conexiones y confiable, existen vulnerabilidades que pueden
atacarse.
 UDP es un protocolo simple que proporciona las funciones básicas de la capa de transporte. DNS, TFTP, NFS y SNMP
utilizan comúnmente UDP. También lo utilizan aplicaciones en tiempo real, como la transmisión multimedia o VoIP. UDP es
un protocolo de capa de transporte sin conexión
 Los hosts transmiten una solicitud de ARP a otros hosts del segmento para determinar la dirección MAC de un host con una
dirección IP específica.
 Los ataques de envenenamiento de caché de ARP infectan deliberadamente la caché de otra computadora al suplantar las
asignaciones de direcciones IP a direcciones MAC.
 Los servidores DNS convierten los nombres en direcciones IP y son un gran objetivo para los atacantes.
 Los agentes de amenaza que utilizan la tunelización de DNS colocan tráfico que no es DNS en tráfico DNS.
 Un ataque por suplantación de DHCP crea un servidor DHCP falso para brindar información falsa.
 La navegación web (http y https) posiblemente sea el medio de ataque más importante. Los analistas de seguridad deberían
conocer a fondo cómo funcionan los ataques web.
 A los mensajes de correo electrónico se accede desde muchos dispositivos diferentes que no suelen estar protegidos por el
firewall de la empresa.
 Las aplicaciones web suelen conectarse a una base de datos relacional. Estas bases de datos, al contener generalmente
datos sensibles, suelen ser un objetivo de los ataques.
Capítulo 7
Nuevos términos
• Técnica de amplificación y reflexión • Redireccionamiento HTTP 302

• Envenenamiento del caché de ARP • iFrame
• Suplantación blind • Punto de acceso de prueba de la
• Scripts entre sitios (XSS) red
• Túnel de DNS • Suplantación non-blind
• Algoritmos de generación de • Identificación de sistema operativo
dominio • Replicación de puertos
• Concurrencia de dominios • Secuestro de sesiones
• Flujo IP doble • Inyección SQL
• Fast flux • Switch Port Analyzer (SPAN)
• Homoglifos
Certificación de operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:

De 210-250 SECFND - descripción de temas fundamentales sobre ciberseguridad de Cisco:
 Dominio 1: conceptos de red
• 1.2 Describa el funcionamiento de los siguientes protocolos: IP, TCP, UDP, ICMP
• 1.3 Describa el funcionamiento de los siguientes servicios de red: ARP, DNS, DHCP.
• 1.11 Compare y contraste las características de los datos obtenidos mediante taps o reflejo de tráfico y
Netflow en el análisis de tráfico de red.
Certificación de operaciones de ciberseguridad (continuación)

De 210-250 SECOPS - descripción de temas fundamentales sobre ciberseguridad de Cisco:
 Dominio 2: análisis de intrusiones en redes
• 2.2 Describa los campos de los siguientes encabezados de protocolos en relación con el análisis de
intrusiones: IPv4, IPv6, UDP
Certificación de operaciones de ciberseguridad (continuación)

De 210-250 SECFND - descripción de temas fundamentales sobre ciberseguridad de Cisco:
 Dominio 6: métodos de ataque
• 6.2 Describa los siguientes ataques a redes: DoS, DDoS, MiTM
• 6.3 Describa los siguientes ataques de aplicación web: inserción de SQL, inserciones de comando,
scripts entre sitios.
• 6.5 Describa los siguientes ataques de terminales: desbordamiento del búfer, comando y control (C2),
malware, rootkit, exploración de puertos, perfiles de host.

CyOps1.1 Chp07 Instructor Supplemental Material PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

CyOps1.1 Chp07 Instructor Supplemental Material PDF

Caricato da

Copyright:

Formati disponibili

Capítulo 7: Una mirada más

detallada a los ataques a la red

CCNA Cybersecurity Operations v1.1

 Guía de planificación para el instructor

7.1.2.6 Actividad interactiva Identificación de herramientas de monitoreo de redes

7.1.2.7 Packet Tracer Generar archivos de registro de la actividad de la red

7.2.1.10 Actividad interactiva Identificación de vulnerabilidades de IP

7.3.1.6 Práctica de laboratorio Exploración de tráfico de DNS

7.3.2.4 Práctica de laboratorio Ataque a una base de datos MySQL

7.3.2.5 Práctica de laboratorio Lectura de registros de servidores

 Completar las actividades de laboratorio del capítulo 7.

 Hacer énfasis en los siguientes conceptos relativos a los ataques a redes:

CCNA Cybersecurity Operations v1.1

 7.2 Ataques a los pilares

 7.3 Ataques a nuestra tarea

 Métodos de captura de información de

Archivos de registros: es común que los analistas de

 NetFlow puede utilizarse para el monitoreo de la

 Los recopiladores de NetFlow, como Cisco

 En este curso, se usa el conjunto de productos ELK

 Elasticsearch: motor de búsqueda de texto completo

 Logstash: sistema de procesamiento de flujo que

 Kibana: análisis con base en el navegador y tablero

 Los mensajes de ICMP comunes que resultan de

 Existen dos fuentes principales de ataques de DoS:

• Paquetes con formato malicioso: los actores de

 Un ataque de DoS distribuido (DDoS, Distributed DoS

Un ataque de DDoS puede ocurrir del siguiente modo:

1. El agente de amenaza (botmaster) crea o compra la

2. Las computadoras zombis siguen escaneando e infectando

3. Cuando está listo, el botmaster utiliza los sistemas de

 La información de segmento de TCP aparece inmediatamente después del encabezado de IP.

 El TCP ofrece los siguientes servicios:

 Las vulnerabilidades de IP incluyen ataques de ICMP, ataques de DoS y de DDoS, suplantación de

• Técnica de amplificación y reflexión • Redireccionamiento HTTP 302

En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:

En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:

En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:

Potrebbero piacerti anche