Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
Capítulo 7: Una mirada
más detallada a los
ataques a la red
Operaciones de ciberseguridad de
CCNA: guía de planificación v1.1
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 3
Capítulo 7: Actividades
¿Qué actividades se relacionan con este capítulo?
N.° de página Tipo de actividad Nombre de la actividad
7.0.1.2 Actividad de clase ¿Qué sucede?
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 4
Capítulo 7: Evaluación
Los estudiantes deben completar el capítulo 7 "Evaluación" después de completar el capítulo 7.
Los cuestionarios, las prácticas de laboratorio, los Packet Tracers y otras actividades se pueden
utilizar para evaluar informalmente el progreso de los estudiantes.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 5
Capítulo 7: Prácticas recomendadas
Antes de enseñar el capítulo 7, el instructor debe:
Completar correctamente el capítulo 7: "Evaluación".
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 6
Capítulo 7: Ayuda adicional
Para obtener ayuda adicional sobre las estrategias de enseñanza, incluidos los planes de
lección, las analogías para los conceptos difíciles y los temas de conversación, visite los
Foros comunitarios.
Si tiene planes o recursos de lección que desee compartir, cárguelos en los Foros
comunitarios a fin de ayudar a otros instructores.
Los alumnos pueden inscribirse en Introducción a Packet Tracer (autodidacta).
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 7
Capítulo 7: Una mirada más
detallada a los ataques a la red
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
7.1 Monitoreo de red y
herramientas
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
Introducción al monitoreo de red
Topología de seguridad de red
Todas las redes son objetivos y
deben protegerse con un método
de defensa en profundidad.
Los analistas de seguridad deben
estar muy familiarizados con el
comportamiento normal de las
redes, ya que el comportamiento
anormal suele ser indicio de
problemas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
Introducción al monitoreo de red
Métodos de monitoreo de red
Algunas herramientas empleadas
para evaluar el comportamiento son
los IDS, los analizadores de paquetes,
SNMP y NetFlow.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
Introducción al monitoreo de la red
TAPS de redes
Un TAP de la red suele ser un dispositivo de
división pasiva implementado en línea entre la
red y un dispositivo de interés. El TAP reenvía
todo el tráfico (incluidos los errores de la capa
física) a un dispositivo de análisis.
Normalmente, los TAP también son a prueba
de fallos, lo que significa que, si ocurre un
error o deja de funcionar, el tráfico entre el
firewall y el router interno no se ve afectado.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
Introducción al monitoreo de la red
Replicación del tráfico y SPAN
La replicación de puertos permite que un switch copie
tramas de uno o varios puertos en un puerto
analizador de puertos de switches (SPAN) conectado
a un dispositivo de análisis.
En la figura, el switch reenvía el tráfico que ingresa en
F0/1 y el tráfico que sale de F0/2 al puerto SPAN de
destino en G0/1 que se conecta a un IDS.
La asociación entre los puertos de origen y un puerto
de destino recibe el nombre de sesión de SPAN. En
una sola sesión, es posible monitorear uno o varios
puertos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
Introducción al monitoreo de red
Herramientas para los métodos de monitoreo de red
Herramientas de monitoreo:
• Analizadores de protocolos: son programas empleados
para capturar tráfico. Ej. Wireshark y Tcpdump.
• NetFlow: ofrece auditoría completa de la información básica
de todo el flujo de IP reenviado de un dispositivo.
• SIEM: los sistemas de administración de eventos de
información de seguridad ofrecen informes en tiempo real y
análisis de largo plazo de los eventos de seguridad.
• SNMP: el protocolo de administración simple de redes
permite solicitar y pasivamente recopilar información de
todos los dispositivos de red.
Los analizadores de protocolos de red también resultan muy útiles para la solución de problemas de red, el
desarrollo de software y protocolos, y la capacitación. En la informática forense de seguridad, un analista de
seguridad puede reconstruir un incidente a partir de capturas de paquetes relevantes.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
Introducción a las herramientas de monitoreo de red
NetFlow NetFlow es una tecnología de Cisco IOS que
proporciona estadísticas las 24 horas, todos los
días, sobre los paquetes que atraviesan un router o
switch multicapa de Cisco.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
Introducción a las herramientas de monitoreo de red
SIEM
Los sistemas de administración de eventos de información de seguridad (SIEM) ofrecen
informes en tiempo real y análisis de largo plazo de los eventos de seguridad.
SIEM incluye las siguientes funciones esenciales:
• Análisis de informática forense: permite realizar búsquedas en registros de eventos a partir de
fuentes en toda la organización. Proporciona información más completa para el análisis de informática
forense.
• Correlación: analiza logs y eventos de diferentes sistemas o aplicaciones, lo que acelera la
detección de las amenazas de seguridad y la capacidad de reacción ante ellas.
• Agregación: reduce el volumen de datos de eventos mediante la consolidación de registros
duplicados.
• Informes: los informes permiten ver los datos sobre eventos correlacionados y acumulados mediante
monitoreo en tiempo real y resúmenes a largo plazo.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
Introducción a las herramientas de monitoreo de red
Sistemas de SIEM
Splunk es uno de los sistemas de SIEM patentados
más conocido y utilizado por los centros de operación
de seguridad.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
Introducción a las herramientas de monitoreo de red
Packet Tracer: registro de la actividad de redes
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 21
7.2 Atacar los cimientos
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 22
Vulnerabilidades y amenazas de IP
IPv4 e IPv6
Es importante que los analistas de
seguridad conozcan los diferentes campos
de los encabezados de IPv4 e IPv6, ya que
los actores maliciosos pueden manipular la
información de los paquetes.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 23
Vulnerabilidades y amenazas de IP
Encabezado de paquete IPv4
En el encabezado de paquetes IPv4 hay
10 campos:
• Versión
• Longitud del encabezado de Internet
• Servicios diferenciados o DiffServ (DS)
• Longitud total
• Identificación, indicador y desplazamiento de
fragmentos
• Tiempo de vida (TTL)
• Protocolo
• Checksum del encabezado
• Dirección IPv4 de origen
• Dirección IPv4 de destino
• Opciones y relleno
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
Vulnerabilidades y amenazas de IP
Encabezado de paquete IPv6
En el encabezado de paquetes IPv4
hay 8 campos:
• Versión
• Clase de tráfico
• Etiqueta de flujo
• Longitud de carga útil
• Encabezado siguiente
• Límite de saltos
• Dirección IPv6 de origen
• Dirección IPv6 de destino
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 25
Vulnerabilidades y amenazas de IP
Vulnerabilidades de IP
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 26
Vulnerabilidades y amenazas de IP
Ataques ICMP
El ICMP se desarrolló para llevar mensajes de
diagnóstico e informar condiciones de error cuando no
están disponibles rutas, hosts y puertos. Los mensajes
de ICMP son generados por los dispositivos cuando
ocurre un error o una interrupción en la red.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 27
Vulnerabilidades y amenazas de IP
Ataques DoS
El objetivo de un ataque de denegación de servicio
(DoS) es evitar que los usuarios legítimos tengan
acceso a sitios web, correo electrónico, cuentas en
línea y otros servicios.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 28
Vulnerabilidades y amenazas de IP
Ataques de reflejo y amplificación
Los agentes de amenaza suelen usar
técnicas de amplificación y reflejo
para crear ataques de DoS. En la
figura, se ejemplifica cómo se utiliza
una técnica de amplificación y reflejo
llamada "ataque Smurf" para abrumar
un host objetivo:
1. Amplificación: el actor de amenazas
reenvía mensajes de solicitud de eco
de ICMP que contienen la dirección IP
de origen de la víctima a una gran
cantidad de hosts.
2. Reflejo: todos estos hosts responden
a la dirección IP falsa de la víctima para
abrumarla.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 29
Vulnerabilidades y amenazas de IP
Ataques DDoS
Un ataque de DDoS es de mayor magnitud que un
ataque de DoS, ya que se origina a partir de varias
fuentes coordinadas. Los ataques de DDoS
introducen nuevos términos, como botnet, sistemas
controladores y computadoras zombis.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 30
Vulnerabilidades y amenazas de IP
Ataques de suplantación de direcciones
Los ataques de suplantación de dirección IP se producen cuando
un agente de amenaza crea paquetes con información falsa de la
dirección IP de origen para ocultar la identidad del remitente o
hacerse pasar por otro usuario legítimo. Entonces, el atacante
puede obtener acceso a datos a los que no podría acceder de
otro modo, o pasar por alto configuraciones de seguridad.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 31
Vulnerabilidades de TCP y UDP
TCP
• Entrega confiable
• Control de flujo
• Comunicación con estado
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 32
Vulnerabilidades de TCP y UDP
Ataques de TCP
Si bien TCP es un protocolo orientado
a las conexiones y confiable, existen
vulnerabilidades que pueden atacarse.
Los ataques de TCP están destinados
a comportamientos de protocolo
esperados:
• Ataque de inundación SYN a TCP
• Ataque de restablecimiento a TCP
• Usurpación de la sesión TCP
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 33
Vulnerabilidades de TCP y UDP
Ataques de TCP y UDP
UDP es un protocolo simple que proporciona las funciones básicas de la capa de transporte. DNS,
TFTP, NFS y SNMP utilizan comúnmente UDP. También lo utilizan aplicaciones en tiempo real,
como la transmisión multimedia o VoIP. UDP es un protocolo de capa de transporte sin conexión
Por defecto, UDP no está protegido por ningún tipo de cifrado. La falta de encriptación permite que
cualquiera vea el tráfico, lo modifique y lo envíe a su destino.
Los ataques de protocolo UDP están destinados a la falta de comportamientos de protocolo (UDP):
• Ataque de checksum a UDP
• Ataque de inundación a UDP
• Ataques de DoS a UDP
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 34
7.3 Atacar lo que hacemos
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 35
Servicios IP
Vulnerabilidades de ARP
Los hosts transmiten una solicitud
de ARP a otros hosts del
segmento para determinar la
dirección MAC de un host con
una dirección IP específica.
Todos los hosts de la subred
reciben y procesan la solicitud de
ARP.
El host con la dirección IP que
coincide con la de la solicitud de
ARP envía una respuesta de ARP.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 36
Servicios IP
Envenenamiento de caché de ARP
Los ataques de envenenamiento de caché de ARP infectan deliberadamente la caché de otra
computadora al suplantar las asignaciones de direcciones IP a direcciones MAC.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 37
Servicios IP
Ataques de DNS
Los servidores DNS convierten los nombres
en direcciones IP y son un gran objetivo
para los atacantes. Estos son algunos
ataques de DNS:
• Resoluciones de DNS abiertas
(servidores de nombres públicos)
• Ataques sigilosos de DNS
• Ataques en las sombras de DNS: se
usan dominios usurpados para crear
subdominios que luego se emplean para
dirigir a sitios web maliciosos
• Ataques de túneles de DNS: se ocultan
instrucciones maliciosas dentro de
consultas y respuestas de DNS
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 38
Servicios IP
Túnel de DNS
Los agentes de amenaza que
utilizan la tunelización de DNS
colocan tráfico que no es DNS
en tráfico DNS. Con
frecuencia, este método evita
las soluciones de seguridad.
Para que el agente de
amenaza use la tunelización
de DNS, se modifican los
diferentes tipos de registros de
DNS, como TXT, MX, SRV,
NULL, A o CNAME.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 39
Servicios IP
DHCP
Un ataque de DHCP podría hacer que todos los hosts de una red se comuniquen con gateways y servidores DNS maliciosos. Un
ataque por suplantación de DHCP crea un servidor DHCP falso para brindar información falsa.
1 3
2 4
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 40
Servicios IP
Práctica de laboratorio: exploración de tráfico DNS
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 41
Servicios de la empresa
HTTP y HTTPS
La navegación web posiblemente sea el medio de ataque más importante. Los analistas de seguridad
deberían conocer a fondo cómo funcionan los ataques web.
• iFrames maliciosas: una iFrame permite que una página de otro dominio se abra en línea dentro de la
página actual. La iFrame puede usarse para ejecutar código malicioso.
• Embalaje de HTTP 302: permite que una página web redirija y se abra en otra URL. Puede usarse para
redirigir a código malicioso.
• Dominios en las sombras: sitios web maliciosos creados a partir de subdominios creados desde un
dominio usurpado.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 42
Servicios de la empresa
Correo electrónico
A los mensajes de correo electrónico se accede desde muchos
dispositivos diferentes que no suelen estar protegidos por el
firewall de la empresa.
• Ataques con adjuntos: correo electrónico que trae archivos
ejecutables maliciosos adjuntos.
• Suplantación de correo electrónico: ataque con el cual un
mensaje parece tener una procedencia legítima.
• Correo electrónico no deseado: mensaje no solicitado con
publicidad o contenido malicioso.
• Servidor de retransmisión de correo abierto: servidores
de correo mal configurados pueden enviar enormes
cantidades de correo no deseado y gusanos.
• Homoglifos: plan de suplantación para usar caracteres de
texto (hiperenlaces) que lucen parecidos a los verdaderos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 43
Servicios de la empresa
Bases de datos expuestas en la Web
Las aplicaciones web suelen conectarse a una base de datos relacional. Estas bases de datos, al contener
generalmente datos sensibles, suelen ser un objetivo de los ataques.
• Ataques de inyección de comandos: el código y las aplicaciones web inseguros permiten la inyección de
comandos de SO en campos de formularios o en la barra de direcciones.
• Ataques de scripts entre sitios (XSS): los scripts de servidor inseguros donde la entrada no se valida
permiten que se inserten comandos de scripts en campos de formularios generados por usuarios, como los
comentarios de páginas web. Esto hace que se redirija a los visitantes a sitios web maliciosos
con código de malware.
• Ataques de inyección de SQL: los scripts de servidores
inseguros permiten que se inserten comandos de SQL en los
campos de formularios donde la entrada no se valida.
• Ataques de inyección de HTTP: la manipulación de html permite
inyectar código ejecutable mediante etiquetas div de HTML, etc.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 44
Servicios de la empresa
Práctica de laboratorio: ataque a una base de datos mySQL
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 45
Servicios de la empresa
Práctica de laboratorio: registros del servidor de lectura
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 46
7.4 Resumen del capítulo
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 47
Resumen del capítulo
Resumen
Todas las redes son objetivos y deben protegerse con un método de defensa en profundidad.
Algunas herramientas empleadas para evaluar el comportamiento son los IDS, los analizadores de paquetes,
SNMP y NetFlow.
El TAP de red reenvía todo el tráfico (incluidos los errores de la capa física) a un dispositivo de análisis.
La replicación de puertos permite que un switch copie tramas de uno o varios puertos en un puerto analizador de
puertos de switches (SPAN) conectado a un dispositivo de análisis.
Los analistas pueden utilizar los analizadores de protocolos como Wireshark y tcpdump para ver los intercambios
de red hasta el nivel de paquetes.
NetFlow puede utilizarse para el monitoreo de la red y la seguridad, la planificación de redes y el análisis de
tráfico. Sin embargo, no captura el contenido.
Los sistemas de administración de eventos de información de seguridad (SIEM) ofrecen informes en tiempo real y
análisis de largo plazo de los eventos de seguridad.
Splunk y ELK son dos sistemas de SIEM patentados utilizados por los centros de operación de seguridad.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 48
Resumen del capítulo
Resumen (continuación)
Los analistas de seguridad deben conocer los diferentes campos de los encabezados de IPv4 e IPv6, ya
que los actores maliciosos pueden manipular la información de los paquetes.
Existen 10 campos en el encabezado de paquetes IPv4: versión, longitud del encabezado de Internet,
servicios diferenciados o DiffServ (DS), longitud total, identificación, indicador y desplazamiento de
fragmentos, tiempo de vida (TTL), protocolo, checksum del encabezado, dirección IPv4 de origen,
dirección IPv4 de destino, opciones y relleno.
Hay 8 campos de encabezado de paquetes IPv4:versión, clase de tráfico, identificador de flujo, longitud de
carga útil, encabezado siguiente, límite de salto, dirección IPv6 de origen y dirección IPv6 de destino.
El ICMP se desarrolló para llevar mensajes de diagnóstico e informar condiciones de error cuando no
están disponibles rutas, hosts y puertos. Los mensajes de ICMP son generados por los dispositivos
cuando ocurre un error o una interrupción en la red.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 49
Resumen del capítulo
Resumen (continuación)
El objetivo de un ataque de denegación de servicio (DoS) es evitar que los usuarios legítimos tengan acceso a sitios web,
correo electrónico, cuentas en línea y otros servicios.
Los agentes de amenaza suelen usar técnicas de amplificación y reflejo para crear ataques de DoS.
Un ataque de DDoS es de mayor magnitud que un ataque de DoS, ya que se origina a partir de varias fuentes. Los ataques
de DDoS introducen términos como botnet, sistemas controladores y computadoras zombis.
Los ataques de suplantación de dirección IP se producen cuando un agente de amenaza crea paquetes con información
falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse pasar por otro usuario legítimo.
TCP proporciona los siguientes servicios: entrega fiable, control de flujo y comunicación con estado.
Si bien el protocolo de TCP es un protocolo orientado a las conexiones y confiable, existen vulnerabilidades que pueden
atacarse.
UDP es un protocolo simple que proporciona las funciones básicas de la capa de transporte. DNS, TFTP, NFS y SNMP
utilizan comúnmente UDP. También lo utilizan aplicaciones en tiempo real, como la transmisión multimedia o VoIP. UDP es
un protocolo de capa de transporte sin conexión
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 50
Resumen del capítulo
Resumen (continuación)
Los hosts transmiten una solicitud de ARP a otros hosts del segmento para determinar la dirección MAC de un host con una
dirección IP específica.
Los ataques de envenenamiento de caché de ARP infectan deliberadamente la caché de otra computadora al suplantar las
asignaciones de direcciones IP a direcciones MAC.
Los servidores DNS convierten los nombres en direcciones IP y son un gran objetivo para los atacantes.
Los agentes de amenaza que utilizan la tunelización de DNS colocan tráfico que no es DNS en tráfico DNS.
Un ataque por suplantación de DHCP crea un servidor DHCP falso para brindar información falsa.
La navegación web (http y https) posiblemente sea el medio de ataque más importante. Los analistas de seguridad deberían
conocer a fondo cómo funcionan los ataques web.
A los mensajes de correo electrónico se accede desde muchos dispositivos diferentes que no suelen estar protegidos por el
firewall de la empresa.
Las aplicaciones web suelen conectarse a una base de datos relacional. Estas bases de datos, al contener generalmente
datos sensibles, suelen ser un objetivo de los ataques.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 51
Capítulo 7
Nuevos términos
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 52
Certificación de operaciones de ciberseguridad
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 53
Certificación de operaciones de ciberseguridad (continuación)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 54
Certificación de operaciones de ciberseguridad (continuación)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 55