Hardening, Conceptos básicos

30. ene, 2009 3 Comentarios

Se hace necesario definir algunos conceptos básicos que estarán involucrados en los
diferentes Laboratorios prácticos de Hardening.

El listado de conceptos estará en constante evolución, pues la cantidad de conceptos que

pueden estar relacionados con este campo son bastante amplios, por lo tanto iré
modificando este post para incluir nuevas definiciones de interés sobre el tema y espero
que los lectores envíen también definiciones que deban ser incluídas.

IDS: Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion

Detection System) es un programa usado para detectar accesos desautorizados a un
computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de
Script Kiddies que usan herramientas automáticas. Más información>>

HIDS: (Host-based intrusion detection system) Sistema de detección de intrusos en un

Host. Busca detectar anomalías que indican un riesgo potencial, revisando las
actividades en la máquina (host). Puede tomar medidas protectoras.

NIDS: Sistema de detección de intrusos en una Red. Busca detectar anomalías que
inicien un riesgo potencial, tales como ataques de denegación de servicio, escaneadores
de puertos o intentos de entrar en un ordenador, analizando el tráfico en la red en tiempo
real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los
NIDS no sólo vigilan el tráfico entrante, sino también el saliente o el tráfico local, ya
que algunos ataques podrían ser iniciados desde el propio sistema protegido. A pesar de
la vigilancia, su influencia en el tráfico es casi nula. Más información>>

Snort: Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza

todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de
almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos
abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de
puertos que permite registrar, alertar y responder ante cualquier anomalía previamente
definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo
real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Más
información>>

Amenaza: Es un evento que pueden desencadenar un incidente en la organización,

produciendo daños materiales o pérdidas inmateriales en sus activos.
Análisis de riesgos: El activo más importante que se posee es la información y, por lo
tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se
establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la
seguridad lógica que consiste en la aplicación de barreras y procedimientos que
resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas
autorizadas para hacerlo.
Vulnerabilidades: Una vulnerabilidad en seguridad informática hace referencia a una
debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad,
disponibilidad, control de acceso y consistencia del sistema o de sus datos y
aplicaciones.
Criptografía: La criptografía (del griego krypto, «oculto», y graphos, «escribir»,
literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información
utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que
sólo puedan ser leídos por las personas a quienes van dirigidos.

Antivirus: Los antivirus son programas cuya función es detectar y eliminar Virus
informáticos y otros programas maliciosos (a veces denominados malware).
Básicamente, un antivirus compara el código de cada archivo con una base de datos de
los códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo
que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea
detectado.
Firewall: Un cortafuegos (o firewall en inglés) es un elemento de hardware o software
que se utiliza en una red de computadoras para controlar las comunicaciones,
permitiéndolas o prohibiéndolas según las políticas de red que haya definido la
organización responsable de la red. Su modo de funcionar es indicado por la
recomendación RFC 2979, que define las características de comportamiento y
requerimientos de interoperabilidad.
VPN: La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una
tecnología de red que permite una extensión de la red local sobre una red pública o no
controlada , como por ejemplo Internet.
DMZ: En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o
red perimetral es una red local que se ubica entre la red interna de una organización y
una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones
desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones
desde la DMZ sólo se permitan a la red externa — los equipos (hosts) en la DMZ no
pueden conectar con la red interna.
GPG: GPG o GNU Privacy Guard es una herramienta para cifrado y firmas digitales,
que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal
diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estándar del
IETF denominado OpenPGP.
HoneyPot: Se denomina Honeypot al software o conjunto de computadores cuya
intención es atraer a crackers o spammers, simulando ser sistemas vulnerables o débiles
a los ataques. Es una herramienta de seguridad informática utilizada para recoger
información sobre los atacantes y sus técnicas. Los Honeypots pueden distraer a los
atacantes de las máquinas más importantes del sistema, y advertir rápidamente al
administrador del sistema de un ataque, además de permitir un examen en profundidad
del atacante, durante y después del ataque al honeypot.
HoneyNet: Los Honeynet son un tipo especial de Honeypots de alta interacción que
actúan sobre una red entera, diseñada para ser atacada y recobrar así mucha más
información sobre posibles atacantes. Se usan equipos reales con sistemas operativos
reales y corriendo aplicaciones reales.