1

Fase 4 - Conocer las características y el funcionamiento de las amenazas.

Luz Marina Ayala

Sandra Eliana Cortes
Yudy Adriana Salazar Santana
Wilman Alfonso Albarracín

Tutor: Joel Carroll

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática
Seguridad en Sistemas Operativos
Bogotá, 24 de abril de 2020
 2

TABLA DE CONTENIDO

5.

INTRODUCCIÓN

Hoy por hoy somos testigos de cómo las tecnologías de la información vienen cobrando gran
importancia a razón de su expansión a velocidades cada vez más altas; las organizaciones y para
este informe técnico la compañía Digital Covers no puede ser la excepción en la definición de
políticas de seguridad más robustas que protejan sus sistemas de información de ataques, perdida de
información, usos no autorizados y otras contravenciones que puedan afectar negativamente el
desempeño de la empresa.
 3

La etapa actual de Digital Covers en donde el foco comercial es la expansión a nuevos negocios y
realización de alianzas con nuevos socios en el mercado de las telecomunicaciones y aplicaciones de
pasarelas de pagos, hace necesario un exhaustivo análisis y diagnostico del estado actual de la
infraestructura de manera que sea posible establecer e identificar por medio de herramientas de
intrusión y detección de vulnerabilidades información útil que permita la implementación de
soluciones que favorezcan el endurecimiento de los sistemas físicos y virtuales, la integridad y
confidencialidad de la información.
En esta entrega se evaluaran algunos tipos de ataques y vulnerabilidades a los que se puede
enfrentar la compañía, cuales son las principales metodologías utilizadas por los atacantes y que
prácticas y soluciones pueden incluirse en la prevención y mitigación de los impactos que pueden
ocasionar este tipo de falencias e irrupciones a los sistemas.
Se hará una breve introducción para conocer técnicas de detección y prevención de ataques de
intrusos mediante algunas herramientas como los IDS o Sistemas de Detección de Intrusiones
detallando las funciones, características destacables y ventajas de la técnica sugerida para la
implementación en conjunto con la propuesta de instalación de un servidor proxy dentro de la
compañía.
Para finalizar se darán a conocer algunas metodologías de intrusión y testing con las cuales se puede
apoyar la identificación de brechas y la gestión de la seguridad realizando las pruebas y correcciones
pertinentes para fortalecer las barreras que permitan obtener la robustez requerida para salvaguardar
los sistemas e información de la organización.
En el presente documento y/o informe técnico desarrollaremos la competencia correspondiente a la
integración de modelos de detección, explotación y remediación, basados en metodologías de
pruebas y aseguramiento, mediante la gestión de técnicas y herramientas de seguridad para la
aplicación en múltiples sistemas operativos.

Así mismo, con el fin de dar cumplimiento con la competencia antes indicada, inicialmente
analizaremos la situación de la organización Digital Covers y la evaluación de las vulnerabilidades
que se presentan en ella.

Profundizaremos los temas relacionados con los ataques informáticosy las metodologías utilizadas
por los delincuentes en los diferentes ataques informáticos.

Por ultimo y con el fin de daruna solución a la problemática presentadaen la Organización Digital
Covers, seleccionaremos posibles estrategias, como la implementación de un sistema de
identificación y gestión de ataques; también realizaremos la selección de las diferentes herramientas
necesarias para la instalación y operación de un servidor Proxy.

1. ATAQUES INFORMÁTICOS Y VULNERABILIDADES

Teniendo en cuenta que la empresa Digital Covers se desempeña en los negocios de Aplicaciones
Web, Servicios Móviles, Pasarelas de Pagos algunos de los ataques y vulnerabilidades a los que se
podría ver enfrentada su plataforma tecnológica son los siguientes:

1.1 Malware: Son aplicaciones diseñadas con fines particulares, (Chicano, 2014) desde mostrar
mensajes determinados en pantalla hasta tomar silenciosamente el control total de los equipos
 4

(García, 2013) sin que los administradores lo noten. El atacante puede utilizar como medios de
ataque el correo electrónico, memorias USB, ingeniería social, enlaces a sitios Web, software pirata.
El atacante se puede valer de la ingeniería social (OSI, 2016) para enviar un correo en donde
especifique un tema de interés para el destinatario, de modo que este al pulsar doble clic sobre el
archivo y al abrirlo o descargarlo en el equipo se ejecuta el programa de malware infectando el equipo
o habilitando el acceso al atacante a la información o bases de datos vinculadas. Es un software
malicioso que realiza acciones no deseadas en Sistemas Operativos y Redes llegando a afectar,
dañar, inhabilitar su función para poder robar , cifrar o borrar los datos, alterar funciones y/o espiar
las actividades que se realizan en el sistema de información.
Con el auge de las tecnologías los Malware han evolucionado de modo tal que los ataques se han
enfocado en espionajes industriales, gubernamentales y/o ataques a infraestructuras críticas,
proliferación de infecciones en dispositivos móviles.
Uno de los impactos que ocasiona esos Malware es reducir la velocidad del sistema operativo
utilizando métodos de infección como descargas desde páginas web, adjuntos en email,
vulnerabilidades del software, compartir dispositivos de almacenamiento, otros protocolos
aplicaciones de internet como: mensajería instantánea, P2P, redes sociales.
Para la detección y eliminación de virus informáticos se requiere de un antivirus actualizado, los
sistemas operativos, navegador y aplicaciones actualizados, uso restringido de recursos por parte del
administrador, sentido común y responsable en la utilización de correos , programas a instalar y
documentos de fuentes confiables. Es un software malicioso que realiza acciones no deseadas en
Sistemas Operativos y Redes llegando a  afectar, dañar, inhabilitar  su función para poder robar ,
cifrar o borrar los datos, alterar funciones  y/o espiar las actividades que se realizan en el sistema de
información.Con el auge de las tecnologías los Malware han evolucionado de modo tal que los
ataques se han enfocado en espionajes industriales, gubernamentales y/o ataques a infraestructuras
críticas, proliferación de infecciones en dispositivos móviles.Uno de los impactos que ocasiona esos
Malware es reducir la velocidad del sistema operativo utilizando métodos de infección como
descargas desde páginas web, adjuntos en email, vulnerabilidades del software, compartir
dispositivos de almacenamiento, otros protocolos  aplicaciones de internet como: mensajería
instantánea, P2P, redes sociales.Para la detección y eliminación de virus informáticos se requiere de
un antivirus actualizado, los sistemas operativos, navegador y aplicaciones actualizados, uso
restringido de recursos por parte del administrador, sentido común y responsable en la utilización de
correos , programas a instalar y documentos de fuentes confiables.
1.2 Suplantación de Identidad o Phishing: Normalmente sucede con aplicaciones bancarias, el
atacante simula ser una página distinta (Chicano, 2014) para obtener información de contraseñas e
información confidencial bancaria. En este ataque el delincuente también se puede valer de ingeniería
social enviando correo que conecte a un sitio web suplantado de tal manera que el usuario ingrese al
link y aporte datos personales que puedan facilitar la suplantación y robo de información, dinero, etc.
Es un método que los ciberdelincuentes para suplantar identidad y obtener información privada o
personal, como contraseña, datos de las tarjetas de crédito o historial bancario. Lo realizan mediante
el envío de correos fraudulentos al parecer por organizaciones gubernamentales o bancos solicitando
amablemente la actualización y/o validación de datos de una cuenta, sugiriendo a menudo que hay
problemas. Con esto logran el re-direccionamiento a una página web falsa para capturar información
sobre las cuentas bancarias  para logar el robo de identidad y utilizar esto para beneficio propio.
Para evitar este tipo de infecciones, se debe evitar dar datos confidenciales por plataformas que no
sean seguras o responder a mensajes sin estar seguros que fue una entidad bancaria que envía la
información.

1.3 Ataques de Ramsonware: Por medio de correos de origen malicioso o buscando sitios
expuestos en internet; los atacantes utilizan mecanismos automatizados para escanear bases de
datos en internet y localiza máquinas vulnerables eliminando el contenido existente en estas (ADV,
 5

2017). La amenaza está latente debido a la falta de requerimiento en algunas bases de datos de
claves para acceder a la información. El atacante valido que las configuraciones de seguridad sean
deficientes de tal forma que puedan saltar la seguridad e instalar el ramsonware.
Soluciones: Existen varias opciones para la detección y prevención de software malicioso dentro de
los cuales podemos encontrar las listas de seguridad que proveen información de vulnerabilidades y
actualizaciones a diario como www.hispasec.com. También se puede validar la fecha de última
actualización del sistema vs. Información respecto a actualización de ficheros aunque no es
procedimiento seguro ya que esta información puede ser alterada. Las funciones de resumen
permiten identificar lo que se conoce como huella única de los ficheros la cual puede ser identificada
al ejecutar funciones resumen y conseguir diferencias en el resultado de esta función. Uno de los
instrumentos más conocidos para la realización de estas funciones es Tripwire; una herramienta
amigable con la cual se pueden programar macros para ejecutar tareas programadas automáticas. Al
dar inicio al sistema, la herramienta realiza una función de resumen con los datos de cada fichero y
se guarda en una base de datos; cuando el administrador quiere validar la integridad de la
información ejecuta Tripwire y generando el resumen con los datos de modificación del fichero de
salida de la aplicación; la información generada de ficheros de salida debe ser guardada como solo
lectura de manera que no sea modificable por ningún usuario. (Colobran, Arquez y Marco, 2008)

1.4 Software Incorrecto: Se trata de aprovechar errores de programación con fines destructivos,
ósea diferentes a los definidos dentro de la solución de software implementado. Estos errores son
conocidos como bugs y se pueden aprovechar con unas herramientas llamadas xploits
Soluciones: Se debe estar al día con los agujeros de seguridad del software instalado utilizando
suscripciones a foros o listas de seguridad que se encargan de publicar estas vulnerabilidades y de
indicar dónde encontrar las actualizaciones para solución a estos inconvenientes. (Colobran, Arquez y
Marco, 2008)

1.5 Detectores (Sniffers): Estos programas permiten grabar y capturar información que circula por la
red. Para su utilización se debe activar el modo promiscuo en interfaces de red de las estaciones de
trabajo; con la activación de este modo las estaciones de trabajo pueden monitorear los paquetes
cuyo destino sea propio y el resto que circula por la red como datos de usuario, contraseñas, correos
electrónicos e información confidencial. Estos instrumentos no son detectables y no se tiene certeza
de la información interceptada hasta que se reciba algún ataque relacionado. El detector más
conocido es Wireshark con versiones para Windows y Unix. (Colobran, Arquez y Marco, 2008)
Soluciones: Pueden utilizarse medidas de protección por ejemplo cifrado de documentos enviados
por la red con GPG, el atacante puede interceptar la información pero difícilmente accederla y
descifrarla. Estas herramientas criptográficas solo protegen la información que circula pero no las
conexiones seguras, para esto es posible implementar un servidor SSH (Secure Shell) cuyas
funcionalidades de cliente permiten inicios de sesión seguros y sustitución de comandos telnet; una
vez instalado, inicializado e implementado el servidor la funcionalidad de SSH es similar a Telnet por
lo cual no es necesaria la capacitación o aprendizaje. Los detectores también son una herramienta
útil para los administradores de manera que pueden monitorear todo el flujo de la red e identificar por
ejemplo el ataque con troyanos para averiguar efectos que puede tener este tipo de intrusión.
(Colobran, Arquez y Marco, 2008)

1.6 Ataques a Contraseña: Actualmente una de las formas más utilizadas para lograr el acceso a
un sistema de información es usar el usuario acompañado de su contraseña; el objetivo de este
ataque es averiguar, borrar, modificar e insertar contraseñas en el fichero que las almacena.
Normalmente la contraseña no se descifra, la contraseña llega cifrada y se compara con la
contraseña cifrada guardada si hay coincidencia se permite el acceso al usuario; el atacante acudirá
inicialmente a ataques de fuerza bruta y ataques de diccionario para conseguir la información y
 6

romper las contraseñas del fichero. El fichero debe establecerse con privilegio de lectura para que
todos los usuarios puedan acceder al fichero de forma local o remotamente. En caso de tener acceso
a este fichero se podría intentar acceder a la información cifrando palabras de un fichero diccionario
ACCII y comparando la información con la guardada en el archivo de contraseñas, si existe
concordancia se tendrá acceso no autorizado al sistema. (Colobran, Arquez y Marco, 2008)
Soluciones: Es importante tener en cuenta para el cifrado de las contraseñas 12 bits o Salt (en
inglés) que garantiza 4096 opciones de cifrado para una palabra y deja limitada la opción de explorar
y asegura que si existen dos contraseñas iguales aparezcan cifradas de forma diferente en el fichero.
Al crear contraseñas el usuario debe tener claro y en cuenta las sugerencias especificas en las
políticas de seguridad (tamaño, reutilización, caracteres especiales, unipersonal, etc.). El
administrador cuenta con algunas herramientas para la vigilancia de este aspecto como npasswd o
passwd+ encargadas de garantizar cumplimiento en las condiciones necesarias para la contraseña y
obligar al usuario a cambiarla en caso de no cumplir. Con previa definición del procedimiento, el
administrador también puede utilizar Crack o John the Ripper realizando de forma controlada pruebas
referentes a ataques de diccionario en ficheros de contraseñas validando la seguridad; estas
herramientas cuentan con posibilidad de automatizar estos procedimientos de ataques tanto de
diccionario como fuerza bruta efectivos si las contraseñas estas compuestas por números de
caracteres reducidos. En Unix existe la opción para ocultamiento de contraseñas que consiste en
acceder a un fichero que oculta las contraseñas únicamente por el usuario root; el acceso al fichero
de contraseñas se realiza de forma igual a la descrita pero ahora tiene un elemento adicional que
define la localización de contraseña en el fichero de ocultamiento. (Colobran, Arquez y Marco, 2008)

1.7 Inyección SQL: Técnica donde el atacante crea o altera datos SQL para descubrir información
oculta, sobrescribir información o ejecutar comandos peligrosos a través del sistema del equipo que
aloja la base de datos; esto se logra al momento de validar información capturada en formularios, una
URL o cualquier forma de captura de información; estos datos son validados por los mismos
servidores de las bases de datos y por la estructura realizan consultas o validaciones en la base de
datos de forma no autorizada. Un atacante que utiliza los cuadros de capturas de texto o de ingreso
de login de usuario en formulario para ejecutar instrucciones y peticiones que resultan ser validas
para acceder a información confidencial (Avast, 2015).
Soluciones: Escapar los caracteres especiales utilizados en consultas SQL para que las consultas
de bases de datos sean más seguras. Fijar solo algunos valores para consultas. Realizar siempre
validaciones a los datos que ingresan los usuarios en cuanto a tipo de dato, longitud. Asignar siempre
los mínimos privilegios requeridos a los usuarios que se conectan y no permitir que el usuario root
tenga acceso a todas las bases de datos. Al momento de la implementación velar por una buena
programación y auditoria de código que permita identificar si se dejan puertas abiertas. , existen que
admiten el uso de datos dinámicos dentro de programación de consulta SQL y emplean opciones
para identificar direcciones IP desde donde se origina la información. (Avast, 2015).

1.8 Ataques tipo XSS (Cross Site Scripting): El atacante ejecuta código malicioso en el navegador
del usuario de aplicación obteniendo información confidencial (Andrade, 2010) del usuario o incluso el
control total de la sesión de usuario; puede presentarse cuando se guardan usuarios y contraseñas
facilitando el acceso a estos datos para la suplantación por parte del cibercriminal. El hecho de tener
fallas de seguridad como configuraciones por defecto (Andrade, 2010) que no son modificadas al
momento de la instalación e implementación puede facilitar este ataque.
Soluciones: Los caracteres especiales deben filtrarse en los parámetros de entrada. La salida en
HTML codificada para que aunque exista entrada de caracteres especiales opcionalmente los filtre en
la salida y exista defensa a profundidad. La utilización de cookies de httpOnly de Microsoft (Internet
Explorer 6 SP1 o superior y Mozilla Firefox 2.0.05 o superior o posterior) las cookies de la aplicación
 7

con XSS no se pueden acceder por estas cargas maliciosas. La realización de análisis
periódicamente utilizando instrumentos de análisis de vulnerabilidades XSS en aplicaciones y
realizando correcciones a los hallazgos. (McClure, Stuart, 2010)

1.9 Scraping o raspado de datos: El atacante accede a información de perfiles de forma masiva
utilizando bots que extraen datos y los transfieren a otras bases de datos. Para obtener información
también se valen de la API que permite ingresar a información de usuarios. Se pueden afectar bases
de datos expuestas en la Web y puede tener impactos graves como información utilizada para
campañas de phishing y spam, robo de dinero, estafas, acceso a información confidencial no
autorizado. (Guaman, 2014)
Soluciones: Para mitigar los riesgos es necesario concientizar a los usuarios de la configuración de
seguridad del perfil evitando dejar toda la información pública y accesible a posibles atacantes,
restringir los permisos de usuarios administradores al no ser granulados ingresa a todo, efectuar
mecanismos de autenticación teniendo en cuenta que por defecto se instalan bases de datos sin
contraseñas, emplear mecanismos para perfilar las autorizaciones ya que por defecto todo usuario
que tiene acceso puede acceder a lectura de toda la información de la base de datos. (Guaman,
2014)

1.10 Desbordamiento de buffer: Esto ocurre cuando un proceso o usuario intenta ingresar más
datos de los asignados a un buffer o matriz fija, se produce con la entrada de fuentes masivas de
valores diferentes o muy superiores a los esperados en la aplicación. Si la capacidad de información
recibida supera la capacidad de almacenamiento los bites que sobran se almacenan en espacios de
memoria contiguos sobrescribiendo información que puede incluir código de programación que
constituye un fallo de programación. El fallo puede desencadenar en intervención y modificación del
funcionamiento original de los sistemas. (McClure, Stuart, 2010)
Soluciones: Garantizar las prácticas de programación segura como: incluir la seguridad desde el
principio con el diseño del programa, verificar las entradas modificables por usuarios, emplear rutinas
seguras como fgets, revisión códigos de regreso de llamadas al sistema, implementación de la
biblioteca de mejores cadenas, disminuir el código que ejecuta con permisos de root, aplicar todos los
parches de seguridad. Es necesario auditar y probar todos los programas, deshabilitar todas las
opciones de servicios no utilizados o peligrosos, no deshabilitar la opción de protección de Pila.
(McClure, Stuart, 2010)

1.11. HTTP Flood (saturación HTTP): En este tipo de ataque por HTTP DoS, los atacantes hacen
uso de peticiones GET o POST para atacar servidores o aplicaciones web. Este ataque hace uso de
menos ancho de banda para inhabilitar a nuestra víctima e incluso tomar el control. Habitualmente
este ataque funciona utilizando la máquina que atacan para usar los recursos y atacar a otros
servidores o aplicaciones web.

1.12. SYN Flood: Este tipo de ataque funciona en secuencia de conexión en tres pasos de protocolo
SYN, enviando una petición SYN para iniciar la conexión TCP que el host al que se conecta debe
responder con un paquete SYN-ACK, para confirmarlo con una respuesta ACK. El ataque comienza
cuando se ignora la petición ACK, el cual mantiene las conexiones abiertas a la espera de respuesta
y se continua enviando paquetes SYN, lo que provoca que dicha maquina siga enviando peticiones
SYN – ACK, saturando de esta manera el trafico saliente y entrante del host. Los ataques SYN flood
puede ser detenido fácilmente con la implementación de firewall, en lo referente al hardware y
software.
 8

1.13. Ataque DoS: Ataque de Denegación de Servicios Distribuidos, también llamado DDos. Este
ataque genera una enorme cantidad de tráfico desde numerosos dispositivos a un sitio web
generando la pérdida de conectividad en la red o sobresaturación de los recursos informáticos.
Realizan tantas peticiones al servidor y como éstos solo pueden procesar una cantidad considerable
de solicitudes al escribir una dirección o URL, logrando que este colapse o  lo que comúnmente se
llama negación de servicio, es decir no se puede acceder al sistema.
“Otra técnica para llevar a cabo los DDoS es usar botnets: redes de ordenadores infectados por un
troyano y que un atacante puede controlar remotamente. De esta forma, los que saturan el servidor
son ordenadores de gente que no sabe que están participando en un ataque DDoS, por lo que es
más difícil encontrar al verdadero atacante.” (GENBETA, s.f.)
 
1.14. Arp Spoofing:Ataque que envía mensajes ARP (AddressResolutionProtocol) falsos a una red
LAN. Obteniendo la vinculación de la dirección MAC con la dirección IP de un equipo legítimo de la
red. Es una herramienta que se utiliza para atacar red cableada e inalámbrica de Ethernet donde el
atacante o hacker después de emplear esta técnica puede detectar frameworks de datos puede
modificar o detener el tráfico de datos por completo.
En el nivel básico,  los atacantes de suplantación ARP roban información sensible de las empresas
obteniendo a denegación de servicios, secuestro de sesiones (envenenamiento de caché DNS),
ataque tipo hombre en el medio (interceptar y/o modificar el tráfico entre dos víctimas).
Se recomienda a las empresas la adquisición de software de detección ARP Spoofing, la utilización
de protocolos de red criptográficos al igual que el filtrado de paquetes.

1.15 Spyware: Programa espía, tiene ese nombre por la forma silenciosa en la que realiza sus
ataques, recopila información confidencial para luego extraerla y transferirla a otra entidad externa. Es
decir, robar información de una base de datos de una empresa y transferirla a otra. Las
consecuencias de este ataque tienen un impacto de perdida de información, bajo rendimiento del
sistema y dificultad para la conexión a internet, su función es secuestrar los datos y pedir rescate por
ellos a las entidades. Por lo general se deben hacer transferencias en dinero electrónico para evitar
su búsqueda.Se recomienda que las empresas mantenga los Sistemas Operativos actualizados y
todo su sistema de seguridad (antivirus, firewall o cortafuego).
Tener en cuenta las extensiones de los ficheros para así evitar códigos dañinos. Brindar capacitación
actualizada al personal de la empresa sobre los riesgos informáticos existentes y el peligro que esto
conlleva sobre los activos de la empresa.

1.16 Ataque MITM (Man In The Middle): Conocida como “Hombre en el medio”  Este ataque
comúnmente se realiza utilizando redes WiFi públicas o abiertas. Se puede obtener información
privada, sensible y confidencial, tener el control de la misma simulando una falsa identidad.
Recomendación para mitigar el riesgo, se puede encriptar el tráfico de datos que se circulan por
redes abiertas lo que contribuye a proteger los documentos enviados y confirmar la identidad de los
usuarios mediante el cifrado de los mensajes.

1.17. Información sensible sin administrar: Hace referencia a la información almacenada en las
tablas de una base de datos, por lo que se hace necesario la realización del  inventario  de las tablas
detallando: columnas, filas, nombre de los usuarios con acceso y nivel de permisos.Un hacker
desconocido accede a las bases de datos públicas y no seguras de Apache Cassandra y adiciona
una tabla mediante la cual advierte a los propietarios de los servidores que su base de datos quedó
expuesta a ataques en línea.

1.18. Escaneo de Puertos (Portscan): Técnica empleada para conocer que puertos están abiertos
o cerrados y si tienen protocolos de seguridad. El resultado de este análisis pude permitirle al
 9

atacante realizar un análisis preliminar del sistema y sus vulnerabilidades, con miras a algún otro tipo
de ataque, pues cada puerto abierto en un dispositivo, es una potencial puerta de entrada al mismo.

1.19. Bontnets (Redes de Robots): Es una red conformada por un número de equipos informáticos
que han sido “secuestrados” por malware de modo que quedan a disposición de un hacker para
enviar mensajes de spam o código malicioso al correo electrónico en forma masiva atacando los
sistemas informáticos hasta dejarlos fuera de servicios. En la prevención de este tipo de ataque las
empresas deben implementar políticas de seguridad que resalten la importancia de la actualización
de los sistemas operativos, antivirus y el cambio constante de las claves de acceso a las
herramientas informáticas que ofrece la empresa.

1.20. Baiting: Es como un “Caballo de Troya”  de ingeniería social, dirigido a infectar equipos y
redes utilizando elementos de almacenamiento externo como las memorias flash, tarjetas SD, discos
duros externos y en ellos el atacante inyecta software malicioso  a las redes de una empresa.

2. SISTEMAS DE DETECCIÓN DE INTRUSOS IDS

Para detectar intrusiones se utilizan procesos de monitoreo de eventos ocurridos en los sistemas de
red, o de computadoras para realizar análisis en busca de las intrusiones; estas a su vez son
tentativas que comprometen la integridad, disponibilidad y confidencialidad o que pueden llegar a
burlar las metodologías de seguridad existentes. Los sistemas de detección de intrusiones IDS son
utilidades de software y hardware que realizan la automatización del análisis y monitores
convirtiéndose en una importante defensa y protección de los recursos de red frente a accesos sin
autorización. (Sory, 2011).
Estos IDS trabajan partiendo de patrones que identifican ataques conocidos; es decir que se deben
actualizar de forma regular ya que no identifican ataques desconocidos, patrones anormales, existen
ataques que no se describen en algunos patrones. Debido a estas desventajas se debe utilizar
adicionalmente otras técnicas de reconocimiento de patrones que aporten inteligencia a los IDS que
permitan la detección de variaciones en los perfiles de funcionamiento de sistema, patrones,
reconocimiento e identificación de nuevos ataques. (Sory, 2011).
Los IDS son herramientas informáticas bastante sofisticadas de gran ayuda para los administradores
de una red, ya que se encarga de analizar el tráfico existente en una red ayudando a detectar
ataques o movimientos sospechosos que se estén fraguando para una intrusión, igualmente si se
presentara permite la recolección de información que muestre por qué se ha producido el ataque y
generar medidas de prevención para fortalecer las defensas de la empresa.

Su desempeño se basa en búsqueda de análisis de patrones previamente definidos que impliquen

cualquier tipo de actividad sospechosa.

Los IDS normalmente se dividen en dos grupos: hay IDS basados en firmas, que analizan en busca
de patrones de tráfico maliciosos conocidos y alertas cuando los descubre, y hay IDS basados en
anomalías, que realizan monitoreo constante al tráfico de la red y comparan con las firmas
establecidas.

2.1. HERRAMIENTA DE DETECCIÓN DE INTRUSOS PROPUESTA

 10

Una de las herramientas IDS más utilizadas es Snort y se basa en red (NIDS); además de proveer
información de paquetes de red utilizando la captura y análisis, esta se diferencia de otras por
proporcionar información integral y concreta respecto a actividades maliciosas en la red, también
avisa a los administradores sobre la identificación de probables infracciones en la red. A continuación
se enumeran las principales características que se destacan de esta herramienta: (Chicano, 2014)

 Dispone de más de 700 firmas en su base de datos

 Análisis de tráfico de la red en tiempo real
 Distribución gratuita
 Permite filtros en detección de ataques
Cuando se capturan y analizan los paquetes de red estos IDS empiezan a buscar patrones que
pueden identificar algún tipo de ataque. Los NIDS analizar examinan todo el tráfico de la red en
búsqueda de opciones no permitidas y configuradas para evitar la detección de contrafuegos. Emite
alertas en caso de intentos de ingreso o análisis externo de vulnerabilidades del sistema. Esta
funciona por medio de sensores o agentes que se ubican en diferentes puntos de red monitoreando y
buscando tráfico sospechoso; normalmente estos sensores hacen su análisis de paquetes de forma
oculta para no ser descubiertos; también posee una consola en donde se reciben alarmas que se
originaron por los sensores y dependiendo el tipo produce algún tipo de respuesta. Las ventajas de
este tipo de IDS son: (Chicano, 2014)

 Detección de accesos no deseados en la red

 No necesitan software adicional para su funcionamiento en los servidores
 Fáciles de instalar y actualizar
 Impacto bajo en la red, no intervención en operaciones normales
 Monitoreo de grandes redes siempre que exista capacidad suficiente para análisis de
tráfico
Desventajas:

 Pueden presentar dificultad de procesamiento y falla en identificación de ataques en

momentos de tráfico elevado de red.
 Falencias en descubrimiento de irrupciones con información cifrada. (Chicano, 2014)
SNORT está enfocado para ser eficiente, simple y flexible y se encuentra formado por tres
subsistemas: el decodificador de paquetes, la maquina encargada de la detección y el subsistema
de alerta y logs. (Mira, 2002)
Para instalar el IDS SNORT el programa puede ser bajado desde la web; para la compilación
correcta se requiere tener las librerías libpcap, la interfaz desde espacio de usuario guardada para
el manejo de paquetes de red, y es aconsejable aunque no obligatorio instalar Libnet, librería que
permite la construcción y manejo de paquetes de red. Con este software instalado correctamente,
la compilación de SNORT es ligera. (Villalón, 2002)
2.2. HERRAMIENTA IDS PROPUESTA: CISCO SECURE IDS

Son dispositivos de seguridad de red que detecta la actividad no autorizada - ataques- y previenen
el acceso a los recursos críticos del servidor en tiempo real permitiendo responder con rapidez a las
amenazas de seguridad.
 11

La versión más reciente del sensor es la V3.0 que incluye mecanismos de actualización automática
de firmas en un leguaje robusto permitiendo a los clientes escribir sus propias firmas y extensiones al
módulo de respuestas que añade soporte a la familia de firewalls Cisco PIX y a los conmutadores
Cisco Catalyst.
Cisco Secure IDS adiciona dos elementos: Sensor y Director. El contenido delos paquetes enviados
son analizados en forma individual por Cisco Secure IDS Sensors quien determina si se autoriza su
tráfico. Si se detecta una intrusión, como por ejemplo un ataque de pruebas SATAN
(SystemAdministratorsToolforAnalyzing Networks), un barrido de pings o si una persona que tiene
acceso a información confidencial envía un documento que contiene una palabra código de
propiedad, los sensores de Cisco Secure IDS pueden detectar el uso incorrecto en tiempo real, enviar
alarmas a una consola de gestión de Cisco Secure IDS Director para la ubicación geográfica y
eliminar el atacante de la red.
Dado que el sistema Cisco Secure IDS incorpora funciones de respuesta pro-activas en Sensor,
mediante la modificación de las listas de control de acceso (ACL) de los routers Cisco los usuarios
pueden configurar el sistema para rechazar o eliminar automáticamente ciertas conexiones. Esta
característica puede ser temporal o, si se desea, se puede mantener indefinidamente. El resto del
tráfico de la red funcionará normalmente: sólo se eliminará de forma rápida y eficaz el tráfico no
autorizado de los usuarios internos o de los intrusos externos. Así se consigue que los operadores de
seguridad tengan un poder de actuación sobre toda la red para detener rápidamente la utilización
inadecuada de recursos o el acceso de intrusos a la red.
Para mayor desempeño se distribuye en tres planos funcionales el administrativo, de control y de
datos:
 Plano de administración: Administra el tráfico enviado al dispositivo Cisco IOS y está
compuesto por aplicaciones y protocolos como Shell seguro (SSH) y Protocolo simple de
administración de redes (SNMP).
 Plano de control: El plano de control de un dispositivo de red procesa el tráfico que es
crucial para mantener en funcionamiento la infraestructura de la red. El plano de control
consiste en aplicaciones y protocolos entre dispositivos de red, que incluyen el protocolo
Border Gateway Protocol (BGP) y los protocolos Interior Gateway Protocols (IGP), como
Enhanced Interior Gateway RoutingProtocol (EIGRP) y Open ShortestPathFirst (OSPF).
 Plano de datos: Reenvía datos mediante un dispositivo de red. El plano datos no incluye
el tráfico que se envía al dispositivo IOS de Cisco local.

2.2.1. SNORT IPS

La función Snort IPS habilita el Sistema de prevención de intrusiones (IPS) o el Sistema de detección
de intrusiones (IDS) para sucursales en los enrutadores de servicios integrados de la serie 4000 de
Cisco y el enrutador de servicios en la nube de Cisco de la serie 1000v. Esta característica utiliza la
solución de código abierto Snort para habilitar IPS e IDS. La función Snort IPS está disponible en
Cisco IOS XE versión 3.16.1S, 3.17S y versiones posteriores.

Descripción general de Snort IPS

La función Snort IPS permite el Sistema de prevención de intrusiones (IPS) o el Sistema de detección
de intrusiones (IDS) para sucursales en los enrutadores de servicios integrados de la serie 4000 de
Cisco y enrutador de servicios en la nube de Cisco de la serie 1000v. Esta característica utiliza el
motor Snort para proporcionar funcionalidades IPS e IDS.
 12

Snort es un IPS de red de código abierto que realiza análisis de tráfico en tiempo real y genera alertas
cuando se detectan amenazas en las redes IP. Además puede realizar análisis de los protocolos, la
búsqueda y/o coincidencia de contenidos y detectar una variedad de ataques y sondas, como
desbordamientos de búfer, escaneos de puertos furtivos, etc. 
El motor Snort funciona como un servicio de contenedor virtual en los enrutadores de servicios
integrados de la serie 4000 de Cisco y el enrutador de servicios en la nube de Cisco de la serie
1000v.
Descripción general de las interfaces de servicio virtual de Snort:
El sensor Snort se activa como si fuera un servicio en enrutadores. Los contenedores de servicios
utilizan tecnología de virtualización para proporcionar un entorno de alojamiento en dispositivos Cisco
para aplicaciones.Puede habilitar la inspección de tráfico de Snort ya sea por interfaz o globalmente
en todas las interfaces compatibles. El tráfico a inspeccionar se desvía al sensor de Snort y se inyecta
de nuevo. En el Sistema de detección de intrusos (IDS), las amenazas identificadas se informan
como eventos de registro y se permite que el IPS tome medidas para prevenir ataques junto con
eventos de registro.

3. HERRAMIENTA PARA IMPLEMENTAR SERVIDOR PROXY

El servidor proxy de Linux normalmente se trata de un servidor que almacena páginas web visitadas
para solicitudes posteriores; cuando se intenta acceder a una web que ya se examino con
anterioridad, esta será traída del servidor proxy; la utilidad de esta funcionalidad es que hace la
navegación en la web sea mucho más ligera y disminuye el tráfico, ocasionando un menor costo ya
que los servidores de almacenamiento en cache pueden reducir el tráfico de red hasta en un 45%.
Otra ventaja es que estos servidores permiten configurar el acceso a la web denegando o permitiendo
el acceso a sitios web determinados. Los servidores proxy de Linux más comunes son: Squid,
Varnish, Polipo, TinyProxy entre otros. (Mokhtar, 2017).
Un servidor proxy es un intermediario entre un usuario final / computadora e Internet. Un servidor
proxy actúa como un conductor de tráfico. Dependiendo de dónde se encuentre el servidor proxy en
su red, inspecciona y enruta el tráfico de Internet hacia / desde el usuario y la dirección web
solicitada.

3.1. SERVIDOR PROXY LINUX SQUID

Las principales funciones del servidor squid son las siguientes: posibilita acceder a la web a equipos
privadas (IP privada) no conectados de forma directa a Internet, aplica reglas para control del acceso
Web, controla el tráfico web a partir de la red local hacia el exterior y toda la información web que se
ha consultado y descargado, fiscaliza la seguridad de la red local ante la posibilidad de ataques o
intrusiones en el sistema, almacena las páginas web visitadas por los usuarios y de esta manera las
puede enviar a otros usuarios sin tener que acceder a Internet de nuevo, guarda en caché las
peticiones DNS e implementa una caché para las conexiones fallidas, registro de logs de todas las
peticiones tramitadas, soporta el protocolo ICP que permite integrar cachés que colaboran y permite
crear jerarquías de cachés y el intercambio de datos. (Dijous, 2018)

Las ventajas de la implementación de un servidor proxy squid son las siguientes:

 Ahorro en tiempos de respuesta cuando la pagina web solicitada esta almacenada en la

cache del servidor ya que no se debe remitir al servidor de origen.
 13

 Disminución en el tráfico de red y consumo ancho de banda ya que si la página se

encuentra guardada en la cache la petición no sale de la red local y no utiliza la línea
exterior.
 Contrafuegos cuando se utiliza este proxy conecta con el exterior y puede realizar estas
funciones aumentando la seguridad respecto al acceso de información.
 Filtrado de servicios ya que solo se activan y dejan disponibles los servicios necesarios
en la configuración. (Dijous, 2018)

3.1.2 DESCRIPCIÓN DE LA INSTALACIÓN DEL PROXY LINUX SQUID

Para una configuración básica se requiere que en el servidor se determine el espacio en disco que se
va a destinar al servidor proxy, configurar el servidor a nivel de puertos, usuarios, directorios, etc. y
arrancar el servicio.
En el cliente se necesita realizar una configuración manual de servidor, protocolos y puerto. La
configuración automática se puede realizar con el archivo proxy pac.
En el empleo el proxy-caché es preciso que la configuración del navegador indique que la conexión a
Internet no es directa, sino a través del proxy. (Dijous, 2018)

Para las distribuciones basadas en Red Hat, puede instalarlo de la siguiente forma:
$ dnf -y install squid

Si se utiliza una distribución basada en Debian, puede instalarlo así:

$ apt-get -y install squid

Ahora puede iniciar el servicio de Squid y habilitarlo para que ejecute inicio del sistema:
$ systemctl start squid

$ systemctl enable squid

Para que el servidor proxy guarde toda la información en cache, puede verificar el archivo de
configuración en 
/etc/squid/squid.conf

Antes de profundizar en la configuración, veamos el servidor proxy en acción: cambia la configuración

del proxy en el navegador a la ruta IP del proxy y el puerto 3128, puerto predeterminado de
Squid. Puede cambiar el puerto predeterminado cambiando la opción http_port en el archivo de
configuración.
 14

Como se muestra en la imagen, está apuntando al navegador, al servidor proxy Linux y es posible
navegar por la web sin ningún problema. Si está utilizando el firewall de iptables, no olvide abrir el
puerto del servidor squid.

Permitir la Conexión de un Rango de IPs

Si abre el archivo de configuración /etc/squid/squid.conf, verá las reglas que permiten que las
direcciones IP se conecten al servidor proxy:
acl localnet src 192.168.0.0/16
Sin embargo, puede agregar una nueva entrada ACL para permitir que un rango de direcciones IP se
conecte al servidor proxy:
acl localnet src 212.80.113.0/16
A continuación, guarda el archivo y reinicia el servicio Squid:
$ systemctl restart squid
Además, si elimina cualquier entrada ACL del archivo, todas las direcciones IP de ese rango no
podrán conectarse al servidor proxy.

Permitir Puertos Específicos

Puede encontrar todos los puertos permitidos en el archivo de configuración:
acl Safe_ports port 80
Ten en cuenta incluir la regla Safe_ports ACL en cualquier puerto que necesiten sus clientes. Se
puede agregar un rango de puertos así:
acl Safe_ports port 6000-7000
No olvides reiniciar el servidor proxy squid después de la modificación:
$ systemctl restart squid

Autenticación de Usuarios
Puede obligar a sus usuarios a autenticarse antes de que utilicen tu servidor proxy de Linux utilizando
la autenticación de Apache. Primero se crea un archivo que almacenará a los usuarios:
 15

$ touch /etc/squid/passwd
Luego, permite que el demonio squid acceda al archivo de esta manera:
$ chown squid /etc/squid/passwd
Ahora creara un nuevo usuario utilizando el comando htpasswd:
$ htpasswd /etc/squid/passwd likegeeks
Pedirá la contraseña dos veces.
Si abre el archivo creado, verá el usuario y la contraseña hash. Luego cambia la configuración de
Squid para decirle la autenticación que deberá utilizar.
Agrega las siguientes líneas debajo de los puertos ACL y en ningún otro lugar para habilitar la
autenticación:
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd

auth_param basic children 5

auth_param basic realm Squid Basic Authentication

auth_param basic credentialsttl 3 hours

acl auth_users proxy_auth REQUIRED

http_access allow auth_users

A continuación, reinicia el servicio squid e intenta abrir el navegador nuevamente.
$ systemctl restart squid
Si intenta conectarse al servidor proxy solicitará usuario y contraseña:

Bloquear sitios web

Puede bloquear sitios web a los usuarios del proxy, solo cree un archivo separado que será la lista de
dominios que desea bloquear y apunta ese archivo desde la configuración de Squid de la siguiente
manera:
$ touch /etc/squid/blocked
Luego, escribe todos los sitios web que desea bloquear uno por línea en ese archivo y guárdelo.
Modifique la configuración de Squid para obstruir esos sitios web en la lista acl y http_access.
acl blocked_sites dstdomain "/etc/squid/blocked"

http_access deny blocked_sites

A continuación, reinicia el servicio squid:
$ systemctl restart squid
Hay muchas listas ya preparadas y clasificadas, puede usarlas en squid, como las listas negras de
MESD, listas negras de Shalla entre otras.
 
 16

Modificar contenido
Teniendo en cuenta que el proxy de Linux se ubica entre el navegador y el Internet, esta es una muy
buena posición para modificar el contenido entregado. Es capaz de modificar imágenes, anuncios o lo
que sea utilizando el módulo url_rewrite_program. En este ejemplo, se voltearan las imágenes y se
navegara por las imágenes volteadas en lugar de las originales.
Primero, es necesario instalar ImageMagick:
$ dnf -y install imagemagick
Luego, se escribe un script en Perl que hará la magia. Este script de Perl busca imágenes JPG, GIF y
PNG en el contenido publicado, una vez que lo encuentra, utiliza la utilidad mogrify que está incluida
con ImageMagick para voltear las imágenes y poner las imágenes volteadas en
/var/www/html/ (directorio raíz) del servidor Apache y el servicio apache ejecutándose y luego enviar
las imágenes volteadas como respuesta.
Solo asegúrese de agregar la propiedad de squid para esta carpeta:
$ usermod -aG www-data squid
Finalmente, debe agregar el script a la configuración de Squid. Abre el archivo de configuración y
escribe lo siguiente:
url_rewrite_program /home/likegeeks/flip.pl
Luego reinicia el servicio squid
$ systemctl restart squid
La web tiene muchos scripts de Perl que travesiean con el contenido, algunos buenos y otros
malvados.
 
Navegación anónima en servidor proxy de Linux
De forma predeterminada, el servidor proxy squid reenvía la dirección IP del cliente al sitio solicitado,
si desea que el proxy navegue de forma anónima entre los usuarios, debe enviar la IP de squid en
lugar de la IP de los clientes.
Para hacer eso, cambie la opción forwarded_for a off en el archivo
/etc/squid/squid.conf
.
forwarded_for off
Incluir las opciones mencionadas al final del archivo de configuración. Reinicia el servicio:
$ systemctl restart squid
Puedes verificar tu dirección IP pública, notarás que tu IP es la IP del servidor proxy Squid.
 
Conectando servidores de squid
La directiva cache_peer instaura cachés de sus peers y notifica a Squid cómo establecer
comunicación con ellos. La sintaxis puede ser:
cache_peer hostname Server-type http-port icp-port [options]
El primer argumento corresponde al otro nombre de host squid o dirección IP.
El segundo argumento detalla el tipo del otro servidor.
El tercer argumento, número de puerto.
El cuarto argumento indica el puerto ICP (Internet Caching Protocol) 3130, se usa para consultar
servidores de caché.
El cache_peer cuenta con diferentes opciones:
proxy-only: para evitar que Squid guarde las respuestas que recibe del otro servidor squid.
no-delay: ignorado para retrasos.
login= user:password: Es la sintaxis que llevan contraseñas de autenticación para el otro servidor. 
connect-timeout: tiempo de espera de conexión a otros servidores squid.
Escriba sus opciones, guarde el archivo de configuración y reinicia el servicio.
 
Archivos de registro de Squid
 17

Estos archivos de registro (logs) son fundamentales para el diagnóstico de problemas y diversas

operaciones de squid. Existen distintos archivos log cache.log, access.log y store.log. Puede
encontrarlos en el directorio:
/var/log/squid

El archivo cache.log incluye comunicados informativos sobre el funcionamiento de Squid. Los

registros de errores proxy se incluyen en este archivo. El archivo access.log tiene las solicitudes
HTTP ejecutadas por los clientes. El archivo store.log conforma información de los objetos pasados.
Cada ingreso en estos archivos registra marcas de tiempo de generación del mensaje. (Mokhtar,
2017)

3.2. HERRAMIENTA PROPUESTA: CISCO UMBRELLA PROXY

Proxy inteligente con capacidad de Umbrella para interceptar solicitudes de archivos maliciosos
incrustados en ciertos dominios llamados “grises”. Proporciona la primera línea de defensa contra las
amenazas en Internet sin importar dónde se encuentren los usuarios, permitiendo tener visibilidad
completa de la actividad que se registra en Internet en todas las áreas, equipos, usuarios, y detiene
las amenazas antes de que lleguen a su red o endpoints.
Proporciona acceso seguro a Internet para todos desde cualquier lugar, tiene la capacidad de
bloquear las amenazas en la capa DNS. Es decir mediante el análisis y conocimiento de los patrones
de la actividad en Internet, descubre fácilmente la infraestructura que los delincuentes han preparado
para lanzar ataques, y bloquea de forma dinámica las solicitudes a destinos maliciosos antes de que
la conexión se realice –sin añadir latencia a los usuarios. Detiene fácilmente los phishing y las
infecciones de malware, identificados más rápidamente los dispositivos que ya han sido infectados y
previene la sustracción de datos.
Este proxy tiene grandes ventajas, que lo hacen más seguro, al igual que más rápido.
 Sus servicios se basan en la nube, puede remontar y operar en cualquier cantidad de tráfico de
internet sin generar demoras en la respuesta.
 Si un computador abandona la red corporativa, el proxi inteligente se asegura de la protección
24/7/365
 Ofrece visibilidad y protección en todos lados.
 Inteligencia para descubrir ataques con anticipación
 Como Umbrella tiene algunas listas de dominios identificadas como peligrosos estos son
detenidos inmediatamente por el servicio DNS de Umbrella. Otros dominios que Umbrella sabe
siempre serán buenos; estos siempre están permitidos por el servicio DNS. Para aquellos
dominios que están en la lista gris de Umbrella, Umbrella representa el tráfico HTTP y HTTPS
hacia y desde el dispositivo para protegerlo del acceso a archivos maliciosos.
 También puede excluir las categorías de contenido de la representación mediante la creación de
una lista de descifrado SSL donde se crea una lista y luego las solicitudes de acceso a destinos
dentro de una categoría de contenido seleccionada no se representarán aunque el proxy
inteligente esté habilitado.
 En la actualidad, el área investigativa de Umbrella determina su representa un dominio,
basándose en la inteligencia de amenazas de Umbrella.
 18

4. METODOLOGIAS Y HERRAMIENTAS DE INTRUSIÓN Y TESTING

 Metodología OSSTM (Open Source Security Testing Methodology): Esta metodología de

testeo de seguridad de código abierto fue construida por el Instituto para la Seguridad y Código
Abierto (ISECOM) y brinda una metodología de evaluación de sistemas de seguridad,
especialmente de cortafuegos e IDS/IPS. (Chicano, 2014)
Este sistema propone evaluar una serie de áreas llamadas “Dimensiones de Seguridad” analiza
varios factores (visibilidad, acceso, confianza, autenticación, confidencialidad, privacidad,
autorización, integridad y seguridad) se publico en el año 2010 y consta de cuatro fases:
1. Fase de Inducción: Se establece el objeto, lo que se requiere y restricciones de auditoría. 2.
Fase de Interacción: Se trata de identificar correspondencia entre alcance, objetivos y activos
involucrados. 3. Fase de requerimientos: Se realizan capacitaciones, configuraciones verificación
de procesos, propiedad intelectual, socializaciones y otros. 4. Fase de Intervención: apunta a la
inserción de los objetivos y su afectación. OSSTM no tiene contemplado fases, canales o módulos
para evaluar aplicaciones Web. (Vanegas, 2019)

 Metodología OSEC (Open Security Evaluation Criteria): el Criterio de Evaluación de Código

Abierto y gratuito es similar al OSSTM pero se enfoca fundamentalmente en la
estandarizarización de productos de seguridad con relación a los NIDS y a los cortafuegos.
(Chicano, 2014)
El conjunto de pruebas principales para esta metodología incluye verificación de integridad del
dispositivo, línea base de firma, prueba de estado, lista de evasión y prueba línea táctil.
Puede personalizar según las necesidades de seguridad a través de sus extensas opciones de
configuración, incluyendo reglas de alerta personalizadas y escribiendo scripts para tomar
medidas cuando se producen alertas. Ofrece detección integral de intrusiones basada en host en
múltiples plataformas, incluyendo Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac y VMware
ESX.

Algunas herramientas de libre distribución, permiten la creación de amplias cantidades de ataques

falsos facilitando la configuración de los IDS/IPS; algunas también utilizan reglas propias para
evaluar capacidades de detección; (Chicano, 2014) estas son:

 IDSWakeup: Es un instrumento de libre distribución se basa en comandos UNIX utilizando

colecciones de otras herramientas y patrones de ataques probando los sensores que detectan
intrusiones. Principalmente se encarga de generar falsos ataques desde direcciones IP
específicas o aleatorias con el objetivo de comprobar si el sistema IDS/IPS realiza las detecciones
de forma correcta. La matriz de ataques simulada del FTP malintencionado realiza solicitudes de
secuencias de DOS, al buffer del servidor Web. Algo que la hace distinta a esta herramienta
IDSWakeup, respecto a otras, es el TTL (tiempo de vida del paquete). La opción de cambio en el
campo de TTL en un paquete hace posible enviar los ataques que lograrían provocar reglas de
IDS, sin afectar a los servidores de producción. Esta característica es una excelente bondad para
los consultores y administradores que pueden sacar provecho a las capacidades de este
instrumento durante horas de producción sin temor de interrupción del negocio. (Gimenez, 2008)
 Sneeze: también se encarga de producir falsos positivos, se ha diseñado especialmente para
Snort escrito en perl. Esta herramienta permite leer los ficheros de firmas de snort (rules) y
 19

originar los paquetes que snort emplea para la identificación de un ataque. Sneeze hace posible
la comprobación del correcto funcionamiento de Snort de una forma segura. (Giménez, 2008)
 Stick: herramienta que se utiliza para evaluar la capacidad del sistema para detectar intrusiones
y testear las reglas del IDS y del cortafuegos. Esta herramienta para la detección de intrusos
testea reglas de contrafuegos y reglas del IDS, se escribió para funcionar sobre Linux x86 pero
con algunas librerías funciona en otros sistemas. (Giménez, 2008)
 Ftester: esta herramienta envía ataques de red a equipos remotos, está compuesto por dos
scripts escritos en Perl, se pueden descargar desde http://ftester.sourceforge.net. Un script realiza
el envío de ataques de red a hosts remotos, dejándole hacer spoofing de IP y puertos. El otro
script, es un sniffer utilizado para lectura en paquetes de ataque enviados al sistema de destino.
El primero se puede emplear para probar NIDS y HIDS, y el segundo se utiliza en conjunto con el
primero para realizar testeos en filtros de red y cortafuegos. Ftester imita conexiones auténticas
TCP y requiere la configuración del archivo ftest.conf para instaurar los paquetes de ataque a
enviar, también se deben configurar los módulos Perl: Net::RawIP, Net::PcapUtils, NetPacket.
(Giménez, 2008)
 ISAAF (Information Systems Security Asseessment Framework): Constituye un conjunto
estandarizado de conceptos, prácticas y criterios detallado, relacionados con todas y cada una de
las actividades arealizar enel testeo de seguridad.
La Metodología de penetración ISSAF, se diseña con el objetivo de evaluar los controles
implantados en la red, sistemas y aplicaciones. Se divide en tres (3) etapas.
Fase 1: Planear y Preparar. En esta etapa se inician las pruebas de penetración y se plantean las
reglas para ejecutar la auditoria, se diligencia un tratado estableciendo y explicando las
responsabilidades de las partes garantizando los principios de legalidad. Normalmente en esta
fase se ejecutan las siguientes actividades:
Caracterización de las personas de contactos y la escala de privilegios de ambas partes.
Agendar una sesión de trabajo para plantear los límites, el foco y las técnicas de trabajo, fechas
exactas y los tiempos de la prueba.
Fase 2: Evaluación. Esta fase se concentra en el test de penetración (auditoria - evaluación de la
organización), la cual se realiza a través de nueve (9) capas, cada capa representa un mayor
nivel de acceso a los activos de la información:
 Recopilación de la Información (Information gathering). Se trata de investigar la mayor
cantidad de información objetivo utilizando instrumentos técnicos o navegadores; principiando
de esta forma la auditoría informática. En este paso cualquier información puede volverse
relevante como los folletos, tarjetas de presentación, anuncios en periódicos, etc. La
interacción con el sistema objetivo no es imperioso para llevar a cabo esta tarea, ya que esta
información prácticamente se obtiene de fuentes públicas e internet. En conclusión, en esta
capa se exploran todos los medios de los cuales podamos conseguir algún tipo de información
(motores de búsqueda, noticias, correos, blogs, documentos internos, lista de visitantes,
controles de accesos.
 Mapear Red (Network mapping). El propósito de este paso es moldear la posible topología
objeto, como son los hosts vulnerables, puertos, servicios y mapeo de red perimetral, la
identificación de los servicios críticos, e impresión de huellas en sistemas operativos, para lo
cual, el auditor pasa a un aspecto más técnico, apoyándose en un sin número de
herramientas.
 Identificación de Vulnerabilidades (Vulneratibility identification). Partiendo de la información
investigada y las cogniciones del auditor. Para llevar a cabo esta labor, se debe realizar el
 20

escaneo de vulnerabilidades posibles ya identificadas, listar las vulnerabilidades encontradas,

calcular el posible impacto de las vulnerabilidades encontradas, identificar las probables rutas
de ataque y espacios de explotación.
 Penetración (Penetración). El auditor al aludir controles y/o medidas de seguridad que tenga el
sistema informático consigue ingresar al sistema con el tope de privilegios para intentar llegar
lo más lejos posible, en cuanto al nivel de acceso de la información. En algunos casos, el
auditor puede diseñar e implementar sus propias herramientas o script, evaluando el
costo/beneficio yrealizar pruebas con los conceptos previos, los cuales una vez validados y
aplicados sobre el objetivo (sistema informativo), permitirá tener certeza de las
vulnerabilidades existentes. Enla documentación se plasmará y se explicará detalladamente
las acciones ejecutadas para llevar a cabo la explotación del sistema y el impacto que tiene
sobre la organización.
 Conseguir acceder y remontar privilegios (Gaining Access and privilege escalation). Esta tarea
se puede ejecutar de diferentesformas, ya sea aprovechando perfiles sin contraseña, usando
ataques de fuerza bruta, ataques de diccionario, configuraciones preestablecidas por los
fabricantes y/o servicios expuestos públicamente que permiten ejecutar comandos sobre el
sistema. Generalmente para poder comprometer el objetivo, se hace necesario esquivar
contramedidas intermedias como puede ser firewall, IDS, etc. Una vez se tenga acceso se
debe buscar la forma de tener privilegios administrativos internamente que es el propósito final
de esta etapa, el obstáculo de esta tarea depende del aseguramiento que tenga el objetivo. En
resumen, en esta etapa se explora la posibilidad de adquirir privilegios de administrador, para
eludir bloqueos que se podrían presentar por los antivirus, firewall y otros mecanismos de
seguridad.
 Enumeración Adicional (Enumerating futher). Se busca encontrar las vulnerabilidades que
tiene el sistema, para lo cual, el auditor se apoya de múltiples técnicas, como obtener
contraseñas cifradas o en texto plano, capturar y analizar tráfico de redes internas, recolectar
correos electrónicos y/o cookies de sesión.
 Implicar usuarios remotos y sitios (Compromise remote user/sites). Actualmente No es una
garantía total que una organización use canales seguros para comunicación evitando que la
información sea alterada en el medio. El auditor puede comprometer los accesos o sitos
remotos que por sus características pueden dar privilegios dentro del sistema. Se debe tener
en cuenta que las comunicaciones entre los usuarios a través de sitios remotos y redes
empresariales pueden ser con métodos de autenticación cifrado, como VPN, lo cual no es
una garantía de que los externos no hayan sido intervenidos.
 Mantener Acceso (Maintaining Access). Con la explotación de sistema el siguiente objetivo es
dejar un acceso abierto, es decir como un back door, el cual será usado para instalar exploit,
script, rootkits, etc. Normalmente esta tarea no es ejecutada durante la auditoria por que
puede una amenaza que genera para una organización si un atacante ingresa por estos
accesos.
 Cubrir Ratros - huella (Cover the tracks). En este paso la metodología muestra de manera
informática como en el proceso de auditoria debe ser lo más transparente posible con el
cliente, por lo que no es necesario quitar la evidencia de la actividad que se realizó a menos
que la auditoria tenga como alcance esta etapa, para lo cual se deben ocultar los archivos
usados durante la intrusión, limpiar logs, regenerar firmas y activar el antivirus si en la
intrusión se desactivo.
 En ISSAF se hace referencia a la revisión de la auditoria del sistema, brindando de esta
manera mucha más información que las pruebas de penetración ensí mismas. Se sugiere
 21

hacer esta revisión una vez las pruebas de penetración hayan terminado para establecer
servicios en ejecución, conexiones, puertos y registro remoto de acuerdo con la lista de
verificación que se tiene para cada sistema en particular.
Fase 3: Reporte, limpieza y destrucción de objetos.En esta fase se le informa al cliente los avances,
hallazgos encontrados y las evidencias de la labor efectuada, también los logros en las pruebas, los
informes detallados con las falencias de seguridad identificadas y se realizan algunas
recomendaciones.
ISSAF establece que a la hora de reportan los incidentes, estos se deben informar de inmediato y de
forma verbal, así mismo explicar cómo afecta dicho incidente a las pruebas y las medidas que se
tomaran para la solución de los inconvenientes.
Una vez la auditoría termine con todos los casos de prueba, se debe presentar el informe final al
cliente, en el cual se describen las actividades realizadas, el resultado derivado y teniendo en cuenta
los descubrimientos se procede a realizar recomendaciones para mejorar la seguridad informática. En
el momento de la preparación y presentación del informe ISSAF se sugiere abordar los siguientes
puntos:
 Resumen administrativo.
 Alcance del proyecto.
 Herramientas usadas.
 Ejecución de las pruebas – Fechas y horarios en sistema
 Respuestas en cada tarea ejecutada.
 Detalle de las vulnerabilidades que se identificaron y las acciones para depurar los hallazgos.
 Relación de tareas planteadas indicando el orden de ejecución.
La limpieza y destrucción de artefactos, se constituye como el último pasó dentro de la fase 3,
haciendo referencia al restablecimientos de configuraciones y a la desconexión de dispositivos, así
mismo a la información borrada, creada y almacenada las cuales fueron usadas en la auditoria. Cabe
resaltar que en el caso de no realizar dicha actividad, se deben hacer explicitas las tareas a realizar
dentro del informe técnico para el departamento de sistemas de la organización.
Para pruebas de intrusión ISSAF en la etapa 2 está compuesta por 3 fases y 9 pasos que se pueden
identificar en la siguiente figura:
 22

Fuente: Metodología ISSAF https://prezi.com/5ssonumqypgo/metodologia-issaf/

 23

CONCLUSIONES

 Es importante conocer todas las posibles amenazas de ataques y falencias a las que se
puede ver abocada la compañía para establecer las defensas necesarias ya sea con la
implementación en primera instancia de las soluciones abordadas para cada tipo de ataque
identificado y posteriormente utilizando las diferentes herramientas para detección y prueba de
intrusiones a los sistemas.

 Se recomienda el IDS snort basado en red debido a la cualidad que proporciona información
integral y concreta en cuanto a todas las actividades maliciosas que se pueden presentar en la
red; además de que envía alertas a los administradores cuando identifica probables ataques
dentro de la red. Económicamente esta opción tiene la ventaja de que su distribución es
gratuita, no requiere software adicional para la instalación en los servidores y posee más de
700 firmas en su base de datos para identificar posibles patrones de ataques que se puedan
presentar en línea lo que convierte a esta opción en un instrumento oportuno y dinámico
dentro de la gestión de seguridad de la compañía.

 El servidor proxy Linux Squid es la opción recomendada para la implementación teniendo en

cuenta los ahorros en cuanto a tiempos de respuesta debido al almacenamiento en cache de
los sitios visitados, disminución en el tráfico de red y consumos en ancho de banda; la
posibilidad de configurar el contrafuegos en caso de conectarlo directamente con el exterior y
por supuesto el filtrado de servicios al dejar disponibles únicamente los necesarios en la
configuración.

 La elección de la metodología de testing a utilizar es algo difícil ya que en este compendio se

expusieron seis metodologías que están al alcance teniendo en cuenta que son de código
abierto y gratuitas; además las bondades que ofrecen las hacen atractivas para su utilización;
personalmente sugeriría utilizar la metodología IDSWakeup, la cual se encarga del envió de
falsos ataques con el ánimo de comprobar si el IDS/ IPS realiza las detecciones
correctamente; tiene una particularidad y es que la variable TTL (Tiempo de vida del paquete)
puede modificarse para provocar las reglas del IDS sin generar impactos en los servidores de
producción lo cual puede ser una ventaja ya que se pueden realizar los testeos en horas de
producción sin que se presenten impactos en la operación. Si fuera posible alternaría la
metodología mencionada con Sneeze que también realiza falsos positivos pero la diferencia
es que se diseño específicamente para Snort que es el IDS propuesto en este informe técnico,
esta herramienta permite la lectura de los ficheros de firmas de snort y origina los paquetes
que snort utiliza para evaluar la ocurrencia de un ataque; esta herramienta se encarga de
validar el correcto funcionamiento de snort con seguridad.
 24

BIBLIOGRAFIA

Esther Chicano Tejada. 2014. Gestión Incidentes de Seguridad Informática. IC Editorial. Pg. 28, 29,
30, 99, 202.
OSI Oficina de seguridad Internauta .Octubre 2016.Malware. Cuál es su objetivo y cómo nos infecta
Miguel Colobran Huget, Josep María Arqués Soldevilla, Eduard Marco Galindo. 2008. Administración
de sistemas operativos en red. Editorial UOC.Pg.233
Sory, F. K. 2011. Detección de intrusos en la capa de enlace del protocolo 802.11. Retrieved from
https://ebookcentral-proquest-com.bibliotecavirtual.unad.edu.co. Pg. 32, 33, 34
Antonio Villalón Huerta. 2002. Seguridad en Unix y Redes. Software libre fundación. Pg. 328
Emilio José Mira Alfonso. 2002. Implantación de un sistema de detección de Intrusos. Universidad de
Valencia. Pg. 42.
Ebrahim Mokhtar. 2017. Servidor Proxy de Linux (Squid). Disponible:
https://likegeeks.com/es/servidor-proxy-de-linux-squid/
Dijous. 2008. Squid Servidor Proxy – Cache. Disponible:
http://recursostic.educacion.es/observatorio/web/ca/software/servidores/589-elvira-mifsud
Alfonso Yucenid Vanegas Romero. 2019. Pentesting, ¿Porque es importante para las empresas?.
Universidad Piloto de Colombia.
María Isabel Giménez García. 2008. Utilización de sistemas de detección de intrusos como elementos
de seguridad Perimetral. Universidad de Almería.
Metodología ISSAF https://prezi.com/5ssonumqypgo/metodologia-issaf/
https://www.cisco.com/c/en/us/products/security/ngips/index.html

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_utd/configuration/xe-16/sec-data-utd-xe-
16-book/snort-ips.html

https://datacom.global/caracteristicas-de-cisco-umbrella/

https://docs.umbrella.com/deployment-umbrella/docs/enable-the-intelligent-proxy