UNIVERSIDAD TECNOLÓGICA DE NEZAHUALCÓYOTL

DIVISIÓN TELEMÁTICA

Carrera: Ing. Tecnologías De La Información Y Comunicación

Materia: Seguridad de la Información

Profesor: Rodolfo Hernandez Valdez

Nombre De La Actividad: Resumen Capitulo 1

Alumno:

Brandon Adrian Tenorio Flores - 191112031

Grupo: ITIC-1011M
 INTRODUCCION
Amenazas modernas de seguridad de red
La seguridad de la red ahora es una parte integral de la red informática. La seguridad de la red
implica protocolos, tecnologías, dispositivos, herramientas y técnicas para proteger los datos y
mitigar las amenazas
La seguridad de la red está impulsada en gran medida por el esfuerzo de mantenerse un paso por
delante de los hackers mal intencionados. Del mismo modo que los médicos intentan prevenir
nuevas enfermedades mientras tratan los problemas existentes, los profesionales de seguridad de
la red intentan prevenir posibles ataques mientras minimizan los efectos de los ataques en tiempo
real.
Se han creado organizaciones de seguridad de red para establecer comunidades formales de
profesionales de seguridad de red. Estas organizaciones establecen estándares, fomentan la
colaboración y brindan oportunidades de desarrollo de la fuerza laboral para los profesionales de
seguridad de redes. Los profesionales de seguridad de redes deben conocer los recursos que brindan
estas organizaciones.
La seguridad de red se divide en dominios de seguridad de red, y los ataques de red se organizan
en clasificaciones para que sea más fácil aprender sobre ellos y abordarlos adecuadamente. Los
virus, gusanos y caballos de Troya son tipos específicos de ataques a la red. En términos más
generales, los ataques a la red se clasifican como ataques de reconocimiento, acceso o denegación
de servicio (DoS).
 CAPITULO 1:
1.1.1.1 Las redes son objetivos
una compañía llamada Norse Dark Intelligence mantiene una visualización interactiva de los
ataques de red actuales en servidores honeypot.
Estos servidores son señuelos desplegados a propósito por organizaciones que desean estudiar
cómo los hackers comprometen los sistemas.
Si se enfrenta a un ataque de denegación de servicio distribuido (DDoS) de tamaño bajo a mediano,
puede explorar estos registros y encontrar la información que necesita para protegerse de estos
ataques.
Sin embargo, con ataques más grandes, las búsquedas manuales requieren mucho tiempo y son
ineficaces. Es por eso que debe haber otros planes para combatir los ciberataques.

1.1.1.2 Razones para la seguridad de la red

Las infracciones de seguridad de la red pueden interrumpir el comercio electrónico, causar la
pérdida de datos comerciales, amenazar la privacidad de las personas y comprometer la integridad
de la información.
Estas infracciones pueden dar como resultado la pérdida de ingresos para las corporaciones, el robo
de propiedad intelectual, demandas judiciales e incluso pueden amenazar la seguridad pública.

1.1.1.3 Vectores de ataques de red

Un vector de ataque es una ruta u otro medio por el cual un atacante puede obtener acceso a un
servidor, host o red. Muchos vectores de ataque se originan desde fuera de la red corporativa.

Un ataque DoS ocurre cuando una red está incapacitada y ya no es capaz de admitir solicitudes de
usuarios legítimos.

1.1.1.4 Pérdida de datos

Es probable que los datos sean el activo más valioso de una organización. Los datos de la
organización pueden incluir datos de investigación y desarrollo, datos de ventas, datos financieros,
recursos humanos y datos legales, datos de empleados, datos de contratistas y datos de clientes.

1.1.2.1 Redes de área del campus

Todas las redes son objetivos. Sin embargo, el enfoque principal es asegurar las Redes de Área del
Campus (CAN). Las redes de área del campus consisten en LAN interconectadas dentro de un área
geográfica limitada.
1.1.2.2 Redes de oficinas pequeñas y oficinas domésticas
Es importante que todos los tipos de redes, independientemente de su tamaño, estén protegidos.
Los atacantes también están interesados en las redes domésticas y las redes de oficinas pequeñas y
oficinas domésticas.

Las redes domésticas y los SOHO generalmente están protegidos mediante un enrutador de grado
de consumo, como un enrutador inalámbrico doméstico Linksys. Estos enrutadores proporcionan
características de seguridad básicas para proteger adecuadamente los activos internos de los
atacantes externos.

1.1.2.3 Redes de área amplia

Las redes de área amplia (WAN) abarcan un área geográfica amplia, a menudo a través de Internet
pública. Las organizaciones deben garantizar el transporte seguro de los datos en movimiento a
medida que viajan entre sitios.

1.1.2.4 Redes de centros de datos

Las redes de centros de datos generalmente se alojan en una instalación fuera del sitio para
almacenar datos confidenciales o propietarios. Estos sitios están interconectados a sitios
corporativos que utilizan tecnología VPN con dispositivos ASA y conmutadores de centros de
datos integrados, como los conmutadores Nexus de alta velocidad.

Las trampas de seguridad proporcionan acceso a las salas de datos donde se almacenan los datos
del centro de datos, las trampas de seguridad son similares a una esclusa de aire.

Una persona debe ingresar primero a la trampa de seguridad utilizando su tarjeta de identificación.
Una vez que la persona está dentro de la trampa de seguridad, se utilizan reconocimiento facial,
huellas digitales u otras verificaciones biométricas para abrir la segunda puerta. El usuario debe
repetir el proceso para salir de la sala de datos.

1.1.2.5 Nube y redes virtuales

La computación en la nube permite a las organizaciones utilizar servicios como el almacenamiento
de datos o aplicaciones basadas en la nube, para ampliar su capacidad o capacidades sin agregar
infraestructura.

La virtualización es la base de la computación en la nube. Sin ella, la computación en la nube,

como se implementa más ampliamente, no sería posible. La computación en la nube separa la
aplicación del hardware. La virtualización separa el sistema operativo del hardware.
Hyperjacking: un atacante podría secuestrar un hipervisor VM y luego usarlo como punto de
lanzamiento para atacar otros dispositivos en la red del centro de datos.
Activacion instantánea: cuando una VM que no se ha utilizado durante un periodo de tiempo se
pone en línea, puede tener políticas de seguridad desactualizadas que se desvían de la seguridad de
la línea de la base y pueden introducir vulnerabilidades de seguridad.
Tormentas de virus: esto sucede cuando todas las maquinas virtuales intentan descargar archivos
de datos antivirus al mismo tiempo.

1.1.2.6 La frontera de la red en evolución

Los empleados generalmente usaban computadoras emitidas por la compañía conectadas a una
LAN corporativa que eran monitoreadas y actualizadas continuamente para cumplir con los
requisitos de seguridad.
Hoy en día, los puntos finales de los consumidores, como iPhones, teléfonos inteligentes, tabletas
y miles de otros dispositivos, se están convirtiendo en poderosos sustitutos o complementos de la
PC tradicional. Cada vez más personas utilizan estos dispositivos para acceder a la información
empresarial. Esta tendencia se conoce como Trae tu propio dispositivo (BYOD).

1.2.1.1 El pirata informático

Hacker es un término común utilizado para describir a un atacante de red.
Hackers de sombrero blanco: Son aquellos que usan sus habilidades de programación para fines
buenos, éticos y legales pueden usar pruebas de penetración de la red en un intento de comprometer
las redes y los sistemas de la computadora para descubrir vulnerabilidades de la red.
Hackers sombrero gris: estas son personas que cometen crímenes y hacen cosas posiblemente poco
éticas, pero no para beneficio personal o para causar daños.
Hackers de sombrero negro: estos son delincuentes poco éticos que violan la seguridad d la
computadora y la red para beneficio personal o por razones maliciosas como atacar redes

1.2.1.2 Evolución de los hackers

La piratería informática comenzó en la década de 1960 con la alteración del teléfono o phreaking,
que se refiere al uso de varias frecuencias de audio para manipular los sistemas telefónicos. En ese
momento, los interruptores telefónicos usaban varios tonos, o marcación por tonos, para indicar
diferentes funciones. Los primeros piratas informáticos se dieron cuenta de que, al imitar un tono
con un silbato, podían explotar los interruptores del teléfono para hacer llamadas gratuitas de larga
distancia.
Scrip Kiddies: Se refiere a adolescentes o piratas informáticos sin experiencia que ejecutan scripts,
herramientas y exploits existentes, para causar daño, pero generalmente sin fines de lucro.
Agente de vulnerabilidad: Son piratas informáticos de sombrero gris que intentan descubrir
exploits y reportarlos a los vendedores, a veces por premios o recompensas.

1.2.1.3 Cyber Criminals

Los ciberdelincuentes operan en una economía subterránea donde compran, venden e intercambian
kits de herramientas de ataque, código de explotación de día cero, servicios de botnet, troyanos
bancarios, registradores de teclas y mucho más. También compran y venden la información privada
y la propiedad intelectual que roban a las víctimas. Los ciberdelincuentes se dirigen a pequeñas
empresas y consumidores, así como a grandes empresas y sectores verticales de la industria.
1.2.1.4 Hacktivistas
Los hacktivistas no piratean por lucro, piratean por atención. Por lo general, son ciber atacantes
motivados política o socialmente que utilizan el poder de Internet para promover su mensaje.

1.2.1.5 Hackers patrocinados por el estado

Los hackers cibernéticos patrocinados por el estado son el tipo más nuevo de hackers. Estos son
atacantes guiados y financiados por el gobierno, ordenados a lanzar operaciones que varían desde
el ciber espionaje hasta el robo de propiedad intelectual. Muchos países patrocinan a estos piratas
informáticos, pero muy pocos admitirán públicamente que existen. Las naciones contratan al mejor
talento para crear las amenazas más avanzadas y sigilosas.

1.2.2.1 Introducción de herramientas de ataque

Para aprovechar la vulnerabilidad, un atacante debe tener una técnica o herramienta que se pueda
utilizar. Con los años, las herramientas de ataque se han vuelto más sofisticadas y altamente
automatizadas, y requieren menos conocimiento técnico para usarlas que en el pasado.

1.2.2.2 Evolución de las herramientas de seguridad

Galletas de Contraseña: las contraseñas son la amenaza de seguridad mas vulnerable. Las
herramientas para descifrar contraseñas a menudo se denominan herramientas de recuperación de
contraseñas y se pueden usar para descifrar o recuperar la contraseña.
Herramientas de piratería inalámbrica: las redes inalámbricas son mas susceptibles a las amenazas
a la seguridad de la red.
Herramienta de escaneo y pirateo de redes: las herramientas d escaneo en red se utilizan para
sondear dispositivos de red, servidores y hosts en busca de puertos TCP o UDP abiertos.
Herramientas de elaboración de paquetes: se utilizan para probar la solidez de un firewall utilizando
paquetes falsificados especialmente diseñados.
Sniffers de paquetes: se utilizan para capturar y analizar paquetes dentro de LAN o WLAN ethernet
tradicionales.
Detectores de rootkits: Este es un verificador de integridad de archivos y directorios utilizando por
los sombreros blancos para detectar los kits raíz instalados.
Fuzzers para buscar vulnerabilidades: son utilizadas por los piratas informáticos cuando intentan
descubrir las vulnerabilidades de seguridad de un sistema informático.

1.2.2.3 Categorías de herramientas de ataque

Ataque de espionaje: cuando se captura información y “escucha” el trafico de la red. Este ataque
también se conoce como sniffing o snooping.
Ataque de modificación de datos: Si los piratas informáticos han capturado el trafico de la empresa
pueden alterar los datos en el paquete sin el conocimiento del remitente o receptor.
Ataque de suplantación de dirección IP: Un pirata informático construye un paquete IP que parece
originarse en una dirección valida dentro de la intranet corporativa.
Ataques basados en contraseñas: si los piratas informáticos descubren una cuenta de usuario valida,
los atacantes tienen el mismo derecho que el usuario real.
Ataque de denegación de servicio: Un ataque DoS impide el uso normal de una computadora o red
por parte de usuarios válidos. Después de obtener el acceso de la red un ataque DoS puede bloquear
aplicaciones o servicios de red.
Ataque de hombre en el medio: Este ataque ocurre cuando los hackers se han posicionado entre
una fuente y un destino. Ahora pueden monitorear, capturar y controlar activamente la
comunicación de manera transparente.
Ataque clave comprometido: Si un pirata informático obtiene una clave secreta, esta clave se
conoce como clave comprometida. Se puede usar una clave comprometida para obtener acceso a
una comunicación segura sin que el remitente o el receptor sean conscientes del ataque.
Sniffer Attack: Un sniffer es una aplicación o dispositivo que puede leer, monitorear y capturar
intercambios de datos de red y leer paquetes de red.

1.2.3.1 Varios tipos de malware

El tema central de este tema son las amenazas para dispositivos finales. Específicamente, los
dispositivos finales son propensos a ataques de malware. Es importante saber sobre el malware
porque los piratas informáticos y los delincuentes en línea confían en los usuarios para instalar
malware o ayudar a explotar las brechas de seguridad.

1.2.3.2 Virus
Un virus es un código malicioso que se adjunta a archivos ejecutables que a menudo son programas
legítimos. La mayoría de los virus requieren la activación del usuario final y pueden permanecer
inactivos durante un período prolongado y luego activarse a una hora o fecha específica.
Un virus simple puede instalarse en la primera línea de código en un archivo ejecutable.
La mayoría de los virus ahora se propagan mediante unidades de memoria USB, CD, DVD,
recursos compartidos de red y correo electrónico.

1.2.3.3 Caballos de Troya

Un caballo de Troya es un malware que realiza operaciones maliciosas bajo la apariencia de una
función deseada. Un caballo de Troya viene con código malicioso escondido dentro de él. Este
código malicioso explota los privilegios del usuario que lo ejecuta. A menudo, los troyanos se
encuentran adjuntos a los juegos en línea.
El concepto del caballo de Troya es flexible. Puede causar daños inmediatos, proporcionar acceso
remoto al sistema o acceder a través de una puerta trasera. También puede realizar acciones
según las instrucciones de forma remota, como "enviarme el archivo de contraseña una vez por
semana".
1.2.3.4 Clasificación del caballo de Troya

➢ Troyano de acceso remoto: esto permite el acceso remoto no autorizado.

➢ Troyano que envía datos: proporciona al atacante datos confidenciales, como contraseñas.
➢ Caballo de Troya destructivo: esto corrompe o elimina archivos.
➢ Caballo de Troya Proxy: utilizará la computadora de la víctima como dispositivo fuente
para lanzar ataques y realizar otras actividades ilegales.
➢ FTP Trojan horse: esto permite servicios de transferencia de archivos no autorizados en
dispositivos finales.
➢ Troyano deshabilitado del software de seguridad: esto impide que funcionen los
programas antivirus o los firewalls.
➢ DoS Trojan horse : esto ralentiza o detiene la actividad de la red.

1.2.3.5 Gusanos
Los gusanos se replican explotando de manera independiente las vulnerabilidades en las redes. Los
gusanos generalmente ralentizan las redes.
Mientras que un virus requiere un programa host para ejecutarse, los gusanos pueden ejecutarse
por sí mismos. Aparte de la infección inicial, ya no requieren la participación del usuario. Después
de que se infecta un host, el gusano puede propagarse muy rápidamente por la red.
Todos estos gusanos comparten patrones similares. Todos tienen una vulnerabilidad habilitante,
una forma de propagarse, y todos contienen una carga útil.

1.2.3.6 Componentes de gusanos

Habilitación de la vulnerabilidad: un gusano se instala usando un mecanismo de explotación, como
un archivo adjunto de correo electrónico, un archivo ejecutable o un caballo de Troya, en un sistema
vulnerable.
Mecanismo de propagación: después de obtener acceso a un dispositivo, el gusano se replica y
localiza nuevos objetivos.
Carga útil: cualquier código malicioso que provoque alguna acción es una carga útil. Muy a
menudo, esto se usa para crear una puerta trasera para el host infectado o crear un ataque DoS.
Los gusanos nunca se detienen realmente en Internet. Después de que se liberan, continúan
propagándose hasta que todas las fuentes posibles de infección se reparen adecuadamente.

1.2.3.7 Otro malware

Los hackers han usado virus, gusanos y caballos de Troya para transportar sus cargas y por otras
razones maliciosas. El malware continúa evolucionando.
Ransomware: este malware niega el acceso al sistema informático infectado. El ransomware luego
exige un rescate pagado para que se elimine la restricción.
Spyware: este malware se utiliza para recopilar información sobre un usuario y enviar la
información a otra entidad, sin el consentimiento del usuario. El spyware se puede clasificar como
monitor de sistema, caballo de Troya, adware, cookies de seguimiento y registradores de teclas.
Adware: este malware generalmente muestra ventanas emergentes molestas para generar ingresos
para su autor. El malware puede analizar los intereses de los usuarios mediante el seguimiento de
los sitios web visitados. Luego puede enviar publicidad emergente pertinente a esos sitios.
Scareware: este malware incluye software de estafa que utiliza la ingeniería social para sorprender
o inducir ansiedad al crear la percepción de una amenaza. Generalmente está dirigido a un usuario
desprevenido.
Phishing: este malware intenta convencer a las personas de divulgar información confidencial.
Rootkits: este malware se instala en un sistema comprometido. Una vez instalado, continúa
ocultando su intrusión y mantiene un acceso privilegiado al hacker.

1.2.4.1 Tipos de ataques de red

El malware es un medio para entregar una carga útil. Cuando se entrega e instala, la carga útil se
puede usar para causar una variedad de ataques relacionados con la red.
➢ Ataques de reconocimiento
➢ Ataques de acceso
➢ Ataques DoS

1.2.4.2 Ataques de reconocimiento

El reconocimiento se conoce como recopilación de información.
Los hackers usan ataques de reconocimiento (o reconocimiento) para realizar descubrimientos y
mapas no autorizados de sistemas, servicios o vulnerabilidades.
Los ataques de reconocimiento preceden a los ataques de acceso o ataques DoS y a menudo
emplean el uso de herramientas ampliamente disponibles.

1.2.4.3 Ejemplo de ataque de reconocimiento

Realizar una consulta de información de un objetivo: el hacker está buscando información inicial
sobre un objetivo. Existen varias herramientas, incluida la búsqueda de Google, el sitio web de la
organización, whois y más.
Iniciar un barrido de ping de la red de destino: la consulta de información generalmente revela la
dirección de red del objetivo. El hacker ahora puede iniciar un barrido de ping para determinar qué
direcciones IP están activas.
Iniciar un escaneo de puertos de direcciones IP activas: esto es para determinar qué puertos o
servicios están disponibles.
Ejecutar escáneres de vulnerabilidad: esto es para consultar los puertos identificados para
determinar el tipo y la versión de la aplicación y el sistema operativo que se ejecuta en el host de
destino.
Ejecutar herramientas de explotación: el hacker ahora intenta descubrir servicios vulnerables que
pueden ser explotados. Existe una variedad de herramientas de explotación de vulnerabilidades que
incluyen Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.

1.2.4.4 Ataques de acceso

Los ataques de acceso explotan vulnerabilidades conocidas en los servicios de autenticación,
servicios FTP y servicios web para obtener acceso a cuentas web, bases de datos confidenciales y
otra información confidencial.

1.2.4.5 Tipos de ataques de acceso

Ataque de contraseña: los piratas informáticos intentan descubrir contraseñas críticas del sistema
utilizando varios métodos, como ingeniería social, ataques de diccionario, ataques de fuerza bruta
o rastreo de redes.
Explotación de confianza: un pirata informático utiliza privilegios no autorizados para obtener
acceso a un sistema, posiblemente comprometiendo el objetivo.
Redirección de puerto: esto es cuando un pirata informático utiliza un sistema comprometido como
base para ataques contra otros objetivos.
Ataque de hombre en el medio: el pirata informático se coloca entre dos entidades legítimas para
leer o modificar los datos que pasan entre las dos partes.
Desbordamiento de búfer: esto es cuando un pirata informático explota la memoria del búfer y la
abruma con valores inesperados. Esto generalmente hace que el sistema no funcione, creando un
ataque DoS.
IP, MAC, DHCP Spoofing : los ataques de spoofing son ataques en los que un dispositivo intenta
hacerse pasar por otro falsificando datos. Existen múltiples tipos de ataques de suplantación de
identidad.

1.2.4.6 Ataques de ingeniería social

La ingeniería social es un ataque de acceso que intenta manipular a las personas para que realicen
acciones o divulguen información confidencial.
Pretexting: esto es cuando un hacker llama a un individuo y le miente en un intento de obtener
acceso a datos privilegiados.
Phishing: el phishing es cuando una parte maliciosa envía un correo electrónico fraudulento
disfrazado de una fuente legítima y confiable
Spear phishing: este es un ataque de phishing dirigido a una persona u organización específica.
Spam: los piratas informáticos pueden utilizar el correo electrónico no deseado para engañar a un
usuario para que haga clic en un enlace infectado o descargue un archivo infectado.
Chupar rueda: es cuando un pirata informático sigue rápidamente a una persona autorizada a una
ubicación segura. El hacker luego tiene acceso a un área segura.
Algo por algo: es cuando un pirata informático solicita información personal de una parte a cambio
de algo así como un obsequio.
Cebo: esto es cuando un pirata informático deja un dispositivo físico infectado con malware, como
una unidad flash USB en una ubicación pública, como un baño corporativo.

1.2.4.7 Ataques de denegación de servicio

Los ataques de denegación de servicio (DoS) son ataques de red muy publicitados. Un ataque DoS
resulta en algún tipo de interrupción del servicio a usuarios, dispositivos o aplicaciones.
Paquetes con formato malicioso: esto es cuando un paquete con formato malicioso se reenvía a un
host o aplicación y el receptor no puede manejar una condición inesperada.
Cantidad abrumadora de tráfico: esto es cuando una red, host o aplicación no puede manejar una
enorme cantidad de datos, lo que hace que el sistema se bloquee o se vuelva extremadamente lento.

1.2.4.8 Tipos de ataques DoS

Ping de la muerte: en este ataque heredado, el atacante envió un ping de la muerte que era una
solicitud de eco en un paquete IP mayor que el tamaño máximo del paquete de 65.535 bytes. El
host receptor no podría manejar un paquete de ese tamaño y se bloqueará.
Ataque de Pitufo: en este ataque heredado, un hacker envió una gran cantidad de solicitudes ICMP
a varios destinatarios. El uso de múltiples receptores amplificó el ataque. Además, la dirección de
origen del paquete contenía una dirección IP falsificada de un destino previsto.
Ataque de inundación TCP SYN: en este tipo de ataque, un pirata informático envía muchos
paquetes de solicitud de sesión TCP SYN con una dirección IP de origen falsificada a un destino
deseado.

1.2.4.9 Ataques DDoS

Un ataque DoS distribuido (DDoS) es similar en intención a un ataque DoS, excepto que un ataque
DDoS aumenta en magnitud porque se origina en múltiples fuentes coordinadas. Los ataques DDoS
también introducen nuevos términos como botnet, sistemas de manejo y computadoras zombies.

1.3.1.1 Profesionales de seguridad de red

Los profesionales de seguridad de la red son responsables de mantener la seguridad de los datos de
una organización y garantizar la integridad y confidencialidad de la información. Irónicamente, la
piratería ha tenido el efecto involuntario de crear una gran demanda de profesionales de seguridad
de red.

1.3.1.2 Organizaciones de seguridad de red

➢ CERT
➢ SANS
➢ MITRE
➢ FIRST
➢ ISC
1.3.1.3 Confidencialidad, Integridad, Disponibilidad
La criptografía, el estudio y la práctica de ocultar información, se usa ampliamente en la seguridad
moderna de la red.
Confidencialidad: Utiliza algoritmos de cifrado para cifrar y ocultar datos.
Integridad: utiliza algoritmos de hash para garantizar que los datos no se modifiquen durante
ninguna operación.
Disponibilidad: Asegura que los datos sean accesibles esto esta garantizado por mecanismos de
refuerzo de red y sistemas de respaldo.

1.3.2.1 Dominios de seguridad de red

Los dominios proporcionan un marco para discutir la seguridad de la red. Hay 12 dominios de
seguridad de red especificados por la Organización Internacional de Normalización (ISO) /
Comisión Electrotécnica Internacional (IEC). Descrito por ISO / IEC 27002, estos 12 dominios
sirven para organizar, a un alto nivel, el vasto ámbito de la información bajo el paraguas de la
seguridad de la red.

➢ Evaluación de riesgos
➢ Política de seguridad
➢ Organización de seguridad de la información
➢ Gestión de archivos
➢ Seguridad de recursos humanos
➢ Seguridad física y ambiental
➢ Dirección de comunicaciones y operaciones
➢ Adquisición, desarrollo y mantenimiento de sistemas de información
➢ Control de acceso
➢ Gestión de incidentes de seguridad de la información
➢ Gestión de continuidad del negocio
➢ Conformidad

1.3.2.2 Política de seguridad

Una política de seguridad es una declaración formal de las reglas que deben cumplir las personas
que tienen acceso a los activos de tecnología e información de una organización.
Es responsabilidad de los profesionales de seguridad de redes tejer la política de seguridad en todos
los aspectos de las operaciones comerciales dentro de una organización.

1.3.2.3 Política de seguridad de red

La política de seguridad de la red describe las reglas para el acceso a la red, determina cómo se
aplican las políticas y describe la arquitectura básica del entorno de seguridad de la red de la
organización. Debido a su amplitud de cobertura e impacto, generalmente es compilado por un
comité, como se muestra en la figura. Es un documento complejo destinado para regular elementos
como el acceso a datos, la navegación web, el uso de contraseñas, el cifrado y los archivos adjuntos
de correo electrónico.
1.3.2.4 Objetivos de política de seguridad de red
Una política de seguridad es un conjunto de objetivos para la empresa, reglas de comportamiento
para usuarios y administradores, y requisitos para el sistema y la administración, que
colectivamente garantizan la seguridad de la red y los sistemas informáticos en una organización.
Una política de seguridad es un "documento vivo", lo que significa que el documento se actualiza
periódicamente a medida que cambian los requisitos tecnológicos, comerciales y de los empleados.

1.3.3.1 La alcachofa de seguridad

Una analogía común utilizada para describir lo que un pirata informático debe hacer para lanzar un
ataque se llama "Cebolla de seguridad". En la analogía, un pirata informático tendría que quitar los
mecanismos de defensa de una red de manera similar a pelar una cebolla.

1.3.3.2 La alcachofa de seguridad

Una de las primeras herramientas de seguridad de red fue el sistema de detección de intrusos (IDS).
IDS y ahora el nuevo sistema de prevención de intrusiones (IPS), proporcionan detección en tiempo
real de ciertos tipos de ataques. A diferencia de un IDS, un IPS también puede bloquear
automáticamente el ataque en tiempo real.
Otro dispositivo de seguridad que se desarrolló fue el firewall. Los cortafuegos se diseñaron para
evitar que el tráfico no deseado ingrese a áreas prescritas dentro de una red, proporcionando así
seguridad perimetral.

1.3.3.3 Productos SecureX

Los productos Cisco SecureX trabajan juntos para proporcionar seguridad efectiva para cualquier
usuario, utilizando cualquier dispositivo, desde cualquier ubicación, en cualquier momento. Esta
es una de las razones principales para confiar en la arquitectura Cisco SecureX para ayudar a
configurar la política de seguridad.
1.3.3.4 Tecnología de seguridad SecureX
La arquitectura Cisco SecureX está diseñada para proporcionar seguridad efectiva para cualquier
usuario, utilizando cualquier dispositivo, desde cualquier ubicación y en cualquier momento. Esta
nueva arquitectura de seguridad utiliza un lenguaje de políticas de nivel superior que tiene en
cuenta el contexto completo de una situación: quién, qué, dónde, cuándo y cómo. Con una
aplicación de políticas de seguridad altamente distribuida, la seguridad se acerca al lugar donde
trabaja el usuario final.
➢ Escaneo de motores
➢ Mecanismos de entrega
➢ Operaciones de inteligencia de seguridad
➢ Consolas de gestión de políticas
➢ Puntos finales de próxima generación

1.3.3.5 Elemento centralizado de escaneo de red consciente del contexto

Una política basada en el contexto utiliza un lenguaje comercial descriptivo simplificado para
definir políticas de seguridad basadas en cinco parámetros
➢ La identidad de la persona
➢ La aplicación en uso
➢ El tipo de dispositivo que se usa para acceder
➢ La locación
➢ El tiempo de acceso
Esta política centralizada se aplica en todo el entorno de red para la aplicación distribuida. Esta
aplicación distribuida garantiza una implementación de seguridad consistente en zonas de red,
sucursales, trabajadores remotos, dispositivos virtualizados y servicios basados en la nube.

1.3.3.6 Operaciones de inteligencia de seguridad de Cisco

Para ayudar a mantener seguros los dispositivos Cisco Intrusion Prevention Systems (IPS),
Adaptive Security Appliance (ASA), Email Security Appliance (ESA) y Web Security Appliance
(WSA), Cisco diseñó las operaciones de inteligencia de seguridad (SIO).
El SIO es un servicio basado en la nube que conecta información global sobre amenazas, servicios
basados en reputación y análisis sofisticado a los dispositivos de seguridad de red de Cisco.
1.3.4.1 Defendiendo la red
➢ Desarrollar una política de seguridad por escrito para la empresa.
➢ Educar a los empleados sobre los riesgos de la ingeniería social y desarrollar estrategias
para validar identidades por teléfono, correo electrónico o en persona.
➢ Controlar el acceso físico a los sistemas.
➢ Use contraseñas seguras y cámbielas a menudo.
➢ Cifre y proteja con contraseña los datos confidenciales.
➢ Implemente hardware y software de seguridad como firewalls, IPS, dispositivos de red
privada virtual (VPN), software antivirus y filtrado de contenido.
➢ Realice copias de seguridad y pruebe los archivos respaldados regularmente.
➢ Cierre los servicios y puertos innecesarios.
➢ Mantenga los parches actualizados instalándolos semanalmente o diariamente, si es posible,
para evitar el desbordamiento del búfer y los ataques de escalada de privilegios.
➢ Realice auditorías de seguridad para probar la red.

1.3.4.2 Mitigación de malware

El medio principal para mitigar los ataques de virus y troyanos es el software antivirus. El software
antivirus ayuda a evitar que los hosts se infecten y propaguen códigos maliciosos. Requiere mucho
más tiempo limpiar las computadoras infectadas que mantener actualizado el software antivirus y
las definiciones antivirus en las mismas máquinas

1.3.4.3 Gusanos atenuantes

Los gusanos están más basados en la red que los virus. La mitigación de gusanos requiere diligencia
y coordinación por parte de los profesionales de seguridad de redes.

➢ Contención
➢ Inoculación
➢ Cuarentena
➢ Tratamiento

1.3.4.4 Mitigantes ataques de reconocimiento

Los ataques de reconocimiento suelen ser los precursores de ataques adicionales, con la intención
de obtener acceso no autorizado a una red o interrumpir la funcionalidad de la red.
Las herramientas de software y hardware anti sniffer detectan cambios en el tiempo de respuesta
de los hosts para determinar si los hosts están procesando más tráfico del que indicarían sus propias
cargas de tráfico. Si bien esto no elimina por completo la amenaza, como parte de un sistema de
mitigación general, puede reducir el número de instancias de amenaza.

1.3.4.5 Mitigando los ataques de acceso

La criptografía es un componente crítico de cualquier red segura moderna. Se recomienda el uso
de cifrado para acceso remoto a una red. El tráfico del protocolo de enrutamiento también debe
estar encriptado. Cuanto más se cifra el tráfico, menos oportunidades tienen los hackers para
interceptar datos con ataques de intermediarios.
1.3.4.6 Mitigando los ataques DoS
Una de las primeras señales de un ataque DoS es una gran cantidad de quejas de los usuarios sobre
los recursos no disponibles. Para minimizar la cantidad de ataques, se debe ejecutar un paquete de
software de utilización de red en todo momento. Esto también debería ser requerido por la política
de seguridad de la red.
Los ataques DoS podrían ser un componente de una ofensiva más grande. Los ataques DoS pueden
provocar problemas en los segmentos de red de las computadoras que están siendo atacadas.

1.3.5.1 Marco de PFN

El marco de protección de Cisco Network Foundation (NFP) proporciona pautas integrales para
proteger la infraestructura de red.
Plano de control: responsable de enrutar los datos correctamente. El tráfico del plano de control
consiste en paquetes generados por el dispositivo necesarios para el funcionamiento de la red.
Plano de gestión: responsable de gestionar los elementos de la red. El tráfico del plano de gestión
se genera mediante dispositivos de red o estaciones de gestión de red que utilizan procesos y
protocolos.
Plano de datos (plano de reenvío): responsable de reenviar datos. El tráfico del plano de datos
normalmente consiste en paquetes generados por el usuario que se reenvían entre dispositivos
finales.

1.3.5.2 Asegurando el plano de control

El tráfico del plano de control consiste en paquetes generados por el dispositivo necesarios para el
funcionamiento de la propia red.
Autenticación de protocolo de enrutamiento: la autenticación de protocolo de enrutamiento, o
autenticación de vecino, evita que un enrutador acepte actualizaciones de enrutamiento
fraudulentas.
Control Plane Policing (CoPP) CoPP es una característica de Cisco IOS diseñada para permitir a
los usuarios controlar el flujo de tráfico que maneja el procesador de ruta de un dispositivo de red.
AutoSecure: AutoSecure puede bloquear las funciones del plano de administración y los servicios
y funciones del plano de reenvío de un enrutador.

1.3.5.3 Asegurar el plano de gestión

Política de inicio de sesión y contraseña: restringe la accesibilidad del dispositivo. Limita los
puertos accesibles y restringe los métodos de acceso "quién" y "cómo".
Presente notificación legal: muestra avisos legales. Estos a menudo son desarrollados por el asesor
legal de una corporación.
Asegure la confidencialidad de los datos: protege los datos confidenciales almacenados localmente
para que no se vean o copien.
Control de acceso basado en roles (RBAC): garantiza el acceso solo a usuarios, grupos y servicios
autenticados.
Autorizar acciones: restringe las acciones y vistas permitidas por cualquier usuario, grupo o
servicio en particular.
Habilitar informes de acceso de administración: registros y cuentas para todos los accesos. Registra
quién accedió al dispositivo, qué ocurrió y cuándo ocurrió.

1.3.5.4 Asegurando el plano de datos

Las ACL realizan el filtrado de paquetes para controlar qué paquetes se mueven a través de la red
y hacia dónde se les permite ir. Las ACL se utilizan para proteger el plano de datos de varias
maneras:
Bloqueo de tráfico o usuarios no deseados: las ACL pueden filtrar paquetes entrantes o salientes
en una interfaz. Se pueden usar para controlar el acceso en función de las direcciones de origen,
las direcciones de destino o la autenticación del usuario.
Reducción de la posibilidad de ataques DoS: las ACL se pueden usar para especificar si el tráfico
de hosts, redes o usuarios puede acceder a la red. La función de intercepción TCP también se puede
configurar para evitar que los servidores se inunden con solicitudes de conexión.
Mitigación de los ataques de suplantación de identidad: las ACL permiten a los profesionales de
seguridad implementar prácticas recomendadas para mitigar los ataques de suplantación de
identidad.
Proporcionar control de ancho de banda: las ACL en un enlace lento pueden evitar el exceso de
tráfico.
Clasificación del tráfico para proteger los planos de gestión y control: las ACL se pueden aplicar
en las líneas vty.
 Conclusión
La amenaza a las tecnologías de la información nunca ha sido mayor y los usuarios necesitan y
demandan seguridad como nunca había ocurrido. Los ataques pueden ser procedentes no sólo de
hackers informáticos sino de terroristas, organizaciones criminales y extremistas políticos,
movimientos fanáticos religiosos y servicios de inteligencia sin embargo hay herramientas para
combatir estos ataques.
Los ciberataques también tienen que ser considerados como una amenaza, ya que cada vez resulta
más probable que éstas se combinen con ataques informáticos con objeto de dejar fuera de servicio
las redes y sistemas del adversario u orientar a la opinión pública a favor de uno de los
contendientes.
Los sistemas en red no son los únicos susceptibles de presentar vulnerabilidades y ser atacados,
tanto su software como su hardware pueden ser saboteados antes de ser unidos en un sistema en
explotación. El riesgo de manipulación en el proceso de fabricación es totalmente real y es la menos
comprendida de las ciber amenazas. El sabotaje es prácticamente imposible de detectar y peor
todavía de erradicar.
 Bibliografía

Cisco. (2009). Cisco Networking Academy. 2020, de cisco Sitio web:

https://www.netacad.com/portal/learning