2012

TALLER DE SEGURIDAD

EDWIN FERNANDO CHAURRA

EDINSON CORDOBA
 TALLER SEGURIDAD

1. Que es riesgo en seguridad informática?

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar
una pérdida o daño en un activo de información.
2. Que es amenaza en seguridad informática?

La aparición de una situación potencial o actual donde una agente tiene la capacidad de
generar una agresión cibernética contra la población, el territorio y la organización política
del estado
3. Cuáles son los Dominios de seguridad de redes? Explique cada uno.

Los 12 dominios están diseñados para servir como base común para desarrollar los
estándares de seguridad en las organizaciones y las prácticas de administración de seguridad
efectiva, así como también para ayudar a construir una confianza en las actividades que
toman lugar dentro de la organización.
Evaluación de riesgos: este es el primer paso en el proceso de administración de riesgos.
Determina el valor cuantitativo y cualitativo del riesgo relacionado con una amenaza
reconocida o situación específica.
Políticas de seguridad: es un documento que trata las restricciones y comportamientos de
los miembros de una organización y generalmente especifica cómo se puede acceder a los
datos y quien puede acceder a que datos.
Organización de la seguridad de la información: este es el modelo de gobierno establecido
por una organización para la seguridad de la información.
Administración de bienes: es un inventario y esquema de clasificación para los bienes de
información.
Seguridad de los recursos humanos: trata sobre los procedimientos de seguridad que
guardan relación con los empleados que entran, se mueven dentro de una organización o
se van de ella.
Seguridad física y ambiental: describe la protección de las instalaciones reales de las
computadoras dentro de una organización.
 Administración de las comunicaciones y las operaciones: describe la administración de
controles técnicos de seguridad en sistemas y redes.
Control de acceso: describe la restricción de derechos de acceso a redes, sistemas,
aplicaciones, funciones y datos.
Adquisición, desarrollo y mantenimiento de los sistemas de información: describe la
integración de la seguridad a las aplicaciones.
Administración de incidentes de seguridad de la información: describe como anticipar y
responder a las brechas de seguridad de la información.
Administración de la continuidad de los negocios: describe la protección, mantenimiento
y recuperación de procesos y sistemas críticos para los negocios.
Conformidad: describe el proceso de asegurar conformidad con las regulaciones, los
estándares y las políticas de seguridad de la información.

4. Que es un virus

Un virus es un software malicioso que se adjunta a otro programa para ejecutar una
Función indeseada específica en una computadora.
5. Que es un troyano?

Un troyano es una aplicación escrita para parecerse a otra cosa. Cuando se descarga y
ejecuta un troyano, ataca a la computadora del usuario final desde dentro.
6. Que es un gusano?

Un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria de la

Computadora infectada, que luego infecta a otros hosts
7. Explique que son los ataques de reconocimiento.

Los ataques de reconocimiento consisten en el descubrimiento y mapeo de sistemas,

servicios o vulnerabilidades sin autorización. Los ataques de reconocimiento muchas veces
emplean el uso de sniffers de paquetes y escáners de puertos, los cuales están ampliamente
disponibles para su descarga gratuita en Internet. El reconocimiento es análogo a un ladrón
vigilando un vecindario en busca de casas vulnerables para robar, como una residencia sin
ocupantes o una casa con puertas o ventanas fáciles de abrir.
8. Explique que son ataques de acceso.
Los ataques de acceso explotan vulnerabilidades conocidas en servicios de autenticación,
FTP y web para ganar acceso a cuentas web, bases de datos confidenciales y otra
información sensible. Un ataque de acceso puede efectuarse de varias maneras. Un ataque
de acceso generalmente emplea un ataque de diccionario para adivinar las contraseñas del
sistema. También hay diccionarios especializados para diferentes idiomas.
9. Explique que son los ataques de Denegación de Servicio.

Los ataques de Denegación de Servicio envían un número extremadamente grande de

solicitudes en una red o Internet. Estas solicitudes excesivas hacen que la calidad de
funcionamiento del dispositivo víctima sea inferior. Como consecuencia, el dispositivo
atacado no está disponible para acceso y uso legítimo. Al ejecutar explotaciones o
combinaciones de explotaciones, los ataques de DoS desaceleran o colapsan aplicaciones y
procesos
10. Cuáles son los 5 tipos de ataques de acceso?

Ataques de contraseña - El atacante intenta adivinar las contraseñas del sistema. Un

ejemplo común es un ataque de diccionario.
Explotación de la confianza - El atacante usa privilegios otorgados a un sistema en una
forma no autorizada, posiblemente causando que el objetivo se vea comprometido.
Redirección de puerto - Se usa un sistema ya comprometido como punto de partida para
ataques contra otros objetivos. Se instala una herramienta de intrusión en el sistema
comprometido para redirección de sesiones.
Ataque Man in the Middle - El atacante se ubica en el medio de una comunicación entre
dos entidades legítimas para leer o modificar los datos que pasan entre las dos partes. Un
ataque Man in the Middle popular involucra a una laptop actuando como un punto de
acceso no autorizado (rogue access point) para capturar y copiar todo el tráfico de red de
un usuario objetivo. Frecuentemente el usuario está en un lugar público conectado a un
punto de acceso inalámbrico.
Desbordamiento de buffer - El programa escribe datos más allá de la memoria de buffer
alocada. Los desbordamientos de buffer surgen generalmente como consecuencia de un
error en un programa C o C++. Un resultado del desbordamiento es que los datos válidos se
sobrescriben o explotan para permitir la ejecución de código malicioso.
11. Cuáles son las técnicas de mitigación de ataques?

Utilizar una autenticación fuerte es una primera opción para la defensa contra sniffers de
paquetes.
El cifrado también es efectivo en la mitigación de ataques de sniffers de paquetes. Si el
tráfico está cifrado, es prácticamente irrelevante si un sniffer de paquetes está siendo
utilizado, ya que los datos capturados no son legibles.

El software antisniffer y las herramientas de hardware detectan cambios en el tiempo de

respuesta de los hosts para determiar si los hosts están procesando más tráfico del que sus
propias cargas de tráfico indicaría.

Una infraestructura switcheada es la norma hoy en día, lo cual dificulta la captura de datos
que no sean los del dominio de colisión inmediato, que probablemente contenga solo un
host. Una infraestructura switcheada no elimina la amenaza de los sniffers de paquetes,
pero puede reducir enormemente la efectividad del sniffer.

Los elementos más importantes para mitigar los ataques de DoS son los firewalls y los
IPS. Se recomiendan fuertemente los IPS tanto basados en host como basados en red.

Por último, aunque la Calidad de Servicio (Quality of Service - QoS) no ha sido diseñada
como una tecnología de seguridad, una de sus aplicaciones, la implementación de políticas
de tráfico (traffic policing), puede ser utilizada para limitar el tráfico ingresante de cualquier
cliente dado en un router de borde.
12. Que son confidencialidad, integridad y disponibilidad de la información? Explique cada
una.

Confidencialidad: es la propiedad que esa información esté disponible y no sea divulgada a

personas, entidades o procesos no –autorizados.
Disponibilidad: la propiedad de estar disponible y utilizable cuando lo requiera una entidad
autorizada.
Integridad: la propiedad de salvaguardar la exactitud e integridad de los activos.

13. Que es DMZ?

Una variante del enfoque de defensa profunda es ofrecer un área intermedia llamada zona
desmilitarizada (demilitarized zone - DMZ). La DMZ puede ser utilizada para los servidores
que tienen que ser accesibles desde Internet o alguna otra red externa.

14. Que es Hardering?

Hardening (palabra en ingles que significa endurecimiento) en seguridad informática es el

proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el mismo,
esto se logra eliminando software, servicios, usuarios, etc.
15. Cuáles son las recomendaciones que se deben tener en cuenta para proteger los
dispositivos activos?

Utilizar la línea de comandos (CLI), secure Shell (SSH), el Administrador de Routers y

Dispositivos de Seguridad de Cisco (Cisco Router and Security Device Manager -
SDM)
16. Cuáles son las formas de acceder a la configuración de los dispositivos activos?

Consola: Se puede tener acceso a la CLI a través de una sesión de consola, también denominada
línea CTY. La consola usa una conexión serial de baja velocidad para conectar directamente un
equipo o un terminal al puerto de consola en el router o switch.

Telnet o ssh: Un método que sirve para acceder en forma remota a la sesión CLI es hacer
telnet al router.
Puerto auxiliar: Otra manera de establecer una sesión CLI en forma remota es a través de
una conexión de marcado telefónico mediante un módem conectado al puerto auxiliar del
router.
17. Que es y cómo funciona el protocolo SNMP?

SNMP fue desarrollado para administrar nodos, como servidores, estaciones de trabajo,
rotures, switches, hubs y dispositivos de seguridad, en una red IP. SNMP es un protocolo de
capa de aplicación que facilita el intercambio de información de administración entre
dispositivos de red. SNMP es parte de la suite del protocolo TCP/IP. SNMP permite a los
administradores de red administrar el rendimiento de la red, encontrar y resolver problemas
en la red, y planear su crecimiento.

18. Que es y cuáles son las características del software Syslog

Syslog es el estándar para registrar eventos del sistema. Las implementaciones syslog
contienen dos tipos de sistemas.
Servidores syslog - También conocidos como hosts de registro, estos sistemas aceptan y
procesan mensajes de registro de clientes syslog.
Clientes syslog - Routers u otros tipos de equipamiento que generan y reenvían mensajes
de registro a servidores syslog.
El protocolo syslog permite que se envíen mensajes de inicio de sesión desde un cliente
Syslog al servidor syslog.

19. Que NTP?

Es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través
del ruteo de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de
transporte, usando el puerto

20. Cuáles son los niveles de privilegios en los dispositivos activos?

Los niveles básicos de permisos de acceso: acceso de nivel usuario y acceso de nivel
privilegiado.
21. Como se configura el acceso por SSH en un router?

Usando la CLI, hay cuatro pasos para configurar un router Cisco para que soporte SSH:
Paso 1. Si el router tiene un nombre de host único, configure el nombre de dominio IP de la
red usando el comando ip domain-name nombre-dominio en el modo de configuración
global.
Paso 2. Deben generarse las claves secretas de una sola vía para que un router cifre el tráfico
SSH. Para verificar el SSH y mostrar las claves generadas, use el comando show crypto key
mypubkey rsa en modo EXEC privilegiado.
Paso 3. Asegúrese de que haya una entrada de nombre de usuario válida en la base de datos
local. Si no la hay, cree una usando el comando username nombre secret contraseña.
Paso 4. Habilite sesiones SSH SSH vty de entrada usando los comandos de línea vty login
local y transport input ssh.

22. Que es una clave RSA?

Es un sistema criptográfico de clave pública desarrollado en 1977. Es el primer y más

utilizado algoritmo de este tipo y es válido tanto para cifrar como para firmar digitalmente.

23. Cuales servicios se deben desactivar en los dispositivos activos por seguridad?

Telnet, SSH y HTTP

 24. Cuál es el comando para aplicar la seguridad en un dispositivo activo?

25. Como se recupera la contraseña en un router y como en un switch?

Paso 1 - Ver el Valor del Registro de Configuración

Iniciamos el router normalmente y cuando nos aparece el prompt del Modo Exec Usuario
tipeamos el comando “show run” y en el resultado buscamos la línea con “Configuration
register is…”.

RouterX> show run

Configuration register is 0x2102
En este caso la configuración de regsitro del RouterX tiene el valor 0x2102, pueden salir otros
valores, por ejemplo 0x102. Anoten el valor de registro ya que después van a tener que volver a
configurarlo.

Paso 2 - Ingreso al Modo de Monitor ROM

- Reiniciamos el router (apagando y prendiéndolo).
- Esperamos que haga el POST y mientras carga el IOS.
- Apretamos las teclas CTRL + Breack (Pausa)
rommon 1 >
Cuando ingresamos al Modo de Monitor ROM nos aparece el prompt rommon 1 >. Según el
soft de terminal que usen, puede que no les tome la combinación de teclas CTRL + Breack
(Pausa), otras posibles combinaciones acá.
Paso 3 - Cambiar el Valor del Registro de Configuración y Reinciar el Router
rommon 1 > confreg 0x2142
rommon 2 > reset
Con el comando "confreg" modificamos el valor 0x2102 (o el que tenga) por 0x2142 y con
el comando “reset” reiniciamos el router. Al cambiar el valor lo que estamos haciendo es
que cuando el router arranque omita cargar el archivo de configuración.
Paso 4 - Cambiar Contraseña y Volver al Valor del Registro Original
--- System Configuration Dialog ---
Continue with configuration dialog? [yes/no]: n

Router> enable
Router# configure terminal
Router(config)# enable secret nuevo password
Router(config)# config-register 0x2102
Router(config)# exit
Router# copy running-config startup-config
Router# reload
Luego de reiniciar nos pregunta si queremos ingresar al Modo de Configuración Inicial,
ponemos que no (n) y nos va a aparecer el prompt Router>. Ingresamos al Modo Exec
Privilegiado, al Modo de Configuración Global y con el comando “enable secret”
configuramos una nueva contraseña. Luego con el comando “config-register” volvemos a
poner el valor de registro original, vamos al Modo Exec Privilegiado y guardamos la
configuración que está corriendo en la de inicio con los comandos “copy running-config
startup-config”. Por último reiniciamos el router con la nueva contraseña y listo para
configurar.

Recuperación de la contraseña de un Switch

En el siguiente post, describo los pasos resumidos para recuperar la contraseña de un

Switch.
Este procedimiento es para switches series 2900/2950 pero tambiem funciona para el 2960
PASO 1- Apague el switch y vuelva a encenderlo mientras presiona el botón “MODE” (modo)
que esta en la parte delantera del switch. Deje de presionar el botón “MODE” (modo) una
vez que se apaga el LED STAT.
La siguiente información debe aparecer en la pantalla:
C2950 Boot Loader (C2950-HBOOT-M) Version 12.1(11r)EA1, RELEASE
SOFTWARE (fc1)
Compiled Mon 22-Jul-02 18:57 by federtec
WS-C2950-24 starting…
Base ethernet MAC Address: 00:0a:b7:72:2b:40
Xmodem file system is available.
The system has been interrupted prior to initializing the flash files
system. The following commands will initialize the flash files system,
and finish loading the operating system software:
flash_init
load_helper
boot
PASO 2- Para inicializar el sistema de archivos y terminar de cargar el sistema operativo,
introduzca los siguientes comandos desde el símbolo que le aparece:
flash_init
load_helper
dir flash:
Recuerd escribir los dos puntos (:) después de la palabra “flash” en el comando
dir flash:
PASO 3- Escriba: rename flash:config.text (este es el archivo que contiene la configuración
actual) flash:config.old (este será el archivo en el que respaldaremos la configuración actual)
para cambiar el nombre del archivo de configuración. La línea de comando completa
quedaría:
rename flash:config.text flash:config.old
PASO 4- Escriba boot para arrancar el sistema.
Responde No a la siguiente pregunta:
Continue with the configuration dialog? [yes/no]: N
PASO 5- En el indicador del modo EXEC privilegiado, escriba rename flash:config.old
flash:config.text para cambiar el nombre del archivo de configuración al nombre original.
PASO 6- Copie el archivo de configuración a la memoria de la siguiente manera:
Switch#copy flash:config.text system:running-config
Source filename [config.text]?[enter]
Destination filename [running-config][enter]
PASO 7- Se ha vuelto a cargar el archivo de configuración. Cambie las contraseñas anteriores
que se desconocen como se indica a continuación:
Switch#configure terminal
Switch(config)#no enable secret
Switch(config)#enable password [Pass nuevo]
Switch(config)#enable secret [Pass nuevo]
Switch(config)#line console 0
Switch(config-line)#password [Pass nuevo]
Switch(config-line)#exit
Switch(config)#line vty 0 15
Switch(config-line)#password [Pass nuevo]
Switch(config-line)#exit
Switch(config)#exit
Switch#copy running-config startup-config
Destination filename [startup-config]?[enter]
Building configuration…
[OK]Switch#
Cuáles son los mensajes de error según su nivel de severidad?
 26. Que es AAA?

Acrónimo AAA corresponde a un tipo de protocolos que realizan tres funciones:

Autenticación, Autorización y Contabilización (Authentication, Authorization and
Accounting en inglés). La expresión protocolo AAA no se refiere pues a un protocolo en
particular, sino a una familia de protocolos que ofrecen los tres servicios citados.
Autenticación es el proceso de identificación de un individuo, normalmente mediante un
nombre de usuario y contraseña. Se basa en la idea de que cada individuo tendrá una
información única que le identifique o que le distinga de otros.

Autorización es el proceso de aceptar o denegar el acceso de un usuario a los recursos de la

red una vez que el usuario ha sido autenticado con éxito. La cantidad de datos y servicios a
los que el usuario podrá acceder dependen del nivel de autorización que tenga establecido.
Accounting es el proceso de rastrear la actividad del usuario mientras accede a los recursos
de la red, incluso la cantidad de tiempo que permanece conectado, los servicios a los que
accede así como los datos transferidos durante la sesión. Los datos registrados durante este
proceso se utilizan con fines estadísticos, de planeamiento de capacidad, billing, auditoría y
cost allocation.

27. Cuáles son las caracteristicas de RADIUS?

Estándar IETF con aplicaciones en acceso a las redes y movilidad IP. RADIUS trabaja tanto en
situaciones locales y de roaming, y generalmente se usa para los registros de auditoría.
RADIUS combina autenticación y autorización en un solo proceso. Cuando el usuario se
autentica, también está autorizado. RADIUS usa el puerto UDP 1645 o el 1812 para la
autenticación y el puerto UDP 1646 o el 1813 para los registros de auditoría.
Contraseña cifrada.
No tiene opciones para autorizar comandos del router en base a usuarios o grupos.
Cuales son las caracteristicas de TACACS+?
Separa AAA de acuerdo a la arquitectura AAA, permite modularidad en la implementación
del servidor de seguridad.
Mayor soporte por cisco
Protocolo tcp
Soporte multiprotocolo
Paquete completamente cifrado
Provee autorización de comandos del router en base a usuarios y grupos

Cuáles son los pasos para la autenticación AAA local en un router?

Consiste en autenticar directamente en el router o el NAS los nombres de usuario y su
contraseña. Este recomendado para pequeñas redes y no requiere BBDD externas.
La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router
(o NAS) solicita el nombre de usuario y la contraseña, el usuario responde, el router
comprueba los datos, acepta o deniega el acceso y comunica el veredicto al usuario.

Router (config) #aaa new-model

Router (config) #username tracker secret ccsp
Router (config) #aaa authentication login default local

Cuáles son los pasos para la autenticación AAA basada en servidor?

El método basado en servidor usa un recurso externo de servidor de base de datos

queutiliza los protocolos RADIUS o TACACS+. Los ejemplos incluyen el Servidor deControl
de Acceso Seguro de Cisco (ACS) para Windows Server, el Cisco Secure ACSSolution
Engine o Cisco Secure ACS Express. Si hay más de un router, AAA basado en servidor será
la opción más apropiada.
Que especifica el estandar IEEE-802.1X?
El estándar IEEE 802.1X utiliza métodos de autenticación EAP para proporcionar una
autenticación mutua entre el dispositivo BlackBerry y la red Wi-Fi de empresa. Para actuar
como un suplicante de Wi-Fi, el dispositivo BlackBerry utiliza métodos de autenticación EAP
que se especifican en RFC 3748 y que cumplen con los requisitos establecidos en RFC 4017.
El dispositivo BlackBerry utiliza un método de autenticación EAP (por ejemplo, EAP-TLS, EAP-
TTLS, EAP-FAST o PEAP) y credenciales para proporcionar autenticación mutua con la red
Wi-Fi de empresa, tal como se define en las especificaciones WPA-Enterprise y WPA2-
Enterprise.