TEMA 1: DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN. TIPOS DE ATAQUES.

Definición de agente de amenaza: Toda aquella persona que tiene interés en atacarnos, estos ataques puede ser de diferentes tipos, como internos (los ataques vendrán desde
ordenadores de dentro de nuestra organización, donde distinguimos los empleados descontentos, que no les tratan bien; o por empleados no formados, es decir, no son conscientes
de que están haciendo mal (por ejemplo, un compañero llega a la empresa, y quiere enseñar unas fotos a sus compañeros a través de un pendrive, y ese pendrive está infectado;
u otro compañero abre un correo que contiene un malware pero no está formado en la materia…) y externos (cibercriminales, que buscan dinero; los hacktivistas, que quieren
parar la actividad de nuestra empresa, y países contrarios, por temas de política o espionaje).
TIPOS DE HACKERS:
• NewBie: Hacker con pocos conocimientos informáticos.
• Lammer o Script-kiddies: Utilizan programas de terceros, utilizan scripts creados por hackers con mayores conocimientos tecnológicos.
• Carders: Son hacker especializados en el robo de información bancaria.
• Crackers: Hackers especializados en la ruptura de contraseñas.
• Extorsionadores: Capturan información sensible de la víctima para luego obtener beneficio económico extorsionando al usuario
• Defraudadores “click fraud”: utilizan redes de ordenadores (BotNet) para conseguir el mayor número de clics sobre ciertos banners (publicidad).
CONCEPTOS CLAVE:
• Rookit: Malware escondido en ficheros. Intenta sustituir procesos del sistema operativo
• Vulnerabilidad: Punto débil de nuestro software, configuración del sistema por el que puede acceder un intruso y causar daños.
• Exploit: script o programa que permite tener a un atacante obtener ventaja de una vulnerabilidad.
• Amenaza: probabilidad de que un agente pueda aprovecharse dé una vulnerabilidad. El potencial que tiene explotar una vulnerabilidad.
o Puede ser interna o externa:
▪ Interna: Humanas (fraude, contraseñas débiles, ingeniería social…), tecnológicas (manipulación de sistemas no autorizados,) físicas (unidades USB no
autorizadas, mantenimiento inadecuado de sistemas SAI…).
▪ Externa: Humanas (ingeniería social, chantaje…), Comunicaciones (spoofing, sniffing…), Software (root-kit, malware, bots) y físicas (inundaciones,
incendios…).
• Ataque: un atacante logra explotar con éxito una vulnerabilidad del sistema.
• Riesgo: es la suma de amenazas, una vulnerabilidad y sus posibles consecuencias. Es la probabilidad de que una amenaza se convierta en ataque.

PROPIEDADES DE SEGURIDAD MÁS IMPORTANTES

• Confidencialidad: los datos sensibles no son accesibles para entidades no autorizadas. Los principales mecanismos de confidencialidad son el cifrado. Llanos hace
hincapié es que en este caso solo se puede leer o utilizarlos
• Integridad: los datos solo pueden ser modificados o escritos por entidades autorizadas.
• Disponibilidad: los recursos están accesibles para las entidades autorizadas.
• CIA: es el conjunto de las tres últimas propiedades, es decir, CIA es lo mismo que (confidencialidad, integridad y disponibilidad).
• Autenticación: verificar que una identidad es quien dice ser o que la información contenida en un documento o mensaje de red pertenece a quien dice ser su propietario.
• No repudio: permite probar la participación de las partes en una comunicación.
o No repudio en el origen: la entidad que ha enviado la información no puede negar que ha sido el autor de ese envió.
o No repudio en el destino: la entidad que ha recibido la información no puede negar que ha sido el receptor de esa información.
ESTRATEGIAS DE DEFENSA:
• Prevención: firewall, en caso de que el coste de la prevención sea elevado o no asumible aplicamos otras estrategias de defensa.
• Detección: estarán constantemente monitorizando el sistema para ver en qué momento se ha producido un ataque e intentar controlarlo lo antes posible, además, habrá
un conjunto de vulnerabilidades conocidas que podremos detectar y otras desconocidas que vemos el día cero del ataque.
• Respuesta: Establecer mecanismos de respuesta. ¿Qué hacer tras un ataque? Cerramos puertos, bloqueamos transacciones, dirigimos tráfico a un servidor seguro,
tenemos alta disponibilidad, servidores espejo (es una copia exacta de otro servidor para sustituir al primero en caso de fallo), mecanismos de aislamiento en la red.
• Recuperación y reparación: análisis forense y auditorias.

TIPO DE CONTROLES:

• Tecnológicos: Hardware o software que previene o mitiga ataques a equipos.

• Físicos: Elementos para restringir, monitorizar o detectar el acceso a áreas o recursos físicos.
• Administrativos: Seguimiento del cumplimiento de la normativa de seguridad de la empresa.

VULNERABILIDAD DEL DÍA 0: Aquellas vulnerabilidades que no conocemos, y que debemos de estar preparados para detectarlas lo antes posible.

PROGRAMA DE SEGURIDAD
• Políticas: declaración a alto nivel de los requisitos de seguridad de los sistemas informáticos. Una vez que conozco los recursos, las propiedades que quiero aplicar sobre
ellos y como dichas propiedades se ven amenazas establezco política. (Por ejemplo, el acceso a los sistemas debe ser confiable y garantizar la autenticación)
• Estándares: Las políticas se van a especificar en estándares, por ejemplo, como configurar dispositivos, instalar y configurar software, como se deben utilizar los sistemas
informáticos y otros recursos de la organización. Es una guía a alto nivel de cómo realizar las cosas. (Por ejemplo, todos los sistemas deben tener un acceso basado
en usuario y contraseña).
• Procedimientos: definen instrucciones paso a paso (bajo nivel) para realizar diversas tareas en base con las políticas y los estándares asociados. (Como creamos esos
usuarios y como les registramos)
• Guías: Consejo sobre cómo conseguir los objetivos de seguridad (no son obligatorias, sino sugerencias) (Como crear contraseñas seguras)
• Legislación vigente: Los anteriores elementos debe seguir la legislación vigente.

CICLO DE PROGRAMA DE SEGURIDAD:

• Análisis de riesgo.
• Planificación y arquitectura: Controles de seguridad (que no solo son aplicaciones).
• análisis “Gap(brecha)”: Que medidas de seguridad existen ya en la empresa frente medidas de seguridad deseamos que tenga la empresa. (la brecha que hay)
• Integración y desarrollo: se instalan productos o pequeños scripts que realizan integración entre sistemas.
• Operación: se opera en la organización con las medidas de seguridad aplicada.
• Monitorización y análisis forense: auditorias constantes que buscan si se han producido problemas en el sistema y como responder ante fallos.
• Cumplimiento legal y auditoria: nos pueden auditar para comprobar si cumplimos las leyes.
• Gestión de crisis.

FRAMEWORK DE SEGURIDAD (bajo que referencias podemos construir nuestro programa de seguridad).
▪ ISO 27000: Consiste en una familia de estándares (normas) para el desarrollo de un programa de seguridad desde las primeras fases hasta la madurez. Sigue la filosofía
de Planifica-Haz-Comprueba-ajusta. El 27000 determina como crear el programa de seguridad (análisis de riesgos), mientras que el 27002 especifica todos los controles
de seguridad de los que hemos hablado. Luego existe el 27005 para cuestiones de auditoría y seguimiento.
 ▪ NIST (National institute of Standars and Technology) proporciona un conjunto de publicaciones especiales para ayudar a la industria, el gobierno y las organizaciones
académicas a seguir un conjunto de buenas prácticas tecnológicas. La conocida como “serie 800” es un conjunto de publicaciones orientadas a la seguridad.
▪ Request for Comments, más conocidos por sus siglas RFC, son una serie de publicaciones del grupo de trabajo de ingeniería de internet que describen diversos
aspectos del funcionamiento de Internet y otras redes de computadoras, como protocolos, procedimientos, etc. y comentarios e ideas sobre estos.
▪ SABSA (Sherwood applied business Security Architecture): es una arquitectura orientada a garantizar soluciones de seguridad en sistemas de la información dentro de
empresas.

PRACTICAS RECOMENDADAS EN SEGURIDAD

• Economía de mecanismos: evitar la complejidad.

• No aplicar seguridad por ocultación: Mejor un sistema público y conocido para evitar a los curiosos .
• Política por defecto de negación: evitar el acceso a los recursos y sistemas hasta que sea realmente necesario.
• Principio del ultimo privilegio: otorgar el mínimo privilegio a un usuario para que pueda hacer su trabajo.
• Mediación completa: el sistema debe estar monitorizado por el programa de seguridad, pudiendo detectar cualquier ataque rápidamente.
• Aceptación psicológica: los usuarios que usan el sistema deben implicarse en la política de seguridad de la empresa.
 TEMA 2: LA SEGURIDAD EN LOS ELEMENTOS FÍSICOS EXISTENTES EN LA RED

▪ MAC: dirección física o hardware asociada a un dispositivo.

▪ MAC virtual: dirección MAC virtualizada bien porque el equipo no existe
físicamente o porque trabajamos en entorno virtual.
▪ Cuando monitorizamos la red podemos ver las MAC con las interactúa
nuestra red, comprobar si son de un fabricante fiable o de alguien
desconocido.
▪ Ataque MAC spoofing: Un equipo utiliza una MAC falsa. entiéndase spoofing
como “suplantación”.
▪ Cuando un dispositivo quiere comunicarse con otro dispositivo, primero debe
conocer su nombre, es decir, su URL, mediante el protocolo DNS, podemos
obtener su dirección IP. Se puede usar el comando “nslookup url” podemos
ver la dirección IP dando una URL.
▪ Se utiliza el protocolo ARP para averiguar una dirección MAC proporcionando
una IP. Este protocolo hace una consulta broadcast a la red preguntando
(¿who has dirección_IP?), cuando un dispositivo reconoce su dirección IP en
la pregunta responde con su dirección MAC. ARP no utiliza autenticación o
verificación de dispositivos. El comando (arp-a) nos da información de los
dispositivos conectados.
▪ Para distinguir a nivel de transporte que aplicación dentro de cada equipo
debe recibir la información se usa el concepto de puerto, el cual, es un
identificador numérico, que dice que la información debe entregarse a la
aplicación asociada a ese puerto, los más famosos son los del recuadro
verde de la derecha.
▪ A nivel de transporte debemos diferenciar entre TCP y UDP, TCP es síncrono
garantizando entrega de información y UDP es asíncrono no garantizando el
envío de la información

▪ Hub(concentrador): repetidor (poco inteligente). Interconectan equipos. Procesan al menos el encabezado del paquete para saber si ese hub es el destinatario o no.
Hay problema de rendimiento como las colisiones, sobre un mismo fragmento de red, cuando un equipo puede transmitir información a la vez que el hub le envía
algo, se produce colisión, teniendo como consecuencia que la información es ilegible. Hay HUB dúplex que pueden evitar esto, sin embargo, hay un excesivo envío de
la información y los PCs deben procesar mucha información, por ello están en desuso.
▪ Switch (puente o comunicadores): trabajan en la capa 2 del modelo OSI, evolución del HUB (tablas de enrutamiento basadas en direcciones MAC) también permiten
seguridad de puertos. Los switch suelen tener funciones básicas de gestión de los puertos, así como el filtrado de los dispositivos que se conecta mediante direcciones
MAC. No protege contra ARP poisoning.
▪ Ataque: ARP poisoning: ¿en qué consiste?: es enviar mensajes ARP (encontrar MAC a través de IP lanzando petición broadcast) falsos a la Ethernet. Normalmente la
finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado). Cualquier tráfico dirigido a la dirección IP de ese nodo, será
erróneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real
(ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo).
¿solución a ARP posioning?: Uso de redes virtuales VLAN (redes lógicas que agrupan equipos dentro de las redes físicas, es decir, sub-redes lógicas); separar
dispositivos sensibles utilizando dispositivos de la tercera capa de red (routers); definir de manera manual y estática las direcciones Mac (es difícil para redes
grandes).
▪ Routers: Trabajan en la capa de red del modelo OSI, mueven el tráfico entre redes o conectar sectores de la misma red. Los Routers pueden identificar la localización
de las redes en las que se conectan de forma dinámica (analizando tráfico entrante y saliente) o de forma manual (las rutas se definen de forma estática). Normalmente
se utilizan ambas aproximaciones para mejorar la fiabilidad. Las rutas estáticas se utilizan cuando la red no puede ser descubierta de forma dinámica o donde no
queremos tener ataques basados en rutas. En un protocolo de enrutado dinámico debemos especificar de manera explícita que dispositivos son fiables para recibir
actualizaciones en la tabla de rutas.
▪ Enrutamiento estático: Se especifica de manera explícita la ruta que debe seguir un paquete (el técnico de redes especifica dicha ruta a través de tabla de
enrutamiento). Se utilizan cuando la red debe o no puede ser descubierta de forma dinámica
▪ Enrutamiento dinámico: se puede comparar con un viajero tomando una ruta diferente hacia el trabajo después de saber que el tráfico en su ruta habitual está
retrasado, la ruta es dinámica, cambia según camino óptimo.
▪ Pautas de seguridad recomendadas sobre Routers: (1)actualizar los productos, (2)visitar página de vulnerabilidades del fabricante del router, (3)crear ACL,
(4)deshabilitar servicios innecesarios (reduciendo superficie de ataque), (5)utilizar SSH para conectarse a la interfaz de comandos de forma remota, (5)no utilizar
TELNET, (6)eliminar o cambiar mensaje de bienvenida del dispositivo(reduce información que puede recoger atacante en fase de reconocimiento), (7)utilizar
servicios de gestión de cuentas centralizadas (AAA (autenticación, autorización, auditoría)), (8)habilitar protocolos de monitorización de red (SNMP), (9)configurar
protocolo ICMP de forma adecuada (evitar que el atacante descubra que dispositivos están activos mediante ping broadcast), (10)evitar protocolos que hagan
enrutamiento fuente (los cuales, indican en el propio paquete que ruta se ha seguido), (11)monitorizar todo mediante registros de actividad, por ejemplo “syslog”.
REDES INALAMBRICAS
▪ Redes de área personal basadas en bluetooth:
▪ Redes de área local inalámbricas (Wifi): los dispositivos se conectan a la red mediante puntos de acceso
▪ Problemas en las redes wifi: espionaje de las conversaciones, inyección de mensajes falsos, repetición de mensajes previamente capturados, acceso ilegal a la red y
sus servicios, ataques de denegación de servicio.
▪ CAPA FÍSICA DE LA RED INALÁMBRICA: la cobertura a nivel wi-fi debe ser mínima, Las antenas que transmiten en todas direcciones es recomendables ponerlas en el
centro del edificio, solo deben ser usadas en casos que sea estrictamente necesario.
▪ Spread Spectrum (espectro disperso): técnica de codificación de la información dentro de las ondas de radio. La más conocida es la modulación de la frecuencia y
la amplitud.
▪ El protocolo bluetooth se hace mediante FHSS: se determina un patrón de saltos de frecuencia a lo largo del tiempo, este patrón de saltos es la clave de seguridad
y durante un periodo de tiempo se utiliza una de las frecuencias del patrón para transmitir, pasando a la siguiente y así de forma indeterminada. Su espectro son
75MHz haciendo 6600 saltos por segundo. Tenemos cierta seguridad porque el atacante debe conocer el patrón de saltos. Permitir un máximo de 15 redes
bluetooth porque a partir de ese número empieza a ser ineficiente la red.
 ▪ En redes wifi se usa DSSS: tenemos un mensaje real (onda con una modulación determinada) + un código de transmisión (otra onda que tiene la clave para
transmitir), se opera sobre esas dos señales, obteniendo el mensaje codificado para transmitir. Transmite en una frecuencia entre los 20-22 Mhz, dejando 5Mhz
de margen, en España usamos canales 10 y 11 para transmitir.
▪ En redes inalámbricas: el protocolo WEP es inseguro; WPA2 que dispone de dos versiones (WPA-PSK) intercambio de claves preconfiguradas, y WPA-Enterprise
(servidor Radius).

▪ CAPA DE ENLACE DE DATOS EN LA RED INALÁMBRICA: en esta capa se habla de los protocolos 802.11 y 802.15 y su mayor problema es la gestión de tramas sin
autenticar ni cifrar. Con esta vulnerabilidad se pueden obtener datos como el SSID (secuencia de 0-32 octetos incluida en todos los paquetes de una red inalámbrica
para identificarlos como parte de esa red), direcciones MAC, canales DSSS permitidos, el patrón de frecuencia FHSS.

o En cuanto a bluetooh: tenemos tres modos de seguridad (inseguro [no hay seguridad implementada], nivel servicio [la seguridad es inicializada después de
establecerse un canal entre el “link manager” y el nivel L2CAP], nivel enlace [nivel más seguro, se establece seguridad antes de establecerse canal y la
comunicación es cifrada]). En el cifrado de comunicaciones se utiliza una clave de enlace secreta compartida (PIN), en el nivel de enlace nada se transmite en
plano, en el nivel de enlace se siguen los siguientes pasos. (1) se genera clave de inicialización usando un número aleatorio, el PIN intercambiado y la dirección
bluetooth conocida como BD_ADDR (2) se generan claves de autenticación en ambos extremos. (3) intercambio de claves de autenticación usando la clave
inicial. (4) Se inicializa protocolo de autenticación mutua mediante un esquema de reto (5) cuando el esquema de reto se realiza con éxito se generan claves
de cifrado a partir de las claves de autenticación, la dirección de bluetooth y 128 bits aleatorios.
o En cuanto a WIFI: se establecen protocolos de seguridad.
▪ Protocolo WEP: inseguro y no usado
▪ Protocolo WPA2: Es recomendable usar el protocolo WI-FI protected Access versión 2. Existen dos versiones:
(1) WPA2-Personal (WPA-PSK) se basa en el intercambio de claves preconfiguradas.
(2) WPA2-Enterprise que confía en un servidor RADIUS.
WPA2 implementa dos protocolos de cifrado TKIP (inseguro) y CCMP basado en AES que garantiza mayor seguridad(recomendable)
En WPA-Enterprise no encontramos con un protocolo de autenticación denominado EAP (RFC 2284). Dentro de este tenemos (1) EAP-MD5[inseguro],
(2) EAP-TLS [único que tiene certificado Wifi Alliance]. (3) EAP-LEAP (EPA ligero o EAP-cisco) [Se deben utilizar contraseñas muy fuertes porque es
susceptible de ataques de tipo direccionado]. (4) PEAP [EAP protegido es más fuerte]
A nivel de enlace en la wifi debemos tener en cuenta que los ataques suelen comenzar con una fase de reconocimiento. Cuando se conecta una red
inalámbrica con una red de cables establecer un firewall como intermediario, que bloquee mensajes multicast/broadcast. Pueden existir puntos de acceso
fraudulentos (rogue AP) -> detección y veto mediante el IPS WiFi, tener cuidado con AP mal configurados, con el Wireless Phishing (formar a los usuarios
para que no se conecten a sitios que ofrezcan wifi gratis).
o En cuanto a wifi: SSID no se incluyan en las tramas clientes, de forma que un cliente antes de conectarse a la red conozca el SSID, filtrar por MACs o protocolos;
es mejor utilizar WPA2 con versión AES, evitar TKPI; autenticar usuarios con servidores RADIUS o takas. Usar redes privadas virtuales, que cifran la
información punto a punto mediante Tuneling. Separación del tráfico mediante VLANs.
 TEMA 3: LA SEGURIDAD EN LOS ELEMENTOS SOFTWARE EXISTENTES EN UNA RED.
Dentro de los equipos de la red, desde las perfectiva de los negocios existen una serie se servidores clave que ejecutan servicios primordiales para que se desarrolle la
actividad de nuestra organización, los más comunes son:
▪ Servidores web: entrega documentos mediante protocolo HTTP. Son los servidores más extendidos, hay casos en el que los servidores están delegados a otros
proveedores de servicio, la organización se centra en la programación segura del sitio web. En otros casos, la organización tiene sus propios servidores, los ataques
posibles pueden tener dos orígenes (el servidor en sí mismo y su configuración) o ataques derivados del sitio web contenido dentro del servidor.

o Ataque: Directory traversaly, un usuario tiene acceso a rutas del servidor para los que no tiene permiso y ejecutar algún archivo ejecutable poniendo el
servidor en peligro.
Solución: configuración que evite que un usuario puede navegar por directorios, filtro previo en aquellas URL que no se corresponden con documentos
web disponibles en el servidor, por ejemplo, en los servidores APACHE deberíamos usar el módulo mod red/write que nos permite reescribir las peticiones
al vuelo y evitar que las URL’s accedan a directorios del sistema operativo.
o Ataque: Ejecutar scripts dentro del servidor, por ejemplo, CGI o los scripts perl. Solo se debe dar permiso de ejecución a un directorio concreto.
Solución: no se debe permitir la búsqueda en los directorios del sitio web, eliminar sitios web de ejemplo que vienen de fabrica con el servidor.
o ¿Cómo proteger servidor web?: (1)utilizar SFTP en vez FTP(ftp transmite en texto plano sin seguridad), (2)es recomendable que el servidor web se
encuentre en un servidor separado de otros servicios y que exista un firewall que lo aislé del resto (solo preocupándonos por ataques asociados al servicio
web), (3)ejecutar procesos asociados al servidor web con el menor nivel de privilegios posible, (4) instalar las últimas actualizaciones disponibles e
informarse sobre exploits, (5) eliminar plantillas de ejemplo, (6)borrar aplicaciones innecesarias(reducir superficie de ataque), (7) dar permisos de
ejecución solo a los directorios que contienen los scripts ejecutables y mantenerlos aislados del resto (8) para evitar la búsqueda dentro de los directores
se debe incluir un fichero index.html que se cargue por defecto evitando que un usuario pueda moverse por los directorios, en este index.html si por
ejemplo es una carpeta que no contiene información visible se lanza un error 404. (9) filtrar URL de las peticiones cuando sea posible, rechazando aquellas
que no se correspondan con directorios o documentos disponibles en el servidor.
o Herramientas de protección: firewalls (tanto a nivel de red [evitar ataques de denegación de servicio] como a nivel de servidor web[web aplications
firewalls orientadas a proteger frente ataques a nuestro contenido web]), tener un buen antivirus, habilitar registros seguros (que no se puedan borrar
los registros), usar herramientas ISAPI (analiza urls que solicitan servicios y bloquear URL maliciosas), analizadores de respuestas del servidor (feedback)
para localizar cuando en una petición hay respuestas inesperadas, IDS e IPS, escáneres de vulnerabilidades.

▪ Servidores de correo: Se compone de 4 protocolos, Envió de correo [SMTP (25), ESMTP (25)], recepción de correo [POP3(110), iMAP4(143)]
o En SMTP no se pide autenticación, en ESMTP sí que se pide (la contraseña y usuario se envía en texto plano). Cuando llega el mensaje al servidor SMTP o
ESMTP este envía a través de DNS con mensajes de tipo MX localiza el servidor destino POP3 o iMAP4 del receptor y transfiere el correo a este servidor,
cuando el receptor quiere leer su correo, se conecta a su servidor POP3 o iMAP4 y recibe todos los correos. POP3 está más extendido, es más lento y tiene
una versión avanzada que permite autenticar antes de recibir correo; iMAP4 almacena los mensajes temporalmente, organización de correos, todo esto
se realiza en texto plano, los servidores se deben configurar con soporte SSL o TLS.
o Correo spam (correo basura o correo no deseado): reducen ancho de banda y recursos de red, distraen a los usuarios y son origen de infecciones. Las
principales fuentes de SPAM son los servidores Open Relay y Open Proxy.
o Servidor Open relay: es un servidor SMTP que permite que todos los usuarios puedan usarlo para enviar correos sin estar registrados en él ni utilizar
direcciones destino de usuarios conocidos, sin dejar rastro. Se entiende como open relay (‘relé abierto’ en inglés) un servidor SMTP configurado de tal
 manera que permite que cualquier usuario de Internet lo use para enviar correo electrónico a través de él, no solamente el correo destinado a, o procedente
de usuarios conocidos.
o Servidor Open proxy: es frecuente que los atacantes spammers utilicen proxys abiertos para ocultar su identidad y poder utilizar el servidor SMTP de
forma fraudulenta. Un proxy abierto es un servidor proxy al que puede acceder cualquier usuario de Internet . En general, un servidor proxy solo permite
a los usuarios dentro de un grupo de red (es decir, un proxy cerrado ) almacenar y reenviar servicios de Internet como DNS o páginas web para reducir y
controlar el ancho de banda utilizado por el grupo. Sin embargo, con un proxy abierto , cualquier usuario en Internet puede utilizar este servicio de reenvío.
o Soluciones: son ponernos en contacto con nuestro proveedor de internet y ver que filtros existen por su parte, contratar servicio anti-spam, prestar
atención a la configuración de nuestro servidor SMTP para evitar que se convierta en un servidor open relay, la instalación de filtros anti-spam tanto en
los clientes del correo electrónico como en los propios servidores de correo electrónico, educación de usuarios sobre spam, e informar sobre cualquier
dirección IP sospechosa a nuestro proveedor de servicios.
o Malware: La principal fuente de distribución malware en las redes es el correo, la mayoría de las aplicaciones maliciosas tiene como objetivo acceder a la
lista de contactos de un usuario para expandirse más rápido.
o Soluciones para el malware: (1) utilizar servicios de escritorio con filtro de virus en el correo electrónico, (2) usar antivirus a nivel de servidor de correo
que incluya filtros, (3) utilizar software de detección de anomalías en los equipos locales y dispositivos a nivel de red. Conectarnos a los servicios que nos
informan del malware que se está distribuyendo.

▪ Servidor DNS (domain Name Service), está definido en los RFC 1034 y 1035, es un servicio jerárquico de nombres que utiliza tanto TCP[se usa para casos
concretos, como mensajes largos o transferencias de zonas] como UDP[se usa para consultas] a través del puerto 53; para localizar la dirección IP de un equipo
en internet, se lanza una consulta a un servidor DNS, el cual, reenvía la petición hasta que recibe respuesta de un servidor autorizado. Dentro de DNS se distinguen
tres tipos de componentes:

o Clientes DNS; equipos que realizan consultas mediante los navegadores web y clientes de correo electrónico.
o Servidores DNS o servidores secundarios: buscar recursivamente las peticiones de los clientes locales hacia los servidores raíces.
o Zonas de autoridad: son servidores o grupos de ellos que tienen asignadas resolver peticiones de un conjunto determinado de dominios. A diferencia de
los servidores DNS secundarios las respuestas que contienen no son recibidas de otros servidores si no que las tiene registradas en bases de datos (se
conocen como principales o maestros).
Existen 13 servidores raíces en el mundo, para resolver una consulta se comienza con estos servidores, cada vez que se recibe una respuesta DNS se le asocia un
periodo de validez (2 días normalmente), que indica cuando el resultado es invalido y debe renovarse la consulta para que siga siendo válida. Esto significa que el
servidor DNS secundario puede mantener como válida esa información durante dos días, evitando tener que repetir todo el proceso de la consulta.
Las dos principales versiones de DNS que se encuentran en el mercado son: (1) BIND: es gratuito y ha sido creado por Internet Software Consortium. Disponible
para Windows y Linux. (2) Microsoft DNS que se implementa dentro de los equipos Windows Server.
Tener en cuenta en la seguridad de los DNS: mantener actualizado el servidor para evitar posibles vulnerabilidades, configurar el servidor para evitar respuestas
de IPs no autorizadas, y debemos evitar vulnerabilidades en caché poisoning (el atacante explota una vulnerabilidad en el software de DNS que puede hacer que
éste acepte información incorrecta).
Una transferencia de zona es un método para obtener todos los registros de un servidor DNS, lo cual, es normal en el funcionamiento DNS, sin embargo, este
mecanismo podría ser explotado por un atacante con el fin de lograr información acerca de la red de la organización, para evitarlo: (1)bloquear el acceso al servidor
desde internet, solo debe poder configurarse desde nuestra red, permitir solo las transferencias desde IPs confiables, bloquear las peticiones DNS realizadas con
el protocolo TCP, ya que las consultas normales suelen realizarse con UDP y las transferencias con TCP.
 Un ataque cache poisoning tiene lugar cuando un atacante adivina el identificador de una petición DNS y le envía una respuesta falsa asociada al nombre de una
IP que no se corresponde con la IP real del equipo. Estos ataques suelen ocurrir debido a que se usa UDP como protocolo de transporte que suele ofrecer menos
garantías de seguridad que TCP, junto con la implementación errónea del generador de identificadores de las peticiones (genera mecanismos secuenciales que
permiten preveer el identificador de la siguiente petición, cuando realmente debería generar aleatorios), podría ocurrir que un atacante este escuchando la red y
obtenga información que le ayude a realizar este ataque. La principal solución es mantener actualizado el servidor.
▪ Servidor proxy: un servidor proxy es un servidor que actúa como intermediario para las solicitudes de los clientes que buscan recursos de otros servidores, es
decir, hace de buffer intermediario entre cliente y servidor, protegiendo al servidor, mientras se proporcionan los datos solicitados por el cliente. Los proxys
HTTP realiza peticiones HTTP y un servidor proxy FTP hace consultas de tipo FTP. Los servidores proxy permiten el filtrado de peticiones web bloqueando
aquellas direcciones URls que se consideran como problemáticas.

Direct Mapping permite conectar una dirección IP local y un puerto con una dirección IP remota y su correspondiente puerto, que sería en el servidor. Los usuarios
conectados con la dirección IP del proxy se conectan al servidor remoto mediante un tunelling dándoles la sensación de que están conectados al servidor remoto.
El direct Mapping exige más recursos que el NAP

Proxy reverso: acepta conexiones de internet y las reenvía hasta un servidor local, usando una técnica inversa a los anteriores.
 TEMA 4: AMENAZAS Y ATAQUES
CONCEPTOS
▪ Vector de ataque: camino que sigue un ataque hasta alcanzar su objetivo.
▪ Podemos clasificar los ataques: (a)Según su origen como: (1) Internos [Dentro organización] (2)Externos[fuera organización]; (b)Según su complejidad como
(1)Estructurados[organizados, premeditados] (2) No estructurados[improvisados] (c)Según su objetivo: (1) Recabar información del objetivo con herramientas
como Nmap, traceroute, ping..etc (2) alteración de información del objetivo, (3) sabotaje de servicios de organización.
▪ Malware: Software con objetivos maliciosos. dentro del malware podemos distinguir entre:
o Malware independiente: Gusanos, botnets, APTs.
o Malware que utiliza un programa huésped: Virus, troyanos, puertas traseras, bombas lógicas.
▪ Puertas traseras: Son un conjunto de instrucciones dentro de un programa o sistema que permiten acceder de forma no autorizada a un atacante, generalmente
las puertas traseras son creadas por los diseñadores del software, para saltarse la seguridad con objeto de mantenimiento del sistema.
▪ Bomba lógica: es una parte oculta en un programa que se oculta solo cuando se da una condición concreta.
▪ Troyano: Segmento de código malicioso dentro de una aplicación que el usuario usa frecuentemente. Los troyanos tienen apariencia de un programa confiable y
la información que recaban se la envían a un equipo controlado por el atacante. Por ejemplo, keylogger (registra los inicios de sesión del usuario, copiando nombre
de usuario y contraseña y enviando está información al atacante).
LOS VIRUS
▪ Un virus: infecta un programa huésped modificando su código fuente, de manera que cuando el programa se ejecuta, también se ejecuta el virus. Se copia en varios
programas para propagarse. Puede escanear o infectar programas (virus parasito), residir en memoria(rookits), virus macros (se ejecutan cuando se abre un
documento), virus en el sector de arranque, virus polimórficos (parte del programa se cifra, para que los antivirus no puedan descubrir nada).
• Inicialmente está dormido, cuando el programa huésped no se está ejecutando. El virus pone instrucciones al principio y final de programa huésped, las primeras
instrucciones direcciona al programa para ejecutar las instrucciones maliciosas contenidas en otro fichero, marca el programa con “flags o variable de estados”
indicativas de que el programa está infectado, además, sus objetivos suelen ser localizar programas no infectados, dañar el sistema, e ir a la primera línea del
programa huésped. En la parte final del programa huésped se comprime o se descomprime el programa para evitar que el sistema detecte tamaño de programa
inusual debido a las líneas de instrucción adicionales.
• Los virus más conocidos:
o Ransomware: cifran con una contraseña los ficheros del sistema operativo de la víctima y exige un pago a cambio para desencriptarlos.
o Adware: ventanas emergentes maliciosas, que pretenden que el usuario haga clic en ellas, lo cual, conlleva la ejecución del algún tipo de script malicioso.
o ScareWare: Nos lanza una advertencia de seguridad indicando que nuestro ordenador está infectado o que necesitamos una actualización, lo que intenta
es asustar al usuario.
GUSANOS

• Un gusano: programas independientes y maliciosos que utilizan las conexiones de red para propagarse. Explotan vulnerabilidades para propagarse Intentan
mantenerse ocultos para no ser descubiertos, borran ficheros que pueden delatarles. Cambian periódicamente su nombre y su identificador de proceso. Los
gusanos agotan los recursos del dispositivo que infectan.
ANTIVIROS O DETECTORES MALWARE

• Primera generación: Escáneres que utilizaban firmas de virus conocidos, siendo una firma una secuencia de instrucciones máquina que se encontraba dentro del
ejecutable del programa.
• Segunda generación: Escáneres heurísticos, los cuales, en vez de centrarse en instrucciones, se centraban en los posibles efectos de las instrucciones, como
incremento en el ancho de banda, conexión con algún tipo de equipos concretos, aparición de directorios o ficheros, número de procesos, además se comprueba
la integridad de los ficheros
• Tercera generación: trampas de actividades, se basan en analizar las actividades frecuentes de los virus, tienen una base de datos que determinan el
comportamiento de actividades conocidas tanto de aplicaciones confiables como de aplicaciones no confiables, no solo hablamos de las consecuencias en sí, sino
de un flujo de trabajo dentro de la aplicación
• Cuarta generación: análisis de características, se combinan varias aproximaciones de vista de las tres generaciones anteriores, buscando monitorizar
completamente el sistema operativo.
BOTNETS
▪ Bot (Zombi): ordenador comprometido bajo el control de un atacante.
▪ Bot-net es una red de equipos zombis. Para comunicarse y controlar los equipos zombis se usa un equipo maestro. Se pueden utilizar para ataques de fuerza bruta
para obtener contraseñas, envió masivo de correo spam ocultando el origen, fraude de clics para conseguir más dinero haciendo clic en determinados sitios,
realizar trampas en juegos on-line o apuestas, ataques de phishing o pharming, comunicaciones anónimas y ataques de denegación de servicio.
▪ Comand-control: Un método es que en los programas infectados se codificará la dirección IP del equipo maestro dentro del programa de control remoto de la red,
esta acción es fácil de descubrir por los administradores de red y fácil de solucionar.
▪ Actualmente se hace que los equipos zombis se conecten a una URL, tras esa URL está el equipo maestro, esta URL suele ser un dominio dinámico.
ATAQUES AVANZADOS PERSISTENTES
APTs (ataques avanzados persistentes): son ataques sofisticados, consideramos spear phishing como una estrategia en la cual, se envía un correo electrónico,
aparentemente confiable, que dirige al destinatario a un sitio web falso con gran cantidad de malware, o un archivo pdf que contiene un virus-macro…etc. Son ataques
lentos que llevan mucho tiempo que intenta que los administradores del
sistema no se den cuenta de que están siendo atacados.

▪ Ataques manuales: dependen de los conocimientos de los

atacantes, hay tres fases:
o reconocimiento (recoger información sobre el objetivo):
Las herramientas utilizadas en los ataques manuales
pueden ser todas las mostradas en la tabla de la derecha
o ataque de acceso: tras realizar reconocimiento el atacante
intenta acceder a la red, a través de ataques a contraseñas,
explotación de la confianza [un atacante utiliza privilegios
no autorizados para acceder a un sistema] redirección de
puertos, man-in-the-middle, buffer overflow, IP, MAC o
DHCP fraudulentas.
o Denegación de servicio: consumen todos los recursos críticos del equipo víctima de forma que no pueda ejecutar su función con normalidad.

▪ TCP SYN FLOOD: Desbordamiento con muchas sesiones TCP SYN sin finalizar.
▪ Ataques de denegación de servicio reflejados: el atacante no ataca directamente a la víctima, se suele pedir a un equipo honesto peticiones en nombre de la
víctima, y cuando este dispositivo honesto va a responder se lo envía a la víctima, desbordándola por la cantidad de respuestas que la víctima recibe.
▪ También puede darse el caso en el que el atacante envié paquetes con errores que no pueden ser identificados por la aplicación, el dispositivo receptor intentas
procesarlos y se bloquea o se ralentiza, un ejemplo de este ataque es el ping of death.
▪ Ping of death: Se envía un mensaje de petición Echo con un tamaño mayor del máximo permitido, el host receptor no podría gestionar este menaje y se
bloquearía.
▪ Ataque smurf: envía una gran cantidad de peticiones ICMP a varios destinatarios, el uso de múltiples receptores amplifica el ataque, la dirección origen del
paquete contiene una dirección IP falsificada de un objetivo previsto, por lo que todos los receptores anteriormente mencionados responderán a la IP
falsificada saturándola. Para mitigar este tipo de ataques se usa el comando “no ip directed-broadcast”.
▪ DDos (ataque de denegación de servicio distribuido): es una botnet contra un único objetivo
▪ DDos inverso: Una red de botnets envía a un servidor honesto muchas peticiones que implican respuestas mayores a 1TB, lo cual, hace que el dispositivo
víctima, reciba mensajes de gran tamaño, los cuales, no puede gestionar.
A MODO DE RESUMEN:
𝒑𝒊𝒏𝒈
𝑫𝒊𝒓𝒆𝒄𝒕𝒐 {
𝑫𝑶𝑺(𝒅𝒆𝒏𝒆𝒈𝒂𝒄𝒊ó𝒏 𝒅𝒆 𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐) { 𝑻𝑪𝑷 𝑺𝒀𝑵 𝑭𝒍𝒐𝒐𝒅
𝑫𝑶𝑺 𝑰𝒏𝒗𝒆𝒓𝒔𝒐|𝒓𝒆𝒇𝒍𝒆𝒋𝒂𝒅𝒐 → 𝑺𝒎𝒖𝒓𝒇
𝑫𝒊𝒓𝒆𝒄𝒕𝒐
𝑫𝒐𝒔 𝒅𝒊𝒔𝒕𝒓𝒊𝒃𝒖𝒊𝒅𝒐 (𝑫𝑫𝒐𝒔(𝑹𝒆𝒂𝒍𝒊𝒛𝒂𝒅𝒐 𝒑𝒐𝒓 𝒃𝒐𝒕𝒏𝒆𝒕)) {
{ 𝑰𝒏𝒗𝒆𝒓𝒔𝒐/𝒓𝒆𝒇𝒍𝒆𝒋𝒂𝒅𝒐
Ataques de ingeniería social: son aquellos ataques que pretenden manipular a los usuarios de un sistema para que realicen determinadas acciones maliciosas.

• Phising: Correo electrónico que parece oficial que deriva al usuario a un enlace web, donde se le conduce a un servidor fraudulento.
• Spear Pishing: Caso particular del anterior donde el mensaje ha sido personalizado para focalizarse en una organización en concreto.
• whaling: Se centra en los altos directivos de una organización.
• Pharming: Explotación de una vulnerabilidad en el software de un servidor DNS permitiendo al atacante a redirigir un nombre de dominio a otro servidor
malicioso.
• Pretexting: el atacante llama a un usuario para sacarle información sensible.
• Vishing: Similar a Phising pero usando el teléfono.
• Smishing: lo mismo, pero con mensaje de texto.
• Baiting: usando USB
• Tailgating: persigue a un usario autorizado hasta llegar a instalaciones seguras.
• Malvertising: añadir malware o enlaces maliciosos a un anuncio o publicidad web legitima en una página.
 TEMA 5: DEFENSAS BÁSICAS ANTE ATAQUES.
CONTROLES

• Control: Mecanismo para gestionar un riesgo de seguridad, por ejemplo, un firewall.

• Defensa en profundidad: Consiste en desplegar múltiples capas de mecanismos de defensa. Nuestra primera línea siempre será un mecanismo de prevención, que
impiden que los ataques entren en nuestras redes/sistemas. Inevitablemente, habrá algún ataque que logre “tumbar” a los sistemas de prevención (es decir, hay
agujeros o debilidades en los mecanismos de prevención; por ejemplo, un ataque que podría estar basado en JavaScript solo puede ser activado en un momento
determinado en el futuro por lo que será difícil para el sistema de prevención detener ese ataque en ese mismo instante ya que todavía ni sabe ni ve el
comportamiento del ataque).
La segunda línea son los mecanismos de detección y respuesta, que observan las actividades en nuestros sistemas para detectar ataques y reparar los daños
(pudiendo existir ataques que pasen desapercibidos durante un tiempo, por ejemplo, el malware de los ataques avanzados, donde tenemos un plugin malicioso
en el navegador difícil de detectar inicialmente).
La tercera es la línea de ataque de tecnologías resistentes, es decir, permitir que los sistemas centrales o más valiosos de la red sobrevivan a los ataques y continúen
funcionando (por ejemplo, un servidor en realidad es una colección de servidores o sistemas diversificados y cada uno de ellos varía con diferentes
implementaciones para que al menos uno de ellos no sea susceptible al ataque).
TIPOS DE CONTROLES

• Preventivo: Orientados a bloquear cualquier amenaza antes de

explotar una vulnerabilidad existente.
• Detección: Pretende buscar, detectar o identificar anomalías o mal
uso cuando ocurre.
• Disuasorios: Para desalentar ataques externos, así como
violaciones internas de las políticas establecidas.
• Correctivos: Resuelven problemas localizados y evitan que
vuelvan a producirse anomalías (en otras palabras, reparar la
integridad de los recursos).
• Recuperación: Restaurar la disponibilidad de un servicio.
• Compensativas: Proporciona protección a la protección mientras
que otros controles fallan.

CONTROLES DE ACCESO
• Control de acceso: mecanismos que controlan el acceso a los sistemas y recursos en una red, con el objetivo de proteger la información de que sea perdida, robada
o modificada intencionadamente. Los principales mecanismos de seguridad se basan en controlar el acceso a ciertos sistemas, mediante controles tecnológicos,
controles y políticas administrativas, y controles de acceso físico, estos controles se aplican en el acceso a la red, sistema o datos.
• Autorización: en base a una identidad que acciones están permitidas para esa identidad en el sistema.
 • Autenticación: es un proceso mediante el cual el usuario que es quien dice
ser. Se compone de dos partes:
o Una declaración pública de identidad (nombre de usuario).
o Repuesta privada a un reto (contraseña), esta respuesta secreta
puede basarse en uno o más factores como: (1) algo que usted sabe,
(2) algo que usted tiene (tarjeta inteligente, etiqueta de
identificación o generador de código), (3) factores biométricos.
• Si respuesta secreta se basa solo en probar la identidad del usuario con un
solo factor, estamos hablando de un sistema de autenticación de un solo
factor; pero si son dos o más factores, es un sistema de autenticación multi-
factor (por ejemplo, cuando aparte de pedirnos una contraseña se nos pide
que usemos una tarjeta inteligente, pues esto sería un factor de
autenticación de dos pasos

El mecanismo basado en usuario y contraseña es el más extendido, el principal problema es en donde almacenamos los usuarios y las contraseñas. Inicialmente se
implementaban en almacenamiento local, en ficheros que se guardaban en el sistema operativo (no es buena idea). Una segunda idea es el almacenamiento de la BD de
usuarios y contraseñas en forma remota, de manera que cuando el usuario llega al sistema, éste le pregunta al almacén remoto por esos datos (el protocolo PAP fue muy
utilizado, pero ahora no). Los mecanismos basados en usuario y contraseña son susceptibles a ataques de diccionario y de fuerza bruta.
Debemos crear contraseñas seguras: nuestra contraseña va a ser tan resistente como el tiempo que tarde un atacante en averiguarlo y no ponemos en duda que con
suficiente tiempo nuestra contraseña es vulnerable a cualquier ataque (se recomienda que superen los 8 caracteres, porque así el tiempo para averiguar la cadena es
mucho y así nos dé tiempo a cambiarla).
CONTRASEÑAS DE UN SOLO USO (OTP)
Ataque de repetición: Las contraseñas son capturas y usadas más adelante para repetir la autenticación, y su solución es usar un algoritmo que permita que la contraseña
sea diferente cada vez que se usa (OTP). Su principal ventaja es que, si existe algún ataque, solo afectaría al “mensaje” actual, pero como se cambia, el siguiente mensaje
ya no sería afectado.
Contraseñas de un solo uso: son contraseñas diferente en cada ejecución, son claves basadas en marcas temporales. Dentro de las contraseñas de un solo uso nos
encontramos dos tipos:

• Claves basadas en tiempo: Se genera una semilla aleatoria basada en la hora actual. Luego los programas clientes generan un código de autenticación simple de
una sola vez, que se cambia cada 60 segundos, y el usuario debe de combinar su número de identificación personal y este código para crear una contraseña que
se utilizará en todos los mensajes enviados en esos 60 segundos.

• Claves secuenciales: Usan una frase secreta para generar contraseñas que se utilizan una única vez. La frase de paso original y el número de cuantas contraseñas
se van a generar a partir de él se programan en el servidor. El servidor genera una nueva contraseña cada vez que se realiza una solicitud de autenticación; por
otro lado, el software del cliente que actúa como generador una sola vez utiliza la frase para generar la misma contraseña, cuando el usuario utiliza la frase de
contraseña original, dado que ambos sistemas conocen esta frase contraseña y ambos configurados para el mismo número de veces, ambos sistemas pueden
generar la misma contraseña de forma independiente.
 Un ejemplo es el servicio LastPass que genera las contraseñas de un solo uso asociándolas al correo electrónico.
DESAFIO Y RESPUESTA

• MD5: es un algoritmo de reducción criptográfico de 128 bits ampliamente usado

Una solución al problema de asegurar las credenciales de autenticación a través de una red, para que no sean interceptadas y reproducidas fácilmente es usar es usar los
algoritmos de autenticación basados en Desafío y respuesta como son los protocolos:

• CHAP (challegen Handshake authentication protocol) y Microsoft CHAP: Utilizan función hash MD5, lo que ocurre aquí es que el servidor recibe una solicitud de acceso
y emite un código de desafío donde el solicitante responde con un hash MD5 del código, así como la contraseña del usuario; a continuación, el servidor compara ese
hash con el hash propio del mismo código y contraseña, y si son iguales, pues accede.
• En Microsoft CHAP se requiere la autenticación mutua: no solo debemos autenticar al cliente, sino que además el servidor debe autenticarse ante el cliente antes de
emitir este challenge para autenticar al cliente, de manera que el servidor cifra un desafío enviado por el cliente y para cifrarlo usa la clave del cliente, que únicamente
debe de contener el servidor en su BD de cuentas de usuario. Es un algoritmo mucho más fuerte, pero no irrompible. Susceptible a fuerza bruta.
• Kerberos: es una mejora de los dos anteriores, consiste en un protocolo de autenticación multipaso basada en tickets, creado por el MIT, diseñado bajo la premisa de
que la información se distribuye en una red insegura
Generalmente vamos a tener 3 elementos: un servidor de autenticación, un servidor que emite el ticket y un servidor de servicio, que suelen estar integrados en un
mismo servicio. Generalmente, el usuario se autentica así mismo frente al servidor de autenticación, y lo demuestra al servidor de generación de ticket, de manera
que está utilizado para hacer un ticket de servicio. Cuando está correctamente autenticado, recibe el ticket, y ese ticket lo reenvía al servidor de servicio al que desea
acceder demostrando que ha sido autorizado.
SMARTCARDS Y PINS
Son una mejora con respecto a los sistemas basados en usuario y contraseña. La clave y la contraseña están separadas de la computadora, pudiendo utilizar tarjetas
inteligentes, las cuales, están combinadas con un pin de acceso, son resistentes a ataque de fuerza bruta (tras tres intentos, se bloque la tarjeta)
La tarjeta de autenticación contiene un chip que se utiliza para almacenar una clave privada y una copia del certificado, así como proporcionar los mecanismos de
procesamiento necesarios. Debemos tener cuidado a la hora de elegir una tarjeta inteligente para cada aplicación. Las tarjetas inteligentes requieren de lectores especiales
para proporcionar una comunicación segura entre la tarjeta y el sistema donde se usará.
El problema es cómo formamos, como concienciamos de un buen uso de la tarjeta, de manera que generalmente la tarjeta se suele combinar con un PIN de acceso, el cual
no debe estar apuntado en la parte trasera de la tarjeta; y el coste, puesto que es necesario actualizar todo el hardware, incluir lectores, además de las tarjetas, que tienen
un coste. Además, es frecuente que estas tarjetas por robo/pérdida desaparezca, con lo cual es un constante gasto de renovación.
Por último, es importante implementar un sistema alternativo en caso de que el sistema tarjetas falle, y generalmente el que se suele implementar es el basado en usuarios
y contraseñas, encontrándonos con una vulnerabilidad, ya que, si un atacante consigue encontrar un mecanismo de bloquear la tarjeta, pues a través del usuario y la
contraseña tiene muchas más posibilidades de acceder al sistema de forma no autorizada.
SISTEMAS BIOMÉTRICOS
Hay algoritmos de comparación diversos, lo que se hace es que se examina la parte del cuerpo, se asignan una serie de puntos únicos para comparar los puntos
almacenados en una base de datos, y si hay correspondencia, pues se da acceso.
El sistema puede ser ajustado para requerir suficiente información para establecer una identidad única y no dar un falso positivo. Cuando creamos una BD para almacenar
datos biométricos de un usuario, almacenamos la cantidad mínima de información para poder hacer la autenticación en un tiempo razonable con garantías de que sea
única, existe una tasa de error, está tasa de error se debe minimizar para también evitar dar un falso negativo, es decir, rechazar a un usuario que tiene derecho de acceso,
o lo que sería más grave, dar un falso positivo, que es permitir a un usuario que no tiene acceso poder acceder al sistema sin problemas.
AUTORIZACIÓN
La autorización especifica qué puede hacer ese usuario, normalmente también se refiere al conjunto de privilegios que el usuario puede tener en el sistema o en la red.
En su uso final, especifica incluso si el usuario puede acceder al sistema en absoluto. Hay una gran variedad de sistemas de autorización, incluyendo los derechos de
usuario, autorización basada en roles, listas de control de acceso, autorización basada en reglas, control de acceso discreto, control de acceso obligatorio…etc.
CONTROL DE ACCESO DISCRECIONAL
Es un modelo en el que el control de acceso se basa en la discreción del propietario, es el propietario del recurso, el que debe decidir a quién debe dar acceso y exactamente
a que se les permite acceder, Es el más común utilizado en la mayoría de los sistemas, tanto en S.O. Microsoft como en UNIX. El comando echo mod de UNIX permite al
usuario compartir los archivos en red. En los controles de acceso DAC el permiso se otorga a aquellos que necesitan acceso y se clasifica como un modelo a necesidad de
conocer (un ejemplo son las listas de control de acceso).
CONTROL DE ACCESO OBLIGATORIO
Un grupo de personas tiene autorización dada a un nivel específico de acceso dependiendo de la clasificación de la información o de los datos. Por ejemplo, los datos que
son secretos están disponibles para un grupo de personas en base a su nivel de autorización para acceder a documentos secretos, tales personas también tendrán permiso
para acceder a informaciones de nivel inferior.
ENTORNOS AAA
En un sistema de este tipo, se exige que accedan a los documentos o a la información solo con la necesidad
de saber o de utilizar. Los entornos AAA proporcionan el marco principal para configurar el control de acceso
de un dispositivo de red. Es una manera de saber a quién autenticar, autorizar y auditar.
Se puede usar para autenticar usuarios para el acceso administrativo o para la autenticación de usuarios
remotos a la red. Existen dos modos comunes de implementación:

• Implementación local: Nombres y usuarios de contraseñas se almacenan localmente y los usuarios se

autentican contra una BD local.

• Implementación basada en el servidor: Donde un servidor triple A central contiene los nombres de
usuario y contraseña para todos los usuarios, los enrutadores acceden a este servidor mediante los
protocolos de servicio de usuario de acceso para los protocolos de servicio como es RADIUS o
TACACS/+.
El procedimiento ilustrado en la imagen consiste en que un usuario o máquina envía una solicitud a un dispositivo de red configurado como el sistema de control de
acceso que comienza a ejecutar el protocolo triple A. Este servidor de acceso a la red se comunica mediante los pasos 2 y 3 para integrar mensajes RADIUS/TACACS/+,
si la autenticación tiene éxito se le concede al usuario en el paso 4 acceso a un recurso protegido en el paso 5.

Tanto en RADIUS como en TACACS+ el uno como el otro pueden tener una BD de usuarios y contraseñas locales, o bien usar un sistema de usuarios como Active
Directory o LDAP para consultar estos datos.
 TEMA 6: POLITICA DE SEGURIDAD
Una política de seguridad es un conjunto de objetivos de seguridad para una empresa, reglas de comportamiento
para usuarios y administradores y requisitos del sistema. Podemos destacar:

• Políticas de identificación y autenticación: especifican personas autorizadas que pueden tener acceso a
los recursos de la red y los procedimientos de verificación de identidad
• Políticas de contraseñas: las contraseñas cumplen con los requisitos mínimos y se cambia regularmente.
• Políticas de uso aceptable (AUP): identifica los recursos y el uso de la red que son aceptables para la
organización, también pueden identificar consecuencias se detectan violaciones de esta política
• Políticas de acceso remoto: identifica como los usuarios pueden acceder de forma remota a una red o a
los sistemas y que es accesible.
• Políticas de mantenimientos de sistemas: sistemas operativos de dispositivos conectados a la red, y
procedimientos de actualización de aplicaciones de usuario final.
• Políticas de gestión de incidentes.
Las organizaciones usan una serie de documentos que representan la política de seguridad para satisfacer sus
diversas necesidades. Estos documentos se dividen en una estructura jerárquica, tal que:
Política de gobierno: son un tratamiento de alto nivel de las directrices de
seguridad que son importantes para toda la empresa, los directivos y el personal
técnico son los encargados de diseñar estos documentos.

• Política técnica: es utilizada por los miembros del personal de seguridad,

a medida que asumen las responsabilidades de seguridad del sistema, son
más detalladas que las políticas de gobierno y son específicas de un
sistema o problema concreto. Suelen incluir: política de uso aceptable, de
solicitud de acceso, evaluación de adquisición, auditoría, acceso remoto,
redes, comunicaciones, aplicaciones.
• Política de usuarios: identidad, contraseñas, antivirus. Incluyen las reglas
y prácticas para proteger a la organización contra los accesos autorizados.
RESPUESTA ANTE INCIDENTES
Una política debe incluir problemas ante incidentes, de forma que ocurra
cualquier circunstancia, estemos preparados para recuperarnos, la respuesta ante incidentes se establece en dos bases:

• Primera fase: tras detectar el incidente se debe establecer una cadena de información utilizando al personal necesario, y este personal debe hacer todo
lo necesario para minimizar el impacto del accidente y recuperar la actividad de la empresa en el menor tiempo posible.
• Segunda fase: una vez se ha recuperado la empresa del incidente y los procesos de negocio se han restablecido, debe auditarse el sistema, en la que
se recopila información sobre cómo ha tenido lugar este incidente, en este proceso debemos recopilar la información necesaria sobre:
 o Motivo: Responde a la pregunta: ¿Por qué una persona ha cometido un acto ilegal?
o Oportunidad: ¿Cuándo y dónde la persona que cometió el incidente? Los sospechosos pueden tener coartada.
o Medios: ¿Cómo esta persona pudo llevar a cabo el ataque?
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Un sistema de gestión de la información (SGSI) es un conjunto de procesos que permiten establecer implementar, mantener y mejorar de manera continua la
seguridad de la información, tomando como base los riesgos a los que se enfrente la organización. Su implementación consiste en el establecimiento de procesos
formales y una clara definición de responsabilidades en base a políticas, planes y procedimientos que deberán constar como información documentada, habiendo
dos tipos de procesos: procesos de gestión y procesos de seguridad.
Los SGSI están formados políticas, estándares/normas, procedimientos, guías. Estos 4 elementos están influenciados por la legislación vigente:

• Normas: son descripciones de cómo implementar una política de seguridad, son requisitos obligatorios, son normas específicas de una infraestructura, suelen
estar gestionados por el departamento de administración de sistemas y evolucionan con el tiempo.
• Baseline: son un conjunto de implementaciones de estándares y controles de seguridad asociados a una categoría en particular, por ejemplo, esa categoría
puede ser una plataforma(todas las normas para equipos Windows o Linux), el propietario (si es un empleado, administrador o técnico), o localización (normas
para dispositivos móviles, equipos de almacén). Las baselines permiten conseguir uniformidad y consistencia a lo largo del todo el sistema.
• Guías: Son consejos o sugerencias para cumplir con una política, son orientadas a una audiencia concreta.
• Procedimientos: son instrucciones de como una política, un estándar, un baseline, y una guía son llevadas a cabo en una situación específica, están centradas
en acciones o pasos y hay diversos formatos: (1) Pasos, (2) Jerárquica [conjunto de instrucciones para usuarios experimentados y otras para usuarios no
experimentados], (3) Gráficas, (4) Diagramas de flujo.
• Planes y programas: proporcionan instrucciones estratégicas y tácticas, así como una guía para poner en marcha una iniciativa o como responder ante una
situación, dentro de un periodo de tiempo, mediante la definición de fases y la asignación de recursos. Por ejemplo, plan de gestión de compras (que dispositivos
de seguridad adquirir, se comprueba que la inclusión de ese dispositivo en el sistema no supone un riesgo de seguridad), plan de respuesta ante incidentes,
plan de continuidad de negocio (los procesos de negocio no pueden dejar de funcionar tras un incidente), plan de recuperación ante desastres. Todos estos
planes suelen ser un requisito de las políticas.
FORMATOS DE POLÍTICAS
Antes de diseñar la política de la seguridad se debe determinar cuántas secciones y subsecciones se van a incluir en la política, es decir, determinar una plantilla
adecuada. Hay dos aproximaciones: (1) Cada política como un único documento. (2) Agrupar las políticas en un mismo documento.
La estructura general de una política contiene los siguientes elementos: control de versiones, introducción, propósito y ámbito de la política, objetivos,
declaraciones, excepciones, clausulas de aplicación, referencias y un glosario. Veamos uno a uno:

• Control de versiones: indica la fecha del cambio de la política, el nombre de las personas que han realizado el cambio en la política, un resumen de los
cambios introducidos en la política, quien ha autorizado el cambio y la fecha en la que los cambios van a entran en vigor.
• Introducción: tiene cinco objetivos, tal que: (1) proporcionar contexto y significado a la política de forma general, (2) convencer sobre la importancia de
comprender y seguir la política, (3) indicar al lector que es lo que puede esperar del documento, (4) explicar el proceso de excepciones, así como las
consecuencias de incumplir la política, (5) agradecer al lector su esfuerzo y reforzar la autoridad de la política.
• Propósito y ámbito de la política: proporcionan contexto y significado más detallado, intenta convencer sobre la importancia de comprender y seguir la
política, indicar al lector el propósito del documento.
• Objetivos: Deben transmitir de forma concisa el propósito de la política.
• Declaraciones de la política: define las reglas que deben seguirse y, en algunos casos, hacemos referencia a las instrucciones de implementación
(estándares) o los planes correspondientes. Las declaraciones de las políticas son obligatorias, las desviaciones o excepciones deben estar sujetas a un
riguroso proceso de examen.
• Excepciones y el proceso de excepciones: son exenciones acordadas que están documentadas dentro de la política, bajo causa justificada podemos
incluir modificaciones o excepciones de cumplimiento a una política, definir un proceso de exención de la política para las excepciones identificadas después
de que se haya publicado la política, debe haber bajo número de excepciones. Por ejemplo: si en el equipo de trabajo hay gente con discapacidad visual,
se aplicaría una excepción en la manera que tienen de autenticarse (en vez de contraseñas sistema biométricos), se debe determinar un proceso de como
tratar la excepción. Si no se permiten excepciones, se debe declarar de manera explícita en la sección de declaraciones de política.
• Clausulas de penalización: se establece inequívocamente las sanciones por incumplimiento de la política a fin de reforzar la seriedad del cumplimiento.
La naturaleza de la penalización debe ser moderada y proporcional a la regla incumplida.
• Referencias: su objetivo es incluir información adicional y/o proporcionar una referencia a un recurso interno. Las referencias incluyen referencias cruzadas
a otros elementos que pueden intervenir en el proceso de la seguridad mediante: (1) el nombre de los documentos correspondientes, como estándares,
directrices y programas, documentación de respaldo, como informe anuales o descripciones de trabajos.
• Glosario: consiste en un glosario de términos, abreviaturas y acrónimos utilizados en el documento con lo que el lector pueda no estar familiarizado
 TEMA 7: MÉTODOS NO CRIPTOGRÁFICOS EN LA IMPLANTACIÓN DE LA POLÍTICA DE SEGURIDAD.

Llamaremos control al mecanismo para gestionar un riesgo de seguridad

(por ejemplo, un firewall sería un tipo de control). Cuando se trata de
defensa, el principio más importante es emplear el principio de defensa
en profundidad (múltiples líneas de defensa, la primera es la de
prevención, que impide que los ataques entren en nuestras redes y
sistemas, la segunda línea es la de mecanismos de detección y respuesta
de incidentes, que observan las actividades de nuestros sistemas y redes
para detectar ataques y reparar daños, formando parte estos de la fase
de monitorización (lo marca ella en rojo en la transparencia). La tercera
es la línea de defensa de tecnologías resistentes, que se enmarca en la
recuperación (lo marca ella en rojo en la transparencia).

La aceptación del riesgo siempre es arriesgada, y debemos tomarla con prudencia y justificación. Las
razones que pueden llevar a esta aceptación son:
1. Cuando el impacto residual es asumible
2. Cuando el riesgo es asumible
3. Cuando el coste de las salvaguardas oportunas es desproporcionado con el impacto y riesgo residual

METODOS DE TRATAMIENTO DE RIESGO

• Mitigación: consiste en la selección de controles hasta un nivel de riesgo aceptable Deben seleccionar controles apropiados y justificados que cumplan con los
requisitos identificados en la evaluación de los riesgos y el tratamiento de los riesgos. Esta selección debe tener en cuenta los criterios de aceptación de riesgos,
así como los requisitos legales, normativos y contractuales. Además, debe tener en cuenta el coste económico asociado y el calendario para la implementación de
los controles o aspectos técnicos, ambientales y culturales. A menudo, es posible reducir el coste total de la propiedad de un sistema con controles de seguridad
con controles de seguridad de la información adecuadamente seleccionados.

• Asumir el riesgo: el riesgo debe ser aceptable, y no se toman medidas. La debemos tomar según la evaluación del riesgo. Si el nivel de riesgo cumple con el criterio
de aceptación no es necesario implementar controles adicionales y se puede retener.

• Eliminar: Consiste en que la actividad o condición que da lugar a este riesgo particular debe ser evitada. Cuando los riesgos evitados se consideran demasiado
altos, o los costes de implementar otras opciones de tratamiento exceden nuestros beneficios, podemos tomar la decisión de evitar el riesgo por completo,
retirándose la actividad o conjunto de actividades planificadas o existentes o cambiando las condiciones bajo el cual se opera la actividad (por ejemplo, para los
riesgos causados por la naturaleza puede ser la alternativa más rentable para cambiar físicamente las instalaciones a un lugar donde el riesgo no existe o esté bajo
control).
 • Transferencia: El riesgo podemos compartirlo con otra parte que pueda gestionar de forma más efectiva el riesgo particular en función de la evaluación del riesgo.
Implica la decisión de compartir ciertos riesgos con terceros, pudiendo crear la transferencia nuevos riesgos o modificar los que ya existen, por lo cual es necesario
un tratamiento de los riesgos adicional. (Por ejemplo, se puede transferir un riesgo al contratar un seguro que respaldará las consecuencias, o subcontratando a
otra organización/socio, cuya función será monitorizar el sistema de información y tomar medidas inmediatas para detener un ataque antes de que se presente
el nivel de daño definido). Puede ser posible compartir la responsabilidad de administrar el riesgo, pero normalmente no es posible compartir la responsabilidad
y un impacto. Los clientes siempre tendrán un impacto adverso por culpa de la organización.
Los resultados obtenidos tras realizar el análisis de riesgos se tratan pudiendo mitigarse, asumirse, eliminarse o transferirlos, además, debe definirse un plan de
tratamiento de los riesgos. Las opciones de tratamiento de los riesgos deben seleccionarse en función del estado de la evaluación de riesgo, el coste derivado de
implementar estas opciones y los beneficios esperados. Cuando se puede conseguir una gran reducción de los riesgos con un gasto relativamente bajo, las opciones
deberían implementarse. Las opciones adicionales para mejorar pueden ser más caras, se deben analizar en general, las consecuencias al pesar de los riesgos deben
hacerse tan bajas como sea razonablemente posible e independientemente de cualquier criterio absoluto.
Los gerentes deben considerar riesgos raros pero severos, y en tales casos puede ser necesario implementar controles que no son justificables por razones económicas
(por ejemplo, controles de continuidad en edificio que se consideran para conducir a altos riesgos específicos. Además, las cuatro opciones de tratamiento de riesgos no
son mutuamente excluyentes, en ocasiones una organización puede beneficiarse sustancialmente con una combinación de acciones, como mitigar la probabilidad de los
riesgos, sus consecuencias, y transferirlo a asumir cualquier riesgo residual.
Guía 115: Catálogo de productos de seguridad de las tecnologías de la información y de la comunicación, creada por el CCN, con el fin de presentar un conjunto de
productos de seguridad de referencia, de manera que se pretende ofrecer un nivel mínimo de confianza al usuario final en la compra de dichos productos. La guía recoge
6 categorías: control de acceso, seguridad de la explotación, monitorización de la seguridad, protección de las comunicaciones, protección de la información y soportes de
información, protección de equipos y servicios en diferentes familias de dispositivos como son las tarjetas inteligentes, antispam…etc.
DECLARACIÓN DE APLICABILIDAD
Cuando ya se han seleccionado las estrategias para cada uno de los riesgos y se han definido los controles que se van a aplicar, se suelen reflejar en un documento que
se denomina la declaración de aplicabilidad, donde justificamos los controles seleccionados en las fases anteriores y porque hemos seleccionado unos controles y otros
no La declaración de aplicabilidad se suele elaborar en base a algún estándar como puede ser el ISO 27002, de manera que, por ejemplo, (mirar la imagen), vamos por
secciones, objetivos, controles, estado y justificación.
IMPLEMENTACIÓN DE CONTROLES
Se recomienda usar las tres WWW (Quién Cómo Cuando Dónde y Porqué). Por ejemplo, el administrador de la red (sería el quién), debería asegurar que las copias de
seguridad (el qué), se revisan de forma completo realizando logs (cómo) cada mañana (cuando), y siguiendo la revisión se debe completar la lista donde el informe de
las copias de seguridad que se guardará para copias de seguridad futuras (Porqué). Es una buena política escribir un borrador de las políticas y procedimientos antes de
implementar los controles seleccionados. Los procedimientos deben garantizar que los controles de seguridad desarrollados son operacionales día a día siguiendo las
especificaciones y las políticas de la organización. Los empleados de encargo de las operaciones deben involucrarse durante el proceso de diseño y validación de las
políticas y los procedimientos que les afecte.
Durante la definición de los procesos y controles de seguridad debemos también crear una lista de registros asociados. Cuando se describan los procesos y los controles
además deben describir como estos registros se gestionan, mientras que cuando se describan los procedimientos el formato y otros medios diseñados para reconectar y
preservar los registros deben tenerse en cuenta y crearse en caso de ser necesario.
Una vez los controles de seguridad han sido aprobados e implementados, debemos concentrarnos en el seguimiento.

• La ubicación puede ser desde un equipo local hasta en routers,

firewalls, switches en diferentes posiciones a través de la red.
• Dependiendo de los datos que nos ofrezcan, vamos a hablar de
sensores de red (aquellos que nos dan información de la
información en tránsito en la red), de sensores de host (aquellos
datos que van a estar asociados a un equipo concreto como EL
REGISTRO DE ACTIVIDADES DE WINDOWS), o de un sensor de
servicio (por ejemplo, el log de un servidor web). Además, los
sensores se pueden clasificar según su actividad.
o Simplemente informar que son aquellos que van
registrando poco a poco la actividad.
o Eventos, que son aquellos que aparte de registrar la
información cuando se producen cierto tiempo de eventos,
lanzan alertas a paneles de control de seguridad.
o Control, como un sistema de detección de intrusos, donde
cuando se detecta una actividad sospechosa se puede
ejecutar una acción como bloquearla.
Además de la monitorización, debemos revisar cómo de bien está funcionando nuestro plan de seguridad, usando para ello las auditorías que pretender descubrir
vulnerabilidades existentes. Dentro de las auditorías tenemos dos tipos:

• Internas: Aquellas realizadas por el departamento de seguridad de nuestra empresa con el fin de ejecutar los procesos de mejora de nuestro sistema de gestión
de la seguridad.
• Externas: Que las realizan auditores contratados por nuestra organización y tienen el objetivo de certificar nuestro sistema de seguridad frente a alguna
estandarización
PLANES DE RESPUESTA ANTE INCIDENTES

Junto con la monitorización debemos ponernos en el peor caso y tener planes de respuesta ante incidentes, cuyo objetivo es contener, recuperar y reunir las operaciones
lo más rápido posible y sin problemas; pensar y desarrollar planes para responder a varios tipos de problemas independientemente del momento en que ocurra puede
prevenir el pánico y errores costosos.
Además, la creación, revisión y prueba de los procedimientos de respuesta identificará las debilidades y los fallos en la capacitación en la capacidad de la organización
para detectar, responder y recuperarse. Un buen plan de respuesta ante incidentes permite a las organizaciones recuperarse de muchos tipos de incidentes, y suele
dividirse en una serie de fases distintas, cada una de las cuales son las que vemos en la diapositiva:
 • Detección de incidentes: Puede provenir de multitud de fuentes, desde las alertas creadas por los sistemas de detección de intrusos, o los sistemas de gestión de
eventos o información, hasta una llamada telefónica a un sistema electrónico de alarma (por ejemplo, puede llegar el caso que nos llegue un aviso de inicio de un
huracán).
• Respuesta y contención: Cuando se detecta un potencial incidente se debe iniciar el plan de respuesta asociado. Una organización necesita conseguir poner
inmediatamente a trabajar en el problema al personal necesario rápidamente. Debemos disponer de un mecanismo claro y sencillo para identificar y dar a conocer
al personal pertinente el desarrollarlo de la situación.
• Recuperación y reanudación: Una vez el incidente ha sido contenido, la organización puede pasar a modo de recuperación y reanudación para volver al sistema a
su operación normal. En caso de fallo del sistema debemos aplicar parches, realizar cambios de configuración, reemplazar hardware fallido; en cambio si se trata
de una brecha de seguridad esta fase se centra en bloquear los sistemas, identificar y reparar los agujeros de seguridad, eliminar acceso de intrusos y devolver a
los sistemas a un estado de confianza.
• Revisión y mejora: Debe consistir en una revisión realizando una evaluación general del incidente, permitiendo a la organización identificar deficiencias en el
proceso de respuesta y hacer mejoras

PLAN DE CONTINUIDAD DEL NEGOCIO

El plan de continuidad del negocio (Businees continuity plan- BCP) incluye la recuperación ante desastres junto con procedimientos para restaurar los procesos del
negocio que se han podido interrumpir por un desastre, así como las funcionalidades de la infraestructura subyacente que es necesaria para dar soporte a esos procesos,
junto con el reinicio del trabajo diario de los empleados relacionados.

Los profesionales encargados de los planes de continuidad del negocio suelen concentrarse más en los procesos de negocio que en las tecnologías, de forma que, para
encargarse de diseñar mecanismos de gestión ante un incidente, suele ser necesario trabajar con las unidades de negocio afectados para el diseño de un plan de
continuidad para el negocio. De esta forma se involucra al personal encargado de la toma de decisiones, al personal que opera en base a esas decisiones, el encargado de
gestión de la unidad y finalmente al personal que ejecuta las actividades en última instancia y por último los usuarios finales (debemos tenerles en cuenta porque son los
empleados que trabajan directamente con los sistemas de información y aplicaciones de forma más dedicada, siendo además los principales participantes en los ensayos
de protocolos ante desastres y otros ejercicios orientados a la continuidad de negocio. Se compone de 4 fases (es la diapositiva más todo el rollo que suelta de cada punto):

• Iniciación del plan: Se comienzan las reuniones para crear la definición del desastre desde la perspectiva de la empresa y crear un informe del impacto del negocio
de desastres.
• Análisis del impacto en el negocio: Un informe BIA es importante, porque, primero, asocia a cada desastre un valor económico y por otra parte permite determinar
el periodo máximo de resolución del desastre. Permite determinar cuáles son las funciones más críticas junto con los miembros de la unidad de negocio.
• Desarrollo de estrategias de recuperación: Se deben evaluar diferentes opciones de recuperación desde la recuperación instantánea a una recuperación sin grandes
gastos dependiendo de la relevancia de los procesos de negocio asociados, así como el periodo de recuperación disponible, por ejemplo, tener en cuenta estrategias
de copias de seguridad, redundancia, SAID. Interviene el nivel de experiencia de todo el personal para ofrecer estrategias de recuperación adecuadas. Por último,
se debería crear una lista de información de contactos, a los que deberíamos acudir en caso de desastre, incluyendo los RRHH, gestión de riesgos, policía,
bomberos…
• Ensayos o ejercicios: Es el más crucial y al que menos atención se le pone. Es importante probarlas para detectar posibles fallos y aplicar cambios correctivos.
TIPOS DE FORMACIÓN

• Personal técnico: sistemas operativos y aplicaciones: actualizaciones, vulnerabilidades; gestión y administración de soluciones de seguridad perimetral, copias de
seguridad y mecanismos de contingencia, sistemas de seguridad individuales, gestión de incidentes, seguridad en soportes extraíbles.
• Empleados: ataques de ingeniería social, protección del puesto de trabajo, practica sobre los controles de acceso físico, tratemiento y manejo seguro de dispositivos
móviles, seguridad navegando en la red, seguridad en aplicaciones.
 TEMA 9: LOS CORTAFUEGOS (FIREWALLS) Y SUS APLICACIONES COMO ELEMENTOS BÁSICOS DE UNA POLÍTICA DE SEGURIDAD DE REDES.
En caso de los firewalls, serían controles preventivos/tecnológicos orientados a evitar cualquier
acceso al interior de nuestra red. Tener en cuenta que solo desplegar un firewall no despliega la
seguridad del sistema. Si el firewall es vulnerado, el atacante tendría acceso a toda “nuestra casa”.
Por ello, debemos combinarlo con otras medidas de seguridad y es que, aunque a día de hoy, la
gran mayoría de empresas tiene firewall desplegados, las violaciones de seguridad continúan en
aumento, y es que el firewall no puede detener ciertas brechas de seguridad, como la ejecución
de malware, aunque una buena configuración de éste reducirá en buena medida los ataques
recibidos.

Un firewall es un dispositivo que proporciona conectividad segura entre redes, por ejemplo, entre
la red confiable interna y la red no confiable externa. Se utiliza para hacer cumplir una política de
seguridad para la comunicación entre redes, nos podemos encontrar con diferentes redes y con
diferentes niveles de seguridad como se ilustra en la imagen de la derecha.

Primero, nos encontramos con la parte interna de la red (denominada intranet) que es una parte
interna o de confianza a la que solo los empleados de la empresa pueden acceder.

La red de la empresa también puede tener una cara pública. Este servicio público, también llamado
zona desmilitarizada (DMZ), suele contener servicios accesibles desde el exterior, pero suele estar
separado de la zona de red de confianza.

Además, cuando una empresa tiene varias ubicaciones físicas distribuidas (por ejemplo, un banco, que tiene diferentes sucursales en diferentes ciudades), cada una de sus sedes
puede tener su propia red de confianza, y estas sedes es necesario que se comuniquen entre sí; además, también podemos encontrarnos la conexión de otras redes no confiables
como es Internet que van a intentar acceder a servicios públicos ofrecidos por nuestra DMZ.

OBJETIVOS DE FIREWALL

Un cortafuegos está diseñado para aplicar políticas de seguridad en el tráfico de red, es decir, todo el tráfico entrante o saliente por una red debe pasar a través de un firewall,
aplicando una política de acceso a un flujo de tráfico concreto (solo los flujos permitidos por la política de seguridad deben pasar a través de los cortafuegos). El cortafuegos debe
garantizar el cumplimiento de las políticas de seguridad relacionadas con el tráfico de red específicas de una organización.

Un firewall debe ser robusto ante ataques desestabilizadores y también confiable (no fácil de desactivar o hackear por un ataque), ya que, si está desactivado por un ataque,
todos los ataques subsecuentes podrán entrar en nuestra red. Otras ventajas:

Registro del tráfico de la red que lo atraviesa, otros también ofrecen la posibilidad de usar el protocolo NAT (útil cuando varios equipos de la red interna deben compartir una
dirección IP a las redes externas en Internet. El firewall lo que hace es traducir la dirección IP de un host externo a través de esta dirección IPV4 compartida para el tráfico saliente
de origen y para el tráfico entrante el servidor de seguridad traduce la dirección ip del destino a la dirección ip del host interno). Además, puede proporcionar cifrado (por
ejemplo, cifrar mensajes de una red segura hacia una insegura mediante un tunneling u otras técnicas).
Sin embargo, los cortafuegos tienen ciertas limitaciones (hay situaciones en las que el firewall no nos puede proteger). Si el tráfico no atraviesa el firewall no puede examinar
dicho tráfico, y proporcionar mecanismos de protección (por ejemplo, si el tráfico se enruta fuera del firewall lo que significa es que el tráfico no pasa a través de él y no hay
ningún tipo de protección) o para el tráfico procedente de la red interna no pasar a través de la frontera entre las redes internas y externas donde hemos situado el firewall, no
habiendo ningún tipo de protección por el cortafuegos que se encuentran normalmente entre redes internas y externas. Además, si está mal configurado el tráfico que traspasa
a través del firewall podría no realizarse correctamente.

Nos permite luchar contra los intentos por parte de los atacantes de acceder a nuestro sistema o de aquellos virus o gusanos que se propagan por Internet, pero no podrá hacer
nada al malware que se propague por ejemplo por el correo electrónico o cualquier aplicación instalada en el sistema, así como el tráfico de red cuya apariencia sea legítima o
se encuentre fuertemente cifrado.

EVOLUCIÓN DE FIREWALLS

• La primera, filtrado de paquetes, usa la información de las cabeceras de los mensajes para determinar si el paquete es autorizado o no lo es. El filtrado
de este firewall actúa paquete por paquete de flujo, actúan sobre la capa 3 del modelo OSI, y permiten dos acciones (permitir o denegar) … El ejemplo
más típico son las listas de control de acceso que encontramos en los routers Cisco o el firewall IPTABLES.
• La siguiente evolución es el filtrado de sesiones, también conocido como stateful inspection, donde ya sí que filtramos por conjuntos de paquetes, es
decir, mantenemos una tabla en la que se indica qué sesiones se han establecido, con qué protocolos y entre qué puntos, trabajando ya en la capa 4. Otro
tipo de filtrado de sesión, del mismo nivel, pero de distinto tipo, es la configuración por zonas,
• La última generación es filtrado de aplicaciones y ya estamos hablando de la capa 7 de OSI, incluyen otras características avanzadas como IPS, creación
de VPNs, NAT, reputación de IPs, Fortinet, ASA de Cisco, un tipo característico de este tipo de firewalls suelen ser los WAFs(web aplication firewall) que
suelen centrarse en proteger aplicaciones web, evitando inyección SQL, crossReferers..etc.

FILTRADO DE TRÁFICO
El mecanismo principal del funcionamiento de los cortafuegos es el filtrado de tráfico. El filtrado significa que cada paquete que llega al firewall es examinado
mediante alguna técnica y el cortafuegos decidirá si lo deja o no deja pasar. Es decir, cada paquete se detiene en el firewall y se compara con la política de
seguridad y luego el firewall decide si permite pasar o no el paquete, aplicándose tanto a tráfico entrante como saliente.

• Filtrado a nivel de paquete: Básicamente, la política del firewall es un conjunto de listas de control de acceso basadas en los tipos de paquetes, de
manera que se filtran en base a la información que tenemos en el encabezado de cada uno de los paquetes.
• A nivel de sesión: El paquete se examina en función de su contexto dentro de una sesión. Una sesión es una conversación (un conjunto de paquetes)
entre dos entornos de la red. Para llevarlo a cabo, el cortafuegos suele mantener información sobre una sesión de conexión y realiza una llamada de
inspección estado. Ejemplos de este caso, son el filtrado dinámico de paquetes, firewall de tipo statefull inspection, control de acceso basado en
contextos (zonas).
POLÍTICA ASOCIADA A UN FIREWALL
Un componente crítico en la planificación e implementación de un servidor de seguridad específico es la directiva de acceso adecuado, así que, ¿qué nos dice la
política?, en pocas palabras, la política de acceso de red especifica qué tipo de tráfico puede pasar a través del cortafuegos, decidiéndose los tipos de tráfico
normalmente por intervalos de direcciones (cuáles son sus máquinas, protocolos, aplicaciones y contenidos)
FILTRADO DE PAQUETES
En el filtrado de paquetes, las decisiones se toman sobre el paquete actual, y nunca sobre ningún otro paquete. Más eficiente, simple y rápido, pero no es sólido contra
ataques que abarcan múltiples paquetes donde cada uno por sí solo no es un claro indicativo de ataque.

Generalmente se configura con una lista de reglas basadas en coincidencias con los campos del encabezado IP/TCP/UDP. Si hay una coincidencia con una de esas reglas,
esa regla se invoca para determinar si se reenvía el paquete o se descarta; si no hay ninguna coincidencia con ninguna regla, se debe tomar una opción predeterminada
(generalmente nos encontramos con dos políticas predeterminadas, la política de descarte por defecto, que significa que si no hay ninguna regla que coincida con el
paquete, el paquete será automáticamente descartado, siendo una política más segura/conservadora, puesto que proporciona un mayor control sobre el tráfico que se
permite en la red, pero también puede ser un obstáculo para los usuarios que ven que no se permite cierto tráfico, o que tienen que decir al administrador del sistema
que habilite cierto tráfico. Por otro lado, nos encontramos con la política de reenvío predeterminada, la que indica que si no hay una regla que no coincida con el paquete,
pues le permite. Esta política es más fácil de usar, pero menos segura, ya que el administrador debe reaccionar ante cada posible vulnerabilidad/amenaza para actualizar
rápidamente las reglas del firewall).

La mayoría de las aplicaciones que se ejecutan sobre TCP siguen un modelo cliente-servidor. Por ejemplo, SMTP (correo electrónico), se transmite desde un sistema
cliente a un sistema servidor; el cliente genera nuevos mensajes de correo a partir de la entrada de un usuario, mientras que el sistema del servidor acepta mensajes de
correo electrónico entrantes y los coloca en los buzones de los usuarios apropiados).
SMTP funciona con una conexión TCP entre el cliente y el servidor en la que el número de puerto del servidor debe ser el puerto 25, mientras que el número de puerto
para el cliente es un número entre el 1024 y el 65535. Los números de puerto inferiores a 1024 se denominan números de puerto conocidos y se asignan
permanentemente a aplicaciones particulares. Los puertos entre 1024 y 65535 se generan dinámica y tienen una importancia temporal sólo durante la duración de una
conexión TCP desde un cliente a un servidor.
ALGUNAS RECOMENDACIONES
En el IP Spoofing, el atacante transmite paquetes desde un host externo, pero con un campo de dirección IP de origen que contiene una dirección de un host
interno, es decir, se falsifica la dirección IP de los paquetes como si fuera de un host externo. El atacante espera que el uso de una dirección interna permita que
el firewall pase el paquete. La principal contramedida es descartar paquetes de una red interna si llegan a una interfaz externa, aunque la medida indicada para el
IP Spoofing se suele implementar más en un enrutador externo que en un firewall, es decir, cuando un router recibe una dirección de Internet verifica si la IP de
origen es correcta. En caso de que reciba una dirección IP de una red interna, debe saber que es falsificada.
Un ataque relacionado es un ataque llamado enrutamiento en origen, donde el atacante especifica una ruta que debe tomar el ataque mientras cruza Internet,
esperando que al definir la ruta de transición del paquete se eviten las medidas de seguridad y los controles a lo largo del camino, la principal medida es descartar
todos los paquetes que usan esta opción, es decir, descartar todos aquellos paquetes que indiquen la ruta).
Otro ataque es el basado en fragmentos, donde se usa la opción de fragmentación IP para crear fragmentos extremadamente pequeños y fuerza la información
del encabezado TCP a fragmentos de paquetes separados. Está diseñado para eludir las reglas de filtrado que dependen de la información del encabezado de
TCP. Normalmente, un filtro de paquetes tomará una primera decisión basada en el primer fragmento de paquete, esperando el atacante que el firewall de filtrado
analice solo el primer fragmento y que todos los restantes pasen. Este ataque puede ser vencido imponiendo que el primer fragmento de un paquete debe contener
una cantidad mínima predefinida de información de encabezado de transporte, y si el primer fragmento es rechazado, todos los demás también lo deben ser.
VENTAJAS Y DESVENTAJAS
La principal ventaja del filtrado de paquetes es su sencillez (muy fácil implementar reglas de filtrado de paquetes). Es muy eficiente, ya que impone una
sobrecarga mínima, no notando los usuarios ninguna ralentización y estas reglas son muy generales y muy amplias, por lo que no son específicos de ninguna
red en particular. Es transparente para la experiencia del usuario y son muy rápidos.
Por sus desventajas, la primera de ellas es que como los filtrados de paquetes no examinan datos de la capa superior, no pueden evitar vulnerabilidades o
funciones específicas de la aplicación (por ejemplo, un firewall de paquetes no puede bloquear comandos o contenidos específicos de aplicación, ya que, si
permite una aplicación determinada, permite también todas las funciones, comandos…).
Las capacidades de registro del firewall de filtrado de paquete también son limitadas, esto se debe a que el firewall de filtrado de paquetes no examina los datos
de la capa superior. Por ejemplo, el firewall puede permitir el tráfico FTP pero no puede registrar los datos de FTP reales, los ficheros que se están
transmitiendo, las sesiones de usuarios
Además, dado que toma decisiones en base a paquetes individuales, no puede evitar ataques que abarcan múltiples paquetes, es decir, no puede ver ataques
que requieren varios paquetes en una conexión. Finalmente, puede pasar que las reglas de nuestro cortafuegos no sean lo suficientemente específicas y los
ataques pueden eludir el firewall.
Dentro de los firewalls podemos encontrarnos varios tipos:

• Firewall local: Aquellos que se instalan en equipos de usuario, siendo una de sus ventajas que puede analizar el tráfico cifrado del usuario, pero como desventaja
no poseen una visión global de la red y suelen ser dependientes de la versión del S.O. Distinguimos dos tipos:
o Personales: Son los que se instalan en equipos de usuario doméstico para protegerlos de la conexión a Internet.
o De host: Son aquellos desplegados sobre servidores. Suele venir instalado el sistema operativo del servidor o mediante la inclusión de un paquete y suelen
restringir y filtrar flujos de paquetes además de proporcionar una capa adicional de seguridad
• Bastión: Tipo de firewall que sirve como plataforma para crear un firewall de tipo Gateway a nivel de aplicación. Son sistemas altamente críticos.
• Firewall de red: Bien están instalados en los Routers, que son firewalls tipo Gateway (también conocidos como proxy).

BASTIÓN
Consiste en una aplicación que se localiza en un servidor con el fin de ofrecer seguridad a la red interna, por lo que ha sido especialmente configurado para la
recepción de ataques, entre sus principales características destacan: (1) Versión segura del sistema operativo, solo servicios mínimos, (2) Acceso autenticado
para el tráfico de hosts, (3) Configurado para acceso solo de sistemas específicos de la red, (4) optimizado para la seguridad, (5) Bajo uso de disco duro, (6)
ejecución como usuario no privilegiado en un directorio del bastión.
PROXY
Podríamos verlos como una aplicación que realiza un ataque man in the middle. Su funcionamiento es:

Primero el usuario contacta con la puerta de enlace usando una aplicación de

capa alta (por ejemplo FTP o el navegador). Luego, la puerta de enlace solicita
información tal como el nombre del servidor remoto, la información de inicio
de sesión del usuario… etc. El usuario da todo esta información al proxy, y
entonces la puerta de enlace se pone en contacto con el servidor externo y le
proporciona toda la información de autenticación del usuario (en otras
palabras, la puerta de enlace actúa como un usuario válido al servicio
externo). Cuando el servidor externo devuelve la respuesta, es analizada en
la puerta de enlace, y si el tráfico es permitido lo reenvía al usuario, pero para
que la puerta de enlace pueda analizar correctamente la respuesta del
servidor debe tener implementada la lógica de aplicación correcta (es decir,
si se trata de un proxy web debe procesar el tráfico web como un navegador,
pero si por ejemplo pretendemos usar FTP y nuestro proxy está configurado
como proxy web, no se aplicará y el tráfico no vuelve al usuario, de manera
que esta restricción garantiza el filtrado de paquetes).

Sin embargo, el hecho de que exista un intermediario, lo que hace es ralentizar la red. Entre las ventajas que presentan estos mecanismos, aparte del filtrado a nivel de
aplicaciones, es que pueden manejar el tráfico cifrado de usuario (ya que el usuario cede las credenciales al proxy y es el proxy el que realmente establece la conexión segura con
el equipo remoto, todas las conversaciones cifradas por ejemplo a través del protocolo HTTPS quedan registradas en el proxy.
 TEMA 10: TECNOLOGÍA DE ÚLTIMA GENERACIÓN EN CORTAFUEGOS
la última generación de cortafuegos tiene dos características:
▪ Inspección de tráfico que incluye el estado completo de las transacciones (stateful inspection). Es decir, el cortafuegos puede obtener, almacenar,
manipular y utilizar información que se obtenga de todos los niveles de aplicación, incluyendo aplicaciones.
▪ La acumulación de características de seguridad.
No es suficiente examinar cada mensaje IP de manera aislada teniendo que hacer un seguimiento de la conexión completa para tomar una decisión. Esta
tecnología guarda información en una serie de tablas de conexión. Veremos cada caso concreto:
▪ Mensajes IP de aplicaciones basadas en sesiones TCP: para este tipo de mensajes se manejan dos tipos de tablas:

o tabla de conexiones semi-hechas: (¿Qué conexiones están a medio-hacer?), En un primer momento guarda información de por qué interfaz se
ha iniciado el intento de conexión TCP: IP origen y destino, puerto origen y destino, Nº secuencia TCP inicial, Nº de secuencia ACK = 0, opciones
de TCP (bit SYN). El mensaje de respuesta de un servidor externo debe cumplir que su dir.IP destino debe ser la dir.IP origen del primer mensaje,
los números de puertos deben estar cambiados, ACK debe ser el nº de secuencia TCP del mensaje anterior más uno, En las opciones TCP debe
haber SYN y ACK.
o Tabla de conexiones hechas: mantiene la información de cada uno de los mensajes en ambos sentidos en estas conexiones. Se mantendrá
permanentemente, toda la información de las dir. IP, números de puertos, números de secuencia TCP y ACK y opciones TCP.

▪ Mensajes IP de aplicaciones basadas en sesiones UDP:

o Tabla de sesiones UDP: se guarda información de la interfaz por la que se inicio el trafico UDP de la aplicación que sea, y dir.IP origen y destino,
puertos origen y destino del mensaje, se usa además un contador de tiempo, Si en menos de ese tiempo llega un mensaje, por la interfaz por la
que se es esperado, con la información de direcciones y números de puertos cambiados, se le deja pasar, siempre que no haya otro tipo de filtros
que aplicar.

▪ Mensajes IP de protocolos del nivel de red (ICMP, OSPF, etc.): para cada protocolo hace falta un procedimiento especial, puede no dejarse para el
tráfico, dejar pasarlo todo, o como en el caso de ICMP, restringir dependiendo de tipo de mensaje.
En acumulación de características de seguridad los cortafuegos son híbridos, es decir, pueden usar las siguientes tecnologías: filtrado de paquetes, actuar como
proxy, sistema de detección de intrusiones, métodos de autenticación, de tipo criptográfico de equipos o de tipo AAA, puede ser punto de entrada de redes virtuales
que utilicen protocolos (IPSec, L2TP, GRE, etc.), gestión local o remota, distintos métodos de seguridad aplicados a distintos tipos de trafico no convencional,
como los relacionados con aplicaciones multimedia.
CASOS PRÁCTICOS DE FIREWALLS DE ÚLTIMA GENERACIÓN
▪ Cisco Pix Firewall: PIX (private internetWork Exchange): Sus principales características son: sistema operativo especial (finesse) en tiempo real y
alto rendimiento (sin problemas de seguridad típicos de UNIX o Windows). El algoritmo ASA (adaptive Security algorithm) es el responsable del control
de conexiones basado en el método de “stateful inspection”, método de autenticación de usuarios que actúa como un servidor proxy de alto rendimiento
que soporta autenticación local en el PIX o basada en servidores AAA. Soporte de IPSec permitiendo VPN, soporta NAT y PAT, soporte de filtros estáticos
como las ACLs de los encaminadores Cisco System, gestión de protocolos avanzados, filtros de control de contenidos, detección de intrusiones, capacidad
de redundancia y de encaminamiento dinámico, mediante TIP y OSPF.
 Cada una de las interfaces del PIX tiene asociado un nivel de seguridad del 0 al 100. Como máximo puede tener 10 interfaces distintas, pero hay siempre
al menos dos, (una recibe el nombre de inside con nivel de seguridad 100 y otra outside con nivel de seguridad 0). Los niveles de seguridad ASA indican
si una interfaz es más o menos fiable.

Las reglas del ASA funciona de la siguiente manera: Una interfaz de nivel mayor que otra interfaz puede acceder a esta segunda, a la inversa, desde
cualquier interfaz de menor nivel no se puede acceder a una de mayor nivel (a menos que haya un ACL que lo permite denominada excepción ASA), la
red que se desee proteger más debe estar conectada a la interfaz inside, solo se puede acceder a esta interfaz si está explícitamente permitido, y cualquier
dispositivo dentro de esta interfaz tiene acceso al resto de interfases a no ser que este explícitamente especificado que no. En outside ocurre lo contrario,
no se puede acceder a ninguna otra interfaz a no ser que este especificado, entre interfaces con idéntico nivel no hay tráfico.

Para que el PIX funciones son necesarios los siguientes seis comandos:

o Asignar nombre y nivel de seguridad a cada interfaz, con el comando nameif.

o Habilitar y configurar el tipo y la velocidad de cada interfaz (comando interface).
o Asignar una dirección IP a cada interfaz, manualmente o mediante DHCP (comando ip adress)
o Implementación de NAT, mediante comandos “nat” y “global”, sino se desea usar NAT se usa “nat 0”.
o Definición de rutas estáticas o por defecto para cada interfaz, al menos para la interfaz outside, con el comando route.
Con esta configuración mínima el PIX protege completamente la red de la interfaz inside, se continua aplicando excepciones ASA, para ello primero se
crean asociaciones estáticas (NAT estático) mediante el comando static, después se crean filtros de excepción mediante ACLs, en caso de PIX solo se
aplican a tráfico entrante, o mediante el comando Conduit, que asocia dos interfaces obligatoriamente.
El PIX también tiene capacidad de filtro de “código activo”, como applets de Java y controles ActiveX. Concretamente se puede conseguir que no se
descargue ningún applet de Java o control de ActiveX desde una dirección IP sospechosa. También se pueden filtrar peticiones http a direccioner URL
concretas, permitiendo decidir que sitios web no se pueden visitar desde una red concreta, para ello el PIX pregunta a un servidor de filtrado, si la dirección
de URL esta permitida o no, antes de permitir el acceso.
PIX también incorpora la gestión de protocolos avanzados, el cual, se trata de asegurar el tráfico de una serie de protocolos, muchos de ellos multimedia.
Se han creado los comandos “fixrup protocol protocolo opciones”, los protocolos soportados son: ftp, rsh, aplicaciones que usan SQL* Net, protocolo SIP,
todas las versiones del RTSP (real time streaming protocol), protocolos y estandares H.323. Además, el cortafuegos PIX dispone de las siguientes
salvaguardas: salvaguarda contra ataques dirigidos a servidores SMTP, protección especial contra ataques de suplantación de personalidad de un servidor
DNS, Protección frente a ataques de tipo fragmentación y salvaguarda frente a ataques de tipo DOS basado en SYN flood. Finalmente, la gestión remota
del PIX puede realizarse mediante: Telnet, SSH y PDM.
▪ CheckPoint Firewall-1: Sus principales características son que todo lo que se puede configurar se maneje como objetos de red, definidos mediante
propiedades, y su potente interfaz gráfica. Se puede integrar en Windows, UNIX y en dispositivos Nokia, permite filtrado dinámico de paquetes, registro de
trafico y alarmas, Sus propios IDS o sistemas de detección de intrusiones, filtrado de direcciones URL, filtro de contenidos Java y Active X, analizador de
virus en el correo electrónico, NAT en modo estatico y dinamico, autenticación de usuarios mediante contraseñas propias, SecurID, Radius, Takas…etc.
Soporte completo de VPN mediante IPSec, gestión distribuida de modulos.
 TEMA 11: HERRAMIENTAS DE DETECCIÓN DE INTRUSIONES PARA LA MONITORIZACIÓN DE LA SEGURIDAD EN LAS COMUNICACIONES
Una intrusión se puede definir como un mensaje o serie de mensajes que se aparta de un comportamiento «normal», lo cual ya implica cierto problema (conocer
qué es normal en el tráfico de una red), si se considera anormal hay que decidir si esa anormalidad proviene de un uso incorrecto (con probabilidad, un ataque) o
si es una situación no peligrosa.
Un IDS es un programa de detección de accesos no autorizados a un ordenador o una red. El IDS suele tener sensores como un sniffer para detectar acciones
maliciosas o comportamientos que puedan comprometer la seguridad. Los de hoy en día se basan en firmas, esas firmas son mensajes concretos (un mensaje
de tipo ping, con una dirección destino broadcast) o un grupo de mensajes (muchos mensajes seguidos con iguales dirección IP destino y de tipo SYN flood).
Podemos entender una firma como un conjunto de reglas típicas de una actividad asociada a una intrusión a la red.

• IDS basados en la red – NIDS: Se colocan en un segmento de red. Monitorizan el trafico que circula por la red independientemente de IPs.
• IDS basado en el sistema: Se colocan como salvaguarda de un único sistema, para proteger dicho sistema (+ barato).
FUNCIONAMIENTO GENERAL DE UN IDS: una vez configurados monitorizan todo el tráfico que pasa por la tarjeta de red que usan, comparan el tráfico que
capturan con cada una de las firmas para las cuales están configurados, si hay conciencia entre tráfico y firma, se registra el tráfico, se envía una alarma y se
para el ataque (pueden ser una o combinación de varias de estas tres últimas opciones).
CARACTERISTICAS GENERALES QUE DEBE CUMPLIR UN IDS: estar actualizado para enfrentarse a nuevos ataques, capacidad de adaptación al entorno
(creación de firmas o preferencia de una firma sobre otra según su posición en la topología de la red), tener buen rendimiento
Si solo se trabaja con IDS lo normal es ponerlo entre red externa y cortafuegos. Puede darse un falso negativo (cuando se produce un ataque y no se detecta) o
un falso positivo (se detecta algo como amenaza cuando realmente no lo es)
CASO PRÁCTICO I: SISTEMA CISCO SECURE IDS ó CSIDS, implementan detección de ataques de red basada en firmas y de NIDS, entran en juego los
sensores (IDS) y la plataforma de gestión o plataformas CSIDS director, desde las cuales se gestionan, remotamente, los IDS concretos. Los sensores tienen dos
interfaces, la interfaz de monitorización (captura del tráfico sobre red objetivo) y la interfaz de comando y control (se envían alarmas y se reciben ordenes de la
plataforma directora).
El funcionamiento del CSIDS se puede concretar en 4 pasos: 1. Los sensores capturan los paquetes de red, mediante la interfaz de monitorización. 2. Si es
necesario, estos paquetes se reensamblan y se comparan contra el conjunto de reglas para el que esté configurado el CSIDS, en busca de actividad típica de
ataques.3. El sensor registra y notifica a la plataforma directora si se ha detectado un ataque, mediante la interfaz de comando y control. 4. La plataforma directora
gestiona las alarmas, registra los datos y toma la acción para la que esté configurada (que puede ser parar el ataque, por ejemplo), si detecta un ataque, otras
acciones pueden ser finalizar las sesiones correspondientes a ataques concretos, bloquear todo el tráfico que venga desde la dirección IP que se ha detectado
como el origen del trafico de ataque, pudiendo incluso mandar a un encaminador o a un cortafuegos una ACL que impida tal tráfico.
CASO PRÁCTICO II: