04 Material Teorico - Seguridad de Terminales

Curso: Seguridad de Terminales de Redes Informáticas
Material Teórico del curso
1.0.1 ¿Por qué debería realizar este

curso?
Bienvenido a este módulo, cuyo objetivo es explorar la gama de riesgos y amenazas de
ciberseguridad que están siempre presentes en nuestro mundo actual.
Los ciberdelincuentes encuentran constantemente nuevas formas de aprovechar

vulnerabilidades en sistemas y redes, a menudo con la intención de robar información
confidencial y / o dinero.
Como profesional de la ciberseguridad, debe poder considerar la posibilidad de un

ataque cibernético (una amenaza), reconocer qué hace que un objetivo sea susceptible
a un ataque (una vulnerabilidad) y comprender los diferentes tipos de ataques
cibernéticos y sus efectos.
1.0.2 ¿Qué aprenderé en este módulo?
Este módulo contiene lo siguiente:
 4 vídeos
 1 laboratorio
 1 Actividad de Packet Tracer
 1 Prueba del Módulo
Título del módulo: Amenazas, vulnerabilidades y ataques a la ciberseguridad
Objetivo del módulo: explicar cómo los agentes de amenazas ejecutan algunos de los
tipos más comunes de ataques cibernéticos.
1.1 Amenazas comunes
1.1.1 Dominios de amenazas

This component is a flipcard comprised of flippable cards containing display image. Select the front face image to flip to the back face of these card to display associated text.
Dado que las organizaciones enfrentan un número cada vez mayor de amenazas
cibernéticas, es fundamental que cuenten con soluciones de seguridad sólidas. Pero
para protegerse, las organizaciones primero deben saber qué vulnerabilidades existen
dentro de sus dominios de amenazas. Se considera que un “dominio de amenazas” es
un área de control, autoridad o protección que los atacantes pueden aprovechar para
obtener acceso a un sistema.
Los atacantes pueden descubrir muchas vulnerabilidades y aprovechar los sistemas de

un dominio de muchas maneras.
Los atacantes pueden aprovechar los sistemas dentro de un dominio mediante:

 Acceso directo y físico a sistemas y redes.
 Redes inalámbricas que se extienden más allá de los límites de una organización.
 Bluetooth o dispositivos de comunicación de campo cercano (NFC).
 Tipos de adjuntos maliciosos.
 Elementos menos seguros dentro de la cadena de abastecimiento de una
organización.
 Las cuentas de medios sociales de una organización.
 Medios extraíbles, como unidades flash.
 Aplicaciones basadas en la nube
Incompleto 1.1.2 Tipos de amenazas cibernéticas
1.1.2 Tipos de amenazas cibernéticas

Lista de secciones expandibles. Selecciona cada botón para ampliar el contenido.
Las ciberamenazas se pueden clasificar en diferentes categorías. Esto permite a las

organizaciones evaluar la probabilidad de que se produzca una amenaza y comprender
el impacto monetario de una amenaza para que puedan priorizar sus esfuerzos de
seguridad.
Seleccione los encabezados para ver ejemplos de ciberamenazas en cada una de

estas categorías.
Ataques de software
Errores de software
Sabotaje
Error humano
Robo
Fallas del hardware
Interrupción de servicios
Desastres naturales
Completo 1.1.3 Avatar
1.1.3 Avatar
Recuerde que el repertorio de los ciberdelincuentes es vasto y está en constante
evolución. A veces, pueden combinar dos o más de las tácticas anteriores para aumentar
sus posibilidades.
Depende de los profesionales de ciberseguridad crear conciencia y educar a otras

personas en una organización sobre estas tácticas para evitar que sean víctimas de tales
ataques.
Completo 1.1.4 Amenazas Internas vs Externas
1.1.4 Amenazas Internas vs Externas

Las amenazas pueden originarse tanto dentro como fuera de una organización, con
atacantes que buscan acceso a información confidencial valiosa, como registros de
personal, propiedad intelectual y datos financieros.
Las amenazas internas generalmente son llevadas a cabo por empleados actuales o
anteriores y otros socios contractuales que manipulan accidental o intencionalmente
datos confidenciales o amenazan las operaciones de servidores o dispositivos de
infraestructura de red conectando medios infectados o accediendo a correos
electrónicos o sitios web maliciosos.
Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar
las vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la
ingeniería social, como trucos, para obtener acceso.
1.1.5 Avatar
¿Sabía que las amenazas internas tienen el potencial de causar un daño mayor que las
amenazas externas? Esto se debe a que los empleados o partners que trabajan en una
organización tienen acceso directo a sus instalaciones y dispositivos de infraestructura.
También tendrán un conocimiento interno de la red, los recursos y los datos
confidenciales de la organización, así como las medidas de seguridad implementadas.
Incompleto 1.1.6 Conocer la diferencia
1.1.6 Conocer la diferencia

Pregunta de opción múltiple
Le preocupan algunas amenazas potenciales que se informaron recientemente en

@Apollo. Pero antes de poder abordarlas, debe comprender si las amenazas provienen
de una fuente interna o externa.
1.1.7 Avatar
Las ciberamenazas pueden propagarse de varias maneras, como a través de los propios
usuarios, dispositivos conectados a la red o servicios alojados en una nube pública o
privada. Y no olvide la amenaza de un ataque físico si no se aplican las medidas de
seguridad adecuadas.
Observemos esto con mayor profundidad.
Incompleto 1.1.8 Vulnerabilidades y amenazas comunes a los usuarios
1.1.8 Vulnerabilidades y amenazas

comunes a los usuarios
Un dominio de usuario incluye cualquier persona con acceso al sistema de información

de una organización, incluidos empleados, clientes y partners contractuales. Los
usuarios generalmente son el eslabón más débil en los sistemas de seguridad
informática y representan una amenaza importante para la confidencialidad, la
integridad y la disponibilidad de los datos de la organización.
Seleccione los encabezados para obtener más información sobre algunas de las
certificaciones más comunes.
Sin conocimiento sobre la seguridad

Políticas de seguridad aplicadas de modo deficiente
Robo de datos
Descargas no autorizadas
Redes privadas virtuales (VPN) no autorizadas
Sitios web no autorizados
Destrucción de sistemas, aplicaciones o datos
Siempre tenga en cuenta que ninguna solución, control o contramedida técnica hace
que los sistemas de información sean más seguros que los comportamientos y los
procesos de las personas que los usan.
Completo 1.1.9 Amenazas a los dispositivos
1.1.9 Amenazas a los dispositivos

 Cualquier dispositivo que quede encendido y desatendido representa el riesgo
de que alguien obtenga acceso no autorizado a los recursos de la red.
 La descarga de archivos, fotos, música o vídeos de fuentes poco confiables
podría generar la ejecución de código malicioso en los dispositivos.
 Los ciberdelincuentes a menudo aprovechan las vulnerabilidades de seguridad
dentro del software instalado en los dispositivos de una organización para lanzar
un ataque.
 Los equipos de seguridad de la información de una organización deben intentar
mantenerse al día con el descubrimiento diario de nuevos virus, gusanos y otro
malware que representa una amenaza para sus dispositivos.
 Los usuarios que insertan unidades USB, CD o DVD no autorizados corren el

riesgo de introducir malware o comprometer los datos almacenados en sus
dispositivos.
 Las políticas existen para proteger la infraestructura de TI de la organización. Un
usuario puede enfrentar serias consecuencias por violar intencionalmente dichas
políticas.
 El uso de hardware o software desactualizado hace que los sistemas y los datos
de una organización sean más vulnerables a los ataques.
Incompleto 1.1.10 Amenazas a la red de área local
1.1.10 Amenazas a la red de área local

La red de área local (LAN) es un conjunto de dispositivos, generalmente en la misma

área geográfica, conectados por cables (cableados) o ondas (inalámbricas).
Debido a que los usuarios pueden acceder a los sistemas, aplicaciones y datos de
una organización desde el dominio LAN, es fundamental que tenga una seguridad
sólida y controles de acceso estrictos.
Seleccione la imagen para revelar algunas amenazas comunes a la LAN.

Entre los ejemplos de amenazas a la LAN se incluyen:
 Acceso no autorizado a los centros de datos, las salas de computadoras y los

armarios de cableado
 Acceso no autorizado a los sistemas, las aplicaciones y los datos
 Vulnerabilidades de software del sistema operativo de la red.
 Acceso no autorizado de usuarios dudosos a las redes inalámbricas.
 Ataques a los datos en tránsito
 Tener servidores LAN con hardware o sistemas operativos diferentes hace que
administrarlos y solucionarlos sea más difícil.
 Escaneo de puertos y sondeo de redes no autorizados
 Firewall mal configurado.
Completo 1.1.11 Amenazas a la nube privada
1.1.11 Amenazas a la nube privada
El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados

disponibles para los miembros de la organización a través de Internet. Si bien muchas
organizaciones consideran que sus datos están más seguros en una nube privada, este
dominio aún presenta amenazas de seguridad significativas, que incluyen:
 Escaneo de puertos y sondeo de redes no autorizados

 Acceso no autorizado a los recursos
 Vulnerabilidad del software del sistema operativo de los dispositivos de red,
firewall o router
 Error de configuración del router, firewall o dispositivo de red
 Usuarios remotos que acceden a la infraestructura de la organización y descargan
datos confidenciales.
Incompleto 1.1.12 Amenazas a la nube pública
1.1.12 Amenazas a la nube pública

Presentación de diapositivas. Seleccione el botón siguiente para progresar.
Cuando un dominio de nube privada aloja recursos de computación para una sola
organización, el dominio de nube pública es la totalidad de los servicios de
computación alojados por una nube, un servicio o un proveedor de Internet que están
disponibles para el público y se comparten entre las organizaciones.
Hay tres modelos de servicios de nube pública que las organizaciones pueden optar por
utilizar.
Seleccione las flechas para obtener más información sobre algunas de estas.
Software como servicio (SaaS)
Software como servicio (SaaS): un modelo por suscripción que brinda acceso al software
alojado de manera centralizada al que los usuarios acceden mediante un navegador
web. En otras palabras, se trata de software que no se almacena localmente sino en la
nube.
1.1.13 Avatar
Si bien los proveedores de servicios de nube pública implementan controles de
seguridad para proteger el entorno de la nube, las organizaciones son responsables de
proteger sus propios recursos en la nube. Por lo tanto, algunas de las amenazas más
comunes al dominio de nube pública incluyen:
 Violaciones de datos
 Pérdida o robo de propiedad intelectual
 Credenciales comprometidas o secuestro de cuenta.
 Ataques de ingeniería social
 Violación del cumplimiento.
Incompleto 1.1.14 ¿Qué piensa?
1.1.14 ¿Qué piensa?

Las amenazas físicas a menudo se pasan por alto al considerar la ciberseguridad, pero la
seguridad física es, de hecho, fundamental cuando queremos evitar que una
organización sea víctima de un delito cibernético.
Con esto en mente, tómese unos minutos para pensar en posibles amenazas físicas a las
oficinas de @Apollo.
Escriba algunos ejemplos en el cuadro a continuación, luego seleccione Enviar.

Luego seleccione Mostrar respuesta para revelar algunos ejemplos comunes de
amenazas al dominio de las instalaciones físicas de una organización y comparar
su respuesta.
200 Caracteres restantes.

Su texto ha sido guardado
Enviar
Completo 1.1.15 Amenazas a las Aplicaciones
1.1.15 Amenazas a las Aplicaciones

El dominio de aplicación incluye todos los sistemas críticos, las aplicaciones y los datos.
Las organizaciones están moviendo aplicaciones, como el correo electrónico, el
monitoreo de la seguridad y la administración de la base de datos a la nube pública.
Amenazas comunes a las aplicaciones
 Acceso no autorizado a los centros de datos, las salas de computadoras y los

armarios de cableado
 Tiempo de inactividad del servidor durante los períodos de mantenimiento.
 Vulnerabilidades de software del sistema operativo de la red.
 Pérdida de datos
 Vulnerabilidades de desarrollo de aplicaciones web o de cliente/servidor.
Incompleto 1.1.16 Comprobador de dominios
1.1.16 Comprobador de dominios

Coincidencia. Seleccione de las listas y luego envíelas.
Todo esto le hace pensar…
Usted sabe que los atacantes buscarán aprovechar cualquier vulnerabilidad que exista
en los dominios de @Apolo, pero primero debe identificar cuáles son esos dominios.
¿Puede completar las siguientes oraciones seleccionando el término correcto de cada

menú desplegable?
Cuando haya tomado todas las decisiones, seleccione Enviar.
Los empleados obtienen acceso a las oficinas de @Apollo con una tarjeta de
identificación de personal electrónica
Ellos usan una computadora de escritorio, computadora portátil, tableta o teléfono

inteligente para iniciar sesión en la red de @Apollo
@Apollo ofrece a los clientes acceso a un conjunto de módulos de aprendizaje
electrónico alojados centralmente por una tarifa de suscripción. Es un proveedor,
operando en un dominio de la nube.
Completo 1.1.17 Complejidad de las amenazas
1.1.17 Complejidad de las amenazas

Las vulnerabilidades de software actualmente tienen como base los errores de
programación, las vulnerabilidades de protocolo o las configuraciones erróneas del
sistema. Los ciberdelincuentes buscan aprovechar dichas vulnerabilidades y se están
volviendo cada vez más sofisticados en sus métodos de ataque.
Una amenaza persistente avanzada (APT) es un ataque continuo que utiliza tácticas
de espionaje elaboradas que involucran a múltiples actores y / o malware sofisticado
para obtener acceso a la red de un objetivo y analizarla.
Los atacantes operan bajo el radar y permanecen sin ser detectados durante un largo
período de tiempo, con consecuencias potencialmente devastadoras. Las APT
generalmente apuntan a gobiernos y organizaciones de alto nivel y generalmente están
bien organizadas y bien financiadas.
Como su nombre indica, los ataques de algoritmos aprovechan los algoritmos de un

software legítimo para generar comportamientos no deseados. Por ejemplo, los
algoritmos utilizados para rastrear e informar cuánta energía consume una
computadora se pueden utilizar para seleccionar objetivos o activar alertas falsas. Los
ataques algorítmicos también pueden desactivar una computadora forzándola a usar
memoria o a trabajar demasiado su unidad de procesamiento central.
1.1.18 Avatar
Muchas organizaciones confían en los datos de inteligencia de amenazas para
comprender su riesgo general, a fin de poder formular y aplicar medidas preventivas y
de respuesta eficaces.
Algunos de estos datos son de código cerrado y requieren una suscripción paga para
acceder. Otros datos se consideran inteligencia de código abierto (OSINT) y se puede
acceder desde fuentes de información disponibles al público. De hecho, compartir datos
de inteligencia de amenazas es cada vez más popular, con gobiernos, universidades,
organizaciones del sector de la salud y empresas privadas trabajando juntos para
mejorar la seguridad de todos.
Incompleto 1.1.19 Puertas traseras y rootkits
1.1.19 Puertas traseras y rootkits

Los ciberdelincuentes utilizan muchos tipos diferentes de software malicioso, o malware,

para llevar a cabo sus actividades.
Seleccione las imágenes para obtener más información sobre ellas.
Los delincuentes cibernéticos utilizan los programas de puerta trasera, como Netbus y
Back Orificio, para obtener acceso no autorizado a un sistema sin pasar por los
procedimientos de autenticación normales.
Los ciberdelincuentes generalmente tienen usuarios autorizados que, sin saberlo,

ejecutan un programa de herramienta administrativa (RAT) remoto en su máquina para
instalar una puerta trasera que otorga al control administrativo delictivo un equipo
objetivo. El propósito de la puerta trasera es otorgar a los delincuentes cibernéticos el
acceso futuro al sistema, incluso si la organización arregla la vulnerabilidad original
utilizada para atacar al sistema.
Este malware está diseñado para modificar el sistema operativo para crear una puerta
trasera, que los atacantes pueden usar para acceder a su computadora de forma
remota.
La mayoría de los rootkits aprovecha las vulnerabilidades de software para ganar acceso
a recurso que normalmente no debería ser accesibles (escalada de privilegios) y
modificar los archivos del sistema.
Los rootkits también pueden modificar las herramientas de monitoreo y análisis forense
del sistema, lo que los hace muy difíciles de detectar. En la mayoría de los casos, un
equipo infectado por un rootkit debe borrarse y reinstalarse cualquier software
necesario.
Incompleto 1.1.20 Inteligencia contra amenazas y fuentes de investigación
1.1.20 Inteligencia contra amenazas y

fuentes de investigación
El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-

CERT) y el Departamento de Seguridad Nacional de los Estados Unidos patrocinan un
diccionario de vulnerabilidades y exposiciones comunes (CVE).
Cada entrada de CVE contiene un número de identificador estándar, una breve

descripción de la vulnerabilidad de seguridad y referencias importantes a informes de
vulnerabilidad relacionados. The Mitre Corporation mantiene una lista de CVE y su sitio
web público.
La red oscura
Esto se refiere al contenido web encriptado que no está indexado por motores de
búsqueda convencionales y requiere software específico, autorización o configuraciones
para acceder. Investigadores expertos monitorean la web oscura en busca de nueva
inteligencia de amenazas.
Completo Siguiente...
Siguiente...
Una vez que un ciberdelincuente comprende las vulnerabilidades de un dispositivo,
sistema o red, hará todo lo posible para engañar a las posibles víctimas y obtener
acceso a información confidencial.
2.0 Protección de Redes
2.0.1 ¿Por qué debería tomar este
módulo?
¡Las redes están bajo ataque! En este módulo aprenderá sobre el estado actual del
panorama de seguridad de la red y también sobre los diferentes tipos de redes que
requieren protección.
Completo 2.0.2 ¿Qué aprenderé en este módulo?

 2 Vídeos
 1 Actividades de Verifique su Comprensión
Título del módulo: Pruebas de Seguridad de la Red
Objetivo del módulo: explicar los principios de seguridad de la red.
2.1 Estado actual de los casos
2.1 Estado actual de los casos

Desplace para empezar
Incompleto 2.1.1 Vídeo - Anatomía de un ataque
2.1.1 Vídeo - Anatomía de un ataque

Completo 2.1.2 Las redes son objetivos
2.1.2 Las redes son objetivos

Las redes sistemáticamente sufren ataques. Es común leer en las noticias que otra red
que se ha comprometido. Una búsqueda rápida en Internet de ataques a la red arrojará
muchos artículos sobre ataques a la red, incluidas noticias sobre organizaciones que
han sido comprometidas, las últimas amenazas a la seguridad de la red, herramientas
para mitigar ataques y mucho más.
Para ayudarlo a comprender la gravedad de la situación, Kapersky mantiene la

visualización interactiva de Cyberthreat Real-Time Map de los ataques a la red
actuales. Los datos del ataque se envían desde los productos de seguridad de red de
Kapersky que se implementan en todo el mundo. La figura muestra una captura de
pantalla de muestra de esta herramienta web, que muestra estos ataques en tiempo
real. Muchas herramientas similares están disponibles en Internet y se pueden
encontrar buscando mapas de amenazas cibernéticas.
Completo 2.1.3 Motivos de la seguridad de la red

2.1.3 Razones para la seguridad de la
red
La seguridad de la red se relaciona directamente con la continuidad del negocio de una
organización. Las transgresiones de seguridad en la red pueden interrumpir el comercio
electrónico, causar la pérdida de datos comerciales, amenazar la privacidad de las
personas y comprometer la integridad de la información. Estas transgresiones pueden
dar como resultado la pérdida de ingresos para las corporaciones, el robo de propiedad
intelectual, demandas judiciales e incluso pueden amenazar la seguridad pública.
Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los
intereses comerciales. Mantener una red segura requiere vigilancia por parte de los
profesionales de seguridad de la red de una organización. Deben estar constantemente
al tanto de las amenazas y los ataques a las redes nuevos y en evolución, y de las
vulnerabilidades de los dispositivos y las aplicaciones.
Muchas herramientas están disponibles para ayudar a los administradores de red a

adaptar, desarrollar e implementar técnicas de mitigación de amenazas. Por ejemplo, el
sitio web de Cisco Talos Intelligence Group, que se muestra en la figura, proporciona
seguridad integral e inteligencia de amenazas para defender a los clientes y proteger
sus activos.
Otro grupo, llamado Cisco Product Security Incident Response Team (PSIRT), es
responsable de investigar y mitigar las posibles vulnerabilidades en los productos
Cisco. La figura muestra una página de muestra de Cisco Security Advisories que
enumera estas vulnerabilidades en tiempo real y proporciona a los administradores de
red información para mitigarlas.
Completo 2.1.4 Vectores de Ataques de Red
2.1.4 Vectores de Ataques de Red

Un vector de ataque es una ruta por la cual un atacante puede obtener acceso a un
servidor, host o red. Los vectores de ataque se originan dentro o fuera de la red
corporativa, como se muestra en la figura. Por ejemplo, las amenazas pueden apuntar
a una red a través de Internet, para interrumpir las operaciones de la red y crear un
ataque de denegación de servicio (DoS).
Amenazas internas y externas
Una red con un servidor y varios hosts detrás de un firewall; un host en la red ha sido
comprometido; los registros muestran que podría haber sido una amenaza externa de Internet
a través del firewall o una amenaza interna de otro host en la red
Internet
Amenaza externa
Host Comprometido
Amenaza Interna
Nota: Un ataque DoS ocurre cuando un dispositivo o aplicación de red está

incapacitado y ya no es capaz de admitir solicitudes de usuarios legítimos.
Un usuario interno, como un empleado o un consultor, puede de manera accidental o

intencional:
 Robar y copiar datos confidenciales a dispositivos de almacenaje, correos electrónicos,

software de mensajería y otros medios.
 Comprometer servidores internos o dispositivos de infraestructura de red.
 Desconectar una conexión de red crítica y provoquar una interrupción de la red.
 Conecte una unidad USB infectada a un sistema informático corporativo.
Las amenazas internas tienen el potencial de causar mayores daños que las amenazas
externas porque los usuarios internos tienen acceso directo al edificio y a sus
dispositivos de infraestructura. Los empleados también tienen conocimiento de la red
corporativa, sus recursos y sus datos confidenciales, así como diferentes niveles de
usuario o privilegios administrativos.
Los profesionales de seguridad de red deben implementar herramientas y aplicar

técnicas para mitigar las amenazas externas e internas.
Incompleto 2.1.5 Pérdida de datos
2.1.5 Pérdida de datos

Lista de secciones expandibles. Seleccione ada botón para ampliar el contenido.
Es probable que los datos sean el activo más valioso de una organización. Los datos
de la organización pueden tener que ver con investigación y desarrollo, ventas,
finanzas, recursos humanos, asuntos legales, empleados, contratistas y clientes.
Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos
se pierden con o sin intención, son robados o se filtran fuera de la organización. La
pérdida de datos puede generar:
 Daño de la marca/pérdida de la reputación
 Pérdida de la ventaja competitiva
 Pérdida de clientes
 Pérdida de ingresos
 Acciones legales que generen multas y sanciones civiles
 Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la
transgresión
Los profesionales de seguridad de red deben proteger los datos de la organización. Se

deben implementar varios controles de prevención de pérdida de datos (DLP) que
combinen medidas estratégicas, operativas y tácticas.
Los vectores de pérdida de datos comunes se muestran en la tabla.
Seleccione los encabezados para obtener más información.

Correo electrónico / Redes sociales
Dispositivos no encriptados
Dispositivos de almacenamiento en la nube
Medios Extraíbles
Respaldo físico
Control de acceso incorrecto
Incompleto 2.1.6 Vídeo de PT: Investigar un panorama de amenazas
2.1.6 Vídeo de PT - investigar un

panorama de amenazas
Incompleto 2.1.7 Packet Tracer - investigar un panorama de amenazas
2.1.7 Vídeo de PT - investigar un

panorama de amenazas
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
 Parte 1: Investigar una vulnerabilidad de configuración de la red

 Parte 2: investigar una vulnerabilidad de malware de suplantación de identidad
 Parte 3: Investigar una red inalámbrica y la vulnerabilidad de DNS
3.0 Ataque a los fundamentos
módulo?
Los protocolos son el fundamento de las comunicaciones de datos. Por esta razón, han
sido un objetivo de los atacantes desde hace mucho tiempo. Los analistas de
ciberseguridad deben comprender cómo los atacantes utilizan las características de los
protocolos comunes en los ciberataques.
Este módulo proporciona una visión general de los campos de paquetes IP de capa 3 y
los campos de segmento TCP y UDP de capa 4, y analiza las vulnerabilidades de cada
uno.

 3 Videos
Título del módulo: Fundamentos de los ataques
Objetivo del módulo: Explicar como las vulnerabilidades TCP/IP permiten que se
ejecuten ataques a las redes.
3.1.1 IPv4 y IPv6
IP fue diseñado como un protocolo sin conexión de capa 3. Brinda las funciones
necesarias para enviar un paquete de un host de origen a uno de destino mediante un
sistema interconectado de redes. El protocolo no fue diseñado para rastrear ni
administrar el flujo de paquetes. Si es necesario, TCP realiza principalmente estas
funciones en la capa 4.
El protocolo IP no hace ningún esfuerzo para validar si la dirección IP de origen que

figura en un paquete realmente proviene de ese origen. Por eso, los agentes de
amenaza pueden enviar paquetes con una dirección IP de origen falsa. Además, los
agentes de amenaza pueden alterar los demás campos del encabezado de IP para
llevar a cabo sus ataques. Por lo tanto, es importante que los analistas de seguridad
entiendan los diferentes campos de los encabezados de IPv4 e IPv6.
Incompleto 3.1.2 El encabezado del Packet IPv4
3.1.2 El encabezado del Packet IPv4

Los campos acerca del encabezado IPv4 se muestran en la siguiente figura.
Encabezado de paquetes IPv4

La figura muestra cinco filas de palabras. Por encima de las filas hay cuatro secciones
uniformes etiquetadas byte 1 byte 2 byte 3 byte 4. En el lado de las filas hay una línea
con flechas en ambos extremos que va de arriba hacia abajo etiquetada 20 bytes. La
fila superior tiene 4 bloques principales. El primer bloque tiene la etiqueta version y su
tamaño es la mitad del byte 1. El siguiente bloque es la longitud del encabezado de
Internet que toma el resto del byte 1. El byte 2 es tomado por differentiated services (D
S) que se subdivide en D S C P y E C N. Los bytes 3 y 4 tienen un bloque etiquetado
total length. La segunda fila tiene tres secciones: identificación que se ejecuta a través
de bytes 1 y 2, Flag que utiliza hasta tres cuartas partes del byte 3 y desplazamiento de
fragmento que toma el resto. La fila 3 tiene 3 secciones principales etiquetadas como
time to live que ocupa el byte 1, el protocolo que ocupa el byte 2 y la suma de
comprobación de encabezado que toma los bytes 3 y 4. La fila 4 está etiquetada como
source i p y se conduce a través de los 4 bytes. La fila 5 está etiquetada como
destination i p address y se conduce a través de los 4 bytes.
Byte 1
Expanda el texto a continuación para obtener más información sobre los campos
en el encabezado del paquete IPv4.
Versión
Longitud del encabezado de Internet
Servicios diferenciados o DiffServ (DS)
Longitud total
Identificación, Banderas y Desplazamiento de fragmentos.
Tiempo de Existencia (TTL, siglas en inglés)
Protocolo
Checksum del encabezado
Dirección IPv4 de origen
Dirección IPv4 de destino
Opciones y Relleno
Incompleto 3.1.3 Video - Ejemplo de encabezados IPv4 en Wireshark
3.1.3 Video - Ejemplo de encabezados

IPv4 en Wireshark
Incompleto 3.1.4 El encabezado del Packet IPv6
3.1.4 El encabezado del Packet IPv6

Existen ocho campos en el encabezado IPv6, tal como se muestra en la figura.
Encabezado de paquetes IPv6

La figura muestra cuatro filas de palabras. Por encima de las filas hay cuatro secciones
uniformes etiquetadas byte 1 byte 2 byte 3 byte 4. En el lado de las filas hay una línea
con flechas en ambos extremos que va de arriba hacia abajo etiquetada 40 bytes. La
fila superior tiene 4 bloques principales. El primer bloque tiene la etiqueta version y su
tamaño es la mitad del byte 1. El siguiente bloque es la clase de tráfico que toma el
resto del byte 1 y la mitad del byte 2. El último bloque está etiquetado como flow label
que toma la mitad del byte 2 y todos los bytes 3 y 4. El byte 2 es tomado por
differentiated services (D S) que se subdivide en D S C P y E C N. Los bytes 3 y 4
tienen un bloque etiquetado total length. La segunda fila tiene tres secciones: payload
length que se ejecuta en los bytes 1 y 2, siguiente encabezado que utiliza el byte 3 y
hop limit que utiliza el byte 4. La tercera fila está etiquetada como source i p address y
se conduce a través de los 4 bytes. La cuarta fila se etiqueta destination i p address y
se ejecuta a través de los 4 bytes.
Versión
Expanda el texto a continuación para obtener más información sobre los campos
en el encabezado del paquete IPv6.
Versión
Clase de tráfico
Etiqueta de flujo
Longitud de la payload(carga útil)
Próximo encabezado
Límite de saltos
Dirección IPv6 de origen
Dirección IPv6 de destino
Un paquete IPv6 también contiene encabezados de extensión (EH) que proporcionan

información opcional de la capa de red. Los encabezados de extensión son opcionales
y están ubicados entre el encabezado de IPv6 y la payload (carga útil). Los
encabezados de extensión (EH) se utilizan para fragmentar, dar seguridad, soportar
movilidad, entre otras.
A diferencia de IPv4, los routers no fragmentan los paquetes IPv6 enrutados.

Incompleto 3.1.5 Video - Ejemplo de encabezados IPv6 en Wireshark
3.1.5 Video - Ejemplo de encabezados

IPv6 en Wireshark
Este es un componente de reproductor multimedia. Seleccione el botón de reproducción/pausa para ver o escuchar.
Haga clic en Reproducir en la figura para ver una demostración de una revisión
de encabezados IPv6 en una captura de Wireshark.
4.0 Atacando lo que hacemos
módulo?
Los fundamentos de la red deben estar protegidos, pero no es suficiente para proteger
completamente nuestra red. Los protocolos que se utilizan para llevar a cabo las
actividades diarias de la organización, también deben estar protegidos. Además, los
protocolos y el software que proporcionan servicios a través de la red también pueden
ser el objetivo de los atacantes. Un analista de ciberseguridad debe estar familiarizado
con las vulnerabilidades y amenazas a los fundamentos de la comunicación de red.
En este módulo, aprenderá cómo funcionan los protocolos comúnmente utilizados en la

empresa y cómo son vulnerables a ataques y explotaciones.
Incompleto 4.0.2 ¿Qué aprenderé en este módulo?

 1 video
 5 laboratorios
Título del módulo: Atacando lo que hacemos
Objetivo del módulo: Recomendar medidas para mitigar las amenazas.
4.1.1 Vulnerabilidades de ARP

Los hosts transmiten una solicitud ARP hacia otros hosts del segmento de red para
determinar la dirección MAC de un host con una dirección IP específica. Todos los
hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP
que coincide con la de la solicitud de ARP envía una respuesta de ARP.
Reproduzca la animación para ver el proceso ARP en funcionamiento.
Esta animación ilustra cómo un host utilizará ARP para descubrir la dirección MAC de
una dirección IP conocida. El host H1 debe enviar cierta información a un host con la
dirección IP 192 dot 168 dot 1 dot 7. Sin embargo, H1 no tiene la dirección MAC para
esa dirección. Por lo tanto, envía una solicitud A R P a la dirección IP 192.168.1.7.
Todos los hosts de la red recibirán la solicitud ARP. Sin embargo, solo el host H4 con la
dirección IP 192.168.1.7 enviará una respuesta ARP que contenga su dirección MAC.
Luego, H1 puede enviar un sobre al switch que va directamente a H4.
Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP
gratuito”. Esto suele hacerse cuando un dispositivo se inicia por primera vez para
informar a todos los demás dispositivos de la red local sobre la nueva dirección MAC
del dispositivo. Cuando un host envía un ARP gratuito, otros hosts en la subred
almacenan en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho
ARP.
Sin embargo, esta característica de ARP también significa que cualquier host puede
afirmar ser el dueño de cualquier IP/MAC que elija. Un atacante puede envenenar la
caché ARP de los dispositivos en la red local y crear un ataque MiTM para
redireccionar el tráfico. El objetivo es asociar la dirección MAC del atacante con la
dirección IP de la Puerta de enlace por defecto en las caché ARP de los hosts del
segmento LAN. Esto posiciona al atacante entre la víctima y todos los demás sistemas
fuera de la subred local.
Incompleto 4.1.2 Envenenamiento de caché de ARP
4.1.2 Envenenamiento de caché de

ARP
El envenenamiento de caché ARP se puede usar para lanzar varios ataques Man-in-
the-middle.
Haga clic en cada botón para ver una ilustración y una explicación del proceso de
envenenamiento de caché ARP.
Solicitud de ARP
Respuesta de ARP
Respuestas ARP gratuitas falsificadas
Nota: Hay muchas herramientas disponibles en Internet para crear ataques de MITM
de ARP, como dsniff, Cain & Abel, ettercap y Yersinia.
Incompleto 4.1.3. Ataques DNS
4.1.3. Ataques DNS

El protocolo de Sistema de Nombres de Dominio (DNS) define un servicio
automatizado que empareja los nombres de recursos, como www.cisco.com, con su
respectiva dirección de red numérica, ya sea dirección IPv4 o IPv6. Incluye el formato
para las consultas, respuestas y datos, y usa registros de recursos (RR) para identificar
el tipo de respuesta de DNS.
La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el
funcionamiento de una red y debe protegerse correctamente.
Los ataques DNS incluyen los siguientes:
 Ataques de resolución abierta de DNS

 Ataques sigilosos de DNS
 Ataques de domain shadowing de DNS
 Ataques de tunelización de DNS
Ataques de resolución abierta de DNS
Muchas organizaciones utilizan los servicios de los servidores DNS públicos abiertos,
como GoogleDNS (8.8.8.8), para responder las consultas. Este tipo de servidor DNS se
denomina resolución abierta. Una resolución de DNS abierta responde las consultas de
clientes fuera de su dominio administrativo. Las resoluciones abiertas de DNS son
vulnerables a múltiples actividades maliciosas, como las descritas en la tabla.
Haga clic en cada encabezado para ver las definiciones de los diferentes tipos de
agentes de amenazas.
Ataque de envenenamiento de caché DNS

Ataque de amplificación y reflexión de DNS
Ataques de utilización de recursos DNS
Ataques sigilosos de DNS
Para ocultar su identidad, los atacantes también utilizan las siguientes técnicas de DNS
sigilosas para llevar a cabo sus ataques.
Haga clic en cada encabezado para ver las definiciones de los diferentes tipos de
vulnerabilidades de resolución de DNS.
Flujo Rápido
Double IP Flux
Algoritmos de generación de dominio
Ataques DNS Domain shadowing
El uso de Domain shadowing implica que el atacante recolecte credenciales de cuenta

de dominio para crear múltiples subdominios para utilizarlos durante los ataques. Estos
subdominios generalmente apuntan a servidores maliciosos sin alertar al propietario
real del dominio principal.
Completo 4.1.4 Túnel de DNS
4.1.4 Túnel de DNS

Las botnets se han convertido en un método popular de ataque de los agentes de
amenaza. La mayoría de las veces, las botnets se utilizan para propagar malware o
iniciar ataques de DDoS y phishing.
A veces, el DNS en la empresa no se tiene en cuenta como un protocolo que las

botnets pueden utilizar. Debido a esto, cuando se determina que el tráfico DNS es parte
de un incidente, el ataque ya finalizó. Es necesario que el analista de ciberseguridad
sea capaz de detectar cuándo un intruso utiliza la tunelización DNS para robar los
datos, y así evitar y contener el ataque. Para lograr esto, el analista de seguridad debe
implementar una solución que puede bloquear las comunicaciones salientes de los
hosts infectados.
Los agentes de amenaza que utilizan la tunelización de DNS colocan tráfico que no es
DNS en tráfico DNS. Con frecuencia, este método evita las soluciones de seguridad.
Para que el agente de amenaza use la tunelización de DNS, se modifican los diferentes
tipos de registros de DNS, como TXT, MX, SRV, NULL, A o CNAME. Por ejemplo, un
registro TXT puede almacenar los comandos que son enviados hacia los bots de los
host infectados como respuestas DNS. Un ataque de tunelización de DNS mediante
TXT funciona así:
1. Los datos se dividen en varias partes codificadas.

2. Cada parte se coloca en una etiqueta de nombre de dominio de nivel inferior de
la consulta de DNS.
3. Dado que no hay ninguna respuesta del DNS local o en red para la consulta, la
solicitud se envía a los servidores DNS recursivos del ISP.
4. El servicio de DNS recursivo reenvía la consulta al servidor de nombres
autorizado del atacante.
5. El proceso se repite hasta que se envían todas las consultas que contienen las
partes.
6. Cuando el servidor de nombre autorizado del atacante recibe las consultas de
DNS de los dispositivos infectados, envía las respuestas para cada consulta de
DNS, las cuales contienen los comandos encapsulados y codificados.
7. El malware en el host atacado vuelve a combinar las partes y ejecuta los
comandos ocultos dentro.
Para poder detener la tunelización de DNS, debe utilizarse un filtro que inspecciona el
tráfico de DNS. Preste especial atención a las consultas de DNS que son más largas
de lo normal, o las que tienen un nombre de dominio sospechoso. Además, las
soluciones de seguridad DNS, como Cisco Umbrella (Antes conocido como Cisco
OpenDNS), bloquean gran parte del tráfico de la tunelización de DNS identificando
dominios sospechosos. Los dominios asociados con servicios de DNS Dinámico deben
considerarse altamente sospechosos.
La figura muestra una p c del atacante a la derecha, con una flecha apuntando a un
servidor C & C a la izquierda de la p c. El servidor C & C tiene 4 servidores a la
izquierda. Debajo de todos los servidores se encuentra la palabra bots. Al lado de cada
servidor está la palabra bot. Hay una flecha con un tubo encima que va desde el
servidor C & C a los servidores de la parte superior e inferior. También hay una línea
normal con una flecha al final que va desde el servidor C & C apuntando a los dos
servidores del medio. Arriba dice 1. comprometer computadoras. 2. Enviar C & C a los
bots.
Completo 4.1.5 DHCP
4.1.5 DHCP
Los servidores DHCP proporcionan de manera dinámica, información de configuración
de IP a los clientes. La figura muestra la secuencia típica de un intercambio de
mensajes DHCP entre el cliente y el servidor.
Funcionamiento normal de DHCP
El gráfico muestra el intercambio de mensajes entre un cliente y un servidor DHCP

durante las operaciones normales de DHCP. Primero, el cliente envía un mensaje
broadcast DHCPDISCOVER al servidor con el mensaje: Me gustaría solicitar una
dirección. El servidor responde con un mensaje de unicast DHCPOFFER que dice: Soy
DHCPsvr1. Aquí hay una dirección que puedo ofrecer. La información que contiene
este mensaje es: dirección IP 192.168.10.15, máscara de subred 255.255.255.0,
Puerta de enlace por defecto 192.168.10.1 y tiempo de arrendamiento de 3 días. El
cliente responde con un mensaje de broadcast DHCPREQUEST que dice: Acepto la
oferta de dirección IP. El servidor responde con un mensaje de unicast DHCPACK que
dice: Su aceptación está confirmada.
IP address: 192.168.10.15Subnet mask: 255.255.255.0Default Gateway: 192.168.10.1Lease

time: 3 days
En la figura, un cliente transmite un mensaje de DHCP discover. El servidor DHCP

responde con una oferta de unicast que incluye información de direccionamiento que el
cliente puede usar. El cliente transmite una solicitud DHCP para decirle al servidor que
acepta la oferta. El servidor le responde mediante unicast con un acuse de recibo,
aceptando la solicitud.
Incompleto 4.1.6 Ataques DHCP
4.1.6 Ataques DHCP

Ataque de suplantación DHCP
Un ataque de suplantación de DHCP se produce cuando un servidor DHCP dudoso se

conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos.
Un servidor dudoso puede proporcionar una variedad de información engañosa:
 Gateway predeterminado incorrecto - el agente de amenaza proporciona un

gateway no válido o la dirección IP de su host para crear un ataque de MITM.
Esto puede pasar totalmente inadvertido, ya que el intruso intercepta el flujo de
datos por la red.
 Servidor DNS incorrecto - El atacante proporciona una dirección del servidor
DNS incorrecta que dirige al usuario a un sitio web malicioso.
 Dirección IP incorrecta -El atacante proporciona una dirección IP no válida,
una dirección IP de puerta de enlace por defecto no válida o ambas. Luego, el
atacante crea un ataque DoS en el cliente DHCP.
Supongamos que un agente de amenaza conecta con éxito un servidor DHCP dudoso
a un puerto de switch en la misma subred que los clientes de destino. El objetivo del
servidor dudoso es proporcionarles a los clientes información de configuración de IP
falsa.
Haga clic en cada botón para ver una ilustración y una explicación de los pasos
en un ataque de suplantación DHCP.
1. El cliente transmite mensajes DHCP Discovery

2. Los servidores DHCP responden con ofertas
3. El cliente acepta la solicitud del DHCP malicioso
4. El servidor DHCP malicioso hace acuse de recibo de la solicitud
Incompleto 4.1.7 Lab - Explorar tráfico DNS
4.1.7 Lab - Explorar tráfico DNS

En esta práctica de laboratorio se cumplirán los siguientes objetivos:
 Capturar tráfico DNS

 Explorar tráfico de consultas DNS
 Explorar tráfico de respuestas DNS
5.0 Comunicación de red
inalámbrica
módulo?
Existen tantas maneras de conectarse de forma inalámbrica. Como todo lo demás que
tiene que ver con las redes, este tipo de conexiones funcionan mejorar en situaciones
particulares Requieren de dispositivos específicos y también son propensos a ciertos
tipos de ataques. Y por supuesto, existen soluciones para mitigar este tipo de ataques.
El modulo de Conceptos de WLAN le brinda a usted el conocimiento fundamental que
usted necesita para entender que son las LAN Inalámbricas, lo que pueden hacer y
como protegerlas.

 3 Videos
 2 actividades de Packet Tracer
Título del módulo: Dispositivos de comunicación de redes
Objetivo del módulo: Resolver problemas de redes empresariales.
5.1.1 Video – Operación de WLAN

Vea el vídeo para obtener más información sobre el funcionamiento de LAN
inalámbrica (WLAN).
Completo 5.1.2 LAN inalámbricas frente a redes cableadas
5.1.2 LAN inalámbricas frente a redes

cableadas
Las WLAN usan radiofrecuencias (RF) en lugar de cables en la capa física y la subcapa
MAC de la capa de enlace de datos. Las WLAN comparten un origen similar con las
LAN Ethernet. El IEEE adoptó la cartera 802 LAN/MAN de estándares de arquitectura
de redes informáticas. Los dos grupos de trabajo 802 dominantes son Ethernet 802.3
(que define Ethernet para redes LAN cableadas) y 802.11 (que define Ethernet para
redes WLAN). Hay diferencias importantes entre los dos.
Las WLAN también difieren de las LAN conectadas por cable de la siguiente manera:
 Las WLAN conectan clientes a la red mediante puntos de acceso (AP)

inalámbrico o un router inalámbrico, en lugar de hacerlo mediante un switch
Ethernet.
 Las WLAN conectan los dispositivos móviles que, en general, están alimentados
por batería, en lugar de los dispositivos enchufados de la LAN. Las NIC
inalámbricas tienden a reducir la duración de la batería de los dispositivos
móviles.
 Las WLAN admiten hosts que se disputan el acceso a los medios de RF (bandas
de frecuencia). Para evitar proactivamente las colisiones dentro de los medios, el
estándar 802.11 recomienda la prevención de colisiones (CSMA/CA) en lugar de
la detección de colisiones (CSMA/CD) para el acceso a los medios.
 Las WLAN utilizan un formato de trama diferente al de las LAN Ethernet
conectadas por cable. Las WLAN requieren información adicional en el
encabezado de la Capa 2 de la trama.
 Las WLAN tienen mayores inconvenientes de privacidad debido a que las
frecuencias de radio pueden salir fuera de las instalaciones.
La tabla resume las diferencias entre LAN inalámbricas y cableadas.
Característica LAN inalámbrica 802.11

Capa física Frecuencia de radio (RF)
Acceso de medios Prevención de colisiones
Disponibilidad cualquiera con una NIC inalámbrica en el rango de un punto de acceso
Interferencia en la señal Sí
Regulación
Completo 5.1.3 Estructura de trama 802.11
diferentes regulaciones por país
5.1.3 Estructura de trama 802.11
Recuerde que todas los frames de capa 2 consisten en un encabezado, carga útil y
sección de secuencia de verificación de trama (FCS). El formato del Frame 802.11 es
similar al formato de Frame de Ethernet, excepto que contiene más campos, como se
muestra en la figura.
El diagrama muestra los campos de un frame 802.11. A la izquierda está el

encabezado que consta de los siguientes campos: control de frame, duración, dirección
1, dirección 2, dirección 3, control de secuencia y dirección 4. El siguiente es la carga
útil y el último es el campo FCS.
Todas las tramas 802.11 inalámbricas contienen los siguientes campos;
 Control de trama ─ Identifica el tipo de trama inalámbrica y contiene

subcampos para la versión del protocolo, el tipo de trama, el tipo de dirección, la
administración de energía y la configuración de seguridad.
 Duración - En general, se usa para indicar el tiempo restante necesario para
recibir la siguiente transmisión de tramas.
 Dirección 1 - Normalmente, contiene la dirección MAC del dispositivo o AP
receptor inalámbrico.
 Dirección 2 - Normalmente, contiene la dirección MAC del dispositivo o AP
receptor inalámbrico.
 Dirección 3 - En ocasiones, contiene la dirección MAC del destino, como la
interfaz del router (puerta de enlace predeterminada) a la que se conecta el AP.
 Control de Secuencia - Contiene información para controlar la secuencia y las
tramas fragmentadas
 Dirección 4 - Suele estar vacío, ya que se usa solo en el modo ad hoc.
 Payload ─ Contiene los datos para la transmisión.
 FCS ─ Esto se utiliza para el control de errores de la capa 2.
Completo 5.1.4 CSMA / CA
5.1.4 CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex
significa que solo un cliente puede transmitir o recibir en dado momento. Medios
compartidos significa que todos los clientes pueden transmitir y recibir en el mismo
canal de radio. Esto crea un problema porque un cliente inalambrico no puede
escuchar mientras está enviando, lo que hace que sea imposible detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de
operador con evitación de colisiones (CSMA / CA) para determinar cómo y cuándo
enviar datos. Un cliente inalámbrico hace lo siguiente:
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico
actualmente en el canal. El canal es tambien llamado el portador.
2. Envía un mensaje listo para enviar (Ready to Send)(RTS) al AP para solicitar
acceso dedicado a la red.
3. Recibe un mensaje de permiso para enviar (clear to send) (CTS) desde el AP
garantizando el acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de
tiempo aleatoria antes de reiniciar el proceso.
5. Después de recibir el CTS, transmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el
reconocimiento, asume que ocurrió una colisión y reinicia el proceso.
Completo 5.1.5 Cliente Inalámbrico y Asociación al AP
5.1.5 Cliente Inalámbrico y Asociación

al AP
Para que los dispositivos inalámbricos se comuniquen a través de una red, primero se
deben asociar a un AP o un router inalámbrico. Una parte importante del proceso
802.11 es descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos
completan el siguiente proceso de tres etapas, como se muestra en la figura:
 Descubre un AP inalámbrico
 Se autentica con el AP.
 Se asocia con el AP.
La figura muestra que para asociarse con un AP, un cliente inalámbrico atraviesa un
proceso de tres etapas. Una computadora portátil representa un cliente inalámbrico que
se esta comunicando de forma inalámbrica con un AP. Una flecha que fluye del cliente
al AP representa la etapa uno en la que el cliente descubre el AP. Abajo de eso una
doble flecha entre los dispositivos representa la etapa de autenticación. Abajo de eso
una doble flecha entre los dispositivos representa la etapa de asociación.
Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar

parámetros específicos: Para permitir la negociación de estos procesos, se deben
configurar los parámetros en el AP y posteriormente en el cliente.
 SSID - El nombre del SSID aparece en la lista de redes inalámbricas disponibles

en un cliente. En organizaciones más grandes que usan múltiples VLAN para
segmentar el tráfico, cada SSID se asigna a una VLAN Según la configuración
de la red, varios AP en una red pueden compartir un SSID.
 Contraseña - El cliente inalámbrico la necesita para autenticarse con el AP.
 Modo de red - Se refiere a los estándares WLAN 802.11 a/b/g/n/ac/ad. Los AP y
routers inalámbricos pueden funcionar en modo combinado, lo que significa que
pueden utilizar varios estándares al mismo tiempo.
 Modo de seguridad - Se refiere a la configuración de los parámetros de
seguridad, como WEP, WPA o WPA2. Habilite siempre el nivel más alto de
seguridad que se admita.
 Configuración de canales - Se refiere a las bandas de frecuencia que se usan
para transmitir datos inalámbricos. Los routers inalámbricos y los AP pueden
escanear los canales de radiofrecuencia y seleccionar automáticamente una
configuración de canal adecuada. Los routers y los AP inalámbricos pueden
elegir la configuración de canales, o esta se puede definir manualmente si existe
interferencia con otro AP o dispositivo inalámbrico.
Incompleto 5.1.6 Modo de descubrimiento Pasivo y Activo
5.1.6 Modo de descubrimiento Pasivo y

Activo
Contenedor de contenido con pestañas. El contenido puede ser texto, gráfico o ambos.
Los dispositivos inalámbricos deben detectar un AP o un router inalámbrico y se deben

conectar a este. Los clientes inalámbricos se conectan al AP mediante un proceso de
análisis (sondeo). Este proceso puede ser pasivo o activo.
Haga clic en cada uno para obtener más información.
En modo pasivo el AP anuncia abiertamente su servicio enviando periódicamente

tramas de señal de difusión que contienen el SSID, los estándares admitidos y la
configuración de seguridad. El propósito principal de la señal es permitir que los
clientes inalámbricos descubran qué redes y qué AP existen en un área determinada,
de modo que puedan elegir qué red y qué AP usar. Esto permite a los clientes
inalámbricos elegir qué red y AP utilizar.
Un AP que envía tres frames beacon que contienen SSID, estándares compatibles y
configuraciones de seguridad que recibe un cliente inalámbrico
Cliente inalámbrico
AP
baliza
baliza
baliza
 SSID
 Estándares admitidos
 Configuración de seguridad
 SSID
 SSID
un cliente inalámbrico está enviando una solicitud de prueba que contiene el SSID y los
estándares compatibles a un AP que envía una respuesta de prueba que contiene el
SSID, los protocolos compatibles y la configuración de seguridad
Cliente inalámbrico
AP
Solicitud de sondeo
 SSID
Respuesta de la sonda
 SSID
Incompleto 5.1.7 Verifique su conocimiento — Pasos en el proceso de cliente y AP
5.1.7 Verifique su conocimiento —

Pasos en el proceso de cliente y AP
Incompleto 5.1.7 Proceso de cliente y AP Paso 1
Pregunta 1
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
¿Cuáles son los dos eventos que pueden ocurrir en el paso 1 (descubrimiento) del
proceso de asociación de cliente y AP? (Elija dos opciones).
Escuchar las beacon framesl para detectarlos SSID de la WLAN (modo pasivo)
Enviar la dirección MAC del cliente al AP
Enviar una solicitud de sonda para el APcon o sin un SSID conocido(modo activo)
Acepte compartir la autenticación abierta con el AP
Pregunta 2
¿Cuáles son los dos eventos que pueden ocurrir en el paso 2 (Autenticación) del
proceso de asociación de cliente y AP? (Elija dos opciones).
Iniciar el proceso de autenticación mediante clave compartida
Aceptar compartir la autenticación abierta con el AP
Recibir la dirección MAC del AP(BSSID)
Pregunta 3
¿Cuáles son los tres eventos que pueden ocurrir en el paso 3 (Asociación) del proceso
de asociación de cliente y AP? (Escoja tres opciones).
iniciar solicitud de clave compartida
Recibir la dirección MAC del AP(BSSID)
Aceptar compartir la autenticación abierta con el AP
Recibir el identificador de asociación del AP (AID)
Completo 5.1.8 Dispositivos inalámbricos - AP, LWAP y WLC
5.1.8 Dispositivos inalámbricos - AP,

LWAP y WLC
Una implementación común de tecnología inalámbrica de datos permite a los
dispositivos conectarse en forma inalámbrica a través de una LAN. En general, una
LAN inalámbrica requiere puntos de acceso inalámbrico y clientes que tengan NIC
inalámbricas. Los routers inalámbricos domésticos y de pequeñas empresas integran
las funciones de un router, un switch y un punto de acceso en un solo dispositivo, como
el que se ve en la figura. Tenga en cuenta que, en redes pequeñas, es posible que el
router inalámbrico sea el único AP debido a que solamente se brinda cobertura
inalámbrica a un área pequeña. En redes de más tamaño, puede haber muchos AP.
Todas las funciones de control y gestión de los AP en una red pueden centralizarse en
una controladora de LAN inalámbrica (WLC, Wireless LAN Controller). Cuando se
utiliza una WLC, los AP ya no actúan de manera autónoma, sino que actúan como AP
ligeros (LWAP, Lightweight AP). Los LWAP solamente reenvían datos entre la LAN
inalámbrica y la WLC. Todas las funciones de administración, como definir SSID y
autenticar, se llevan a cabo en la WLC centralizada, en lugar de en cada AP individual.
Una de las tantas ventajas de centralizar las funciones de administración de AP en la
WLC es simplificar la configuración y el monitoreo de numerosos puntos de acceso.
Incompleto 5.1.9 Verifique su conocimiento - Identificar el dispositivo LAN
5.1.9 Verifique su conocimiento -

Identificar el dispositivo LAN
Incompleto 5.1.9 Conexión del dispositivo
Pregunta 1
¿Cuál dispositivo debe conectarse a otro dispositivo para obtener acceso a la red?
Terminales
switch
punto de acceso inalámbrico
router
Incompleto 5.1.9 Clientes inalámbricos
Pregunta 2
¿Cuál dispositivo se conecta los clientes inalámbricos a la red?

switch
dispositivo final
router
Punto de acceso inalámbrico (WAP)
Incompleto 5.1.9 Dirección MAC
Pregunta 3
¿Cuál dispositivo usa la dirección MAC para determinar el puerto de salida?

Controlador de LAN inalámbrico
switch
router
dispositivo final
6.0 Infraestructura de
seguridad en redes
módulo?
Con las numerosas amenazas a la seguridad de la red, ¿cómo se pueden diseñar las
redes para proteger los recursos de datos y garantizar que los servicios de red se
presten según sea necesario? La infraestructura de seguridad de red define la manera
en que los dispositivos se conectan entre sí para lograr comunicaciones seguras
integrales. Así como hay muchos tamaños de redes, también hay muchas maneras de
diseñar una infraestructura de red segura. Sin embargo, hay algunos diseños
estándares que el sector de redes recomienda para lograr el diseño de redes
disponibles y seguras. Este capítulo abarca el funcionamiento básico de las
infraestructuras de red, los diversos dispositivos de seguridad de red y los servicios de
seguridad que se utilizan para supervisar y mantener la transmisión segura y eficiente
de datos.

 2 Vídeos
Título del módulo: Infraestructura de seguridad de redes
Objetivo del módulo: Explicar cómo se emplean los dispositivos y servicios para
reforzar la seguridad de las redes.
6.1.1 Vídeo - Dispositivos de seguridad
Reproduzca el vídeo para obtener más información sobre los servicios de

seguridad.
Play Video
Incompleto 6.1.2 Firewalls
6.1.2 Firewalls
Un firewall es un sistema o grupo de sistemas que impone una política de control de
acceso entre redes.
Reproduzca en la figura para ver una animación de cómo funciona un firewall.
La animación muestra un firewall entre un globo terráqueo que representa Internet y un

servidor que representa una red interna. El mundo intenta enviar tráfico a la red interna.
Se muestran las reglas que permiten y niegan el tráfico. El tráfico permitido es el tráfico
de cualquier dirección externa al servidor web, el tráfico al servidor FTP, el tráfico al
servidor SMTP y el tráfico al servidor IMAP interno. El tráfico denegado es todo el
tráfico entrante con direcciones de IP internas registradas registradas de
direccionamiento de red, todo el tráfico entrante al servidor desde direcciones externas,
todo el tráfico entrante de solicitud de eco ICMP, todas las consultas entrantes de MS
Active Directory, todo el tráfico entrante a las consultas del servidor MSSQL y todas las
transmisiones locales del dominio M.
Propiedades comunes de firewall
Todos los firewalls comparten algunas propiedades comunes:
 Los firewalls resisten ataques de red.

 Los firewalls son el único punto de tránsito entre las redes corporativas internas
y las redes externas porque todo el tráfico circula por ellos.
 Los firewalls aplican la política de control de acceso.
Propiedades comunes de firewall

Ventajas del firewall
Limitaciones del firewall
Incompleto 6.1.3 Arquitecturas de seguridad comunes
6.1.3 Arquitecturas de seguridad

comunes
Principalmente, el diseño de firewall tiene por objetivo permitir o denegar el tráfico

según el origen, el destino y el tipo de tráfico. Algunos diseños son tan simples y solo
consisten en diseñar una red externa y una interna, que son determinadas por
dos interfaces en un firewall.
Aquí hay tres diseños comunes de firewall.
Privado y público.
Como se ve en la Figura, la red pública (o externa) no es de confianza y la red privada

(o interna) es de confianza.
Normalmente, un firewall con dos interfaces se configura del siguiente modo:
 El tráfico procedente de la red privada se autoriza e inspecciona mientras viaja

hacia la red pública. También se autoriza el tráfico inspeccionado que regresa de
la red pública y está relacionado con el tráfico que se originó en la red privada.
 Generalmente, se bloquea el tráfico procedente de la red pública que viaja hacia
la red privada.
La figura privada y pública muestra una nube dentro de un círculo etiquetado público
(no confiable). La nube se conecta a un firewall a través de s 0/0/0. El puerto de firewall
g 0/0 se conecta a un vlan 1 privado marcado en círculo (de confianza) que tiene un
servidor y dos PC en él. Hay una flecha que va del círculo privado al círculo público con
HTTP, SMTP, y DNS en él. Hay otra flecha que va del círculo público al círculo privado
con las palabras sin acceso.
G0/0S0/0/0
La figura de zona desmilitarizada muestra una nube de Internet dentro de un círculo

etiquetado público (no confiable). La nube se conecta a un firewall. El firewall se
conecta a un círculo etiquetado DMZ que tiene dos servidores en él, así como un
círculo etiquetado privado (interior) que tiene un servidor y dos PC en él. Hay una
flecha que va entre el círculo privado y el círculo público, así como una flecha hacia el
círculo DMZ Hay flechas que van entre el círculo DMZ y el círculo público en ambas
direcciones. Hay una flecha que va entre la DMZ en un círculo con una línea a través
de ella que indica que no hay acceso al círculo privado. Existe el mismo tipo de flecha
que niega el acceso entre el círculo público y el círculo privado.
La figura de firewalls de directivas basadas en zonas muestra una nube de Internet
dentro de un círculo etiquetado público. La nube se conecta a un firewall. El firewall se
conecta a un círculo etiquetado DMZ que tiene dos servidores en él, un círculo
etiquetado LAN privado 1 que tiene un servidor y dos pc en él, así como un círculo con
un servidor y dos pc en él etiquetado LAN privado 2. Hay un cuadro de texto con una
flecha que va a la LAN privada 1 y una flecha separada que va a la LAN privada 2 con
las palabras miembros de la misma zona.
Privado y público.
Zona perimetral
Firewall de políticas basados en zonas
Incompleto 6.1.4 Descripciones de tipos de firewall
6.1.4 Descripciones de tipos de firewall
Es importante entender los diferentes tipos de firewalls y sus capacidades específicas,

de modo que se utilice el firewall adecuado para cada situación.
Firewall para filtrado de paquetes (sin estado)
Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que
autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4. Son firewalls
sin estado que utilizan una simple búsqueda en la tabla de políticas que filtra el tráfico
según criterios específicos.
Por ejemplo, los servidores SMTP escuchan el puerto 25 de manera predeterminada.

Un administrador puede configurar el firewall de filtrado de paquetes para bloquear el
puerto 25 desde una estación de trabajo específica a fin de evitar que difunda un virus
por correo electrónico.
La figura del firewall de filtrado de paquetes (sin estado) muestra las 7 capas del
modelo OSI con las capas 3 y 4 resaltadas. De estas dos filas son las siguientes:
dirección IP de origen, dirección IP de destino, número de puerto del protocolo de
origen, número de puerto de destino, sincronización e inicio de recepción de paquetes.
La figura del firewall con estado muestra las 7 capas del modelo OSI con las capas 3, 4
y 5 enfatizadas.
La figura de firewall de puerta de enlace de aplicación muestra las 7 capas del modelo
OSI con la capa 7 enfatizada y una barra que conecta las capas 7 y 6 con las palabras
firewall de puerta de enlace de aplicación al lado, así como las capas 3, 4 y 5
enfatizadas con las palabras firewall de puerta de enlace de aplicación
Firewall para filtrado de paquetes (sin estado)

Firewall activo
Firewall del gateway de aplicaciones
Firewall de próxima generación
Otros métodos de implementación de firewall incluyen los siguientes:
 Firewall basado en host (servidor y personal) - Una PC o servidor con

software de firewall ejecutándose en él.
 Firewall transparente - Filtra el tráfico IP entre un par de interfaces puenteadas.
 Firewall híbrido - Una combinación de los distintos tipos de firewall. Por
ejemplo, un firewall de inspección de aplicación combina un firewall con estado y
un firewall de gateway de aplicación.
Incompleto 6.1.5 Verifique su conocimiento - Identifique los tipos de firewall
6.1.5 Verifique su conocimiento -
Identifique los tipos de firewall
Incompleto 6.1.5 Tipo de firewall: OSI
Pregunta 1
¿Qué tipo de firewall filtra la información de capa 3, 4, 5, y 7 del modelo de referencia

OSI?
Gateway de aplicación
Filtrado de paquetes
Con estado
Híbrida
Basado en el host
Incompleto 6.1.5 Combinación de firewall
Pregunta 2
¿Qué tipo de firewall es una combinación de varios tipos de firewall?

Proxy
Siguiente generación
Transparente
Basado en el host
Híbrida
Con estado
Incompleto 6.1.5 Firewall de router
Pregunta 3
¿Qué tipo de firewall es parte de un firewall de router, permitiendo o denegando

información de tráfico basado en capa 3 y capa 4
Con estado
Híbrida
Basado en el host
Proxy
Transparente
Incompleto 6.1.5 Software de firewall
Pregunta 4
¿Qué tipo de firewall es una PC o servidor con software de firewall ejecutándose?

Transparente
Proxy
Basado en el host
Con estado
Híbrida
Incompleto 6.1.5 Interfaces puenteadas por firewall
Pregunta 5
¿Qué tipo de firewall filtra el tráfico IP entre un par de interfaces de puente?

Proxy
Transparente
Híbrida
Con estado
Basado en el host
Completo 6.1.6 Dispositivos de detección y prevención de intrusiones
6.1.6 Dispositivos de detección y

prevención de intrusiones
Es necesario un cambio de paradigma en las arquitecturas de red para defenderse de
los ataques cada vez más rápidos y complejos. Este debe incluir sistemas de detección
y prevención rentables, como sistemas de detección de intrusiones (IDS, Intrusion
Detection System) o sistemas de prevención de intrusiones (IPS, Intrusion Prevention
System), que son más escalables. La arquitectura de red integra estas soluciones en
los puntos de entrada y salida de la red.
Al implementar IDS o IPS, es importante conocer los tipos de sistemas disponibles, los
enfoques basados en host y basados en la red, la implementación de estos sistemas, el
papel que desempeñan las categorías de firma y las posibles acciones que puede
adoptar un router de Cisco IOS cuando se detecta un ataque.
La figura muestra cómo un dispositivo IPS maneja el tráfico malicioso.
Características de IDS e IPS
La figura muestra un usuario en la esquina superior derecha conectado y enviando

tráfico a una nube. La nube se conecta a un enrutador y envía el tráfico a través de ese
router. La nube se conecta a un sensor habilitado para IPS que se conecta a otro router
que también tiene conexiones a una consola de administración y a un destino
etiquetado portátil. También hay un icono para un cubo de bits al lado del sensor
habilitado IPS. Las características de ID e IPS incluyen que ambas tecnologías se
implementan como sensores, ambas tecnologías usan firmas para detectar patrones de
mal uso en el tráfico de red, y ambas pueden detectar patrones atómicos (paquete
único) o patrones compuestos (paquete múltiple).
4123
1. El tráfico malicioso se envía al host de destino que está dentro de la red.
2. El tráfico se enruta a la red y es recibido mediante un sensor IPS habilitado
donde está bloqueado.
3. El sensor IPS habilitado envía información de registro con respecto al tráfico a la
consola de administración de la seguridad de la red.
4. El sensor habilitado para IPS elimina el tráfico (se envía al "depósito de bits").
Ambas tecnologías se implementan como sensores. Un sensor IDS o IPS puede

adoptar la forma de varios dispositivos diferentes:
 Un router configurado con el software IPS de Cisco IOS.

 Un dispositivo diseñado específicamente para proporcionar servicios de IDS o
IPS exclusivos.
 Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA,
Adaptive Security Appliance), switch o router.
Las tecnologías IDS e IPS utilizan firmas para detectar patrones de tráfico de red. Una
firma es un conjunto de reglas que un IDS o IPS utiliza para detectar actividad
maliciosa. Las firmas pueden utilizarse para detectar infracciones graves de seguridad
y ataques de red comunes, y para recopilar información. Las tecnologías IDS e IPS
pueden detectar patrones de firma atómica (paquete individual) o patrones de firma
compuesta (varios paquetes).
Incompleto 6.1.7 Ventajas y desventajas de IDS e IPS
6.1.7 Ventajas y desventajas de IDS e

IPS
Ventajas y desventajas de un IDS
La tabla de lista de ventajas y desventajas de IDS e IPS.

Haga clic en cada botón para obtener más información sobre los sensores IDS e
IPS.
Ventajas y desventajas de IDS
Ventajas de IDS
Un IDS se implementa en modo sin conexión y por lo tanto:
 El IDS no afecta el rendimiento de la red. Específicamente, no introduce latencia,

fluctuación ni otros problemas de flujo de tráfico.
 El IDS no afecta la funcionalidad de la red si falla el sensor. solamente afecta a
la capacidad de IDS para analizar los datos.
Desventajas de IDS
Las desventajas de un IDS incluyen:

 Un sensor de IDS no puede detener el paquete de activación y son menos útiles
para detener los virus de correo electrónico y los ataques automatizados, como
los gusanos.
 Afinar los sensores IDS para lograr niveles esperados de detección de
intrusiones puede llevar mucho tiempo. Los usuarios que Implementan acciones
de respuesta de sensores de IDS deben tener una política de seguridad bien
diseñada y una acabada comprensión operativa de sus implementaciones de
IDS.
 Una implementación de IDS es más vulnerable a las técnicas de evasión de
seguridad de red porque no está en línea.
Ventajas y desventajas de IDS

Ventajas y desventajas de IPS
Consideraciones para la implementación
Incompleto 6.1.8 Tipos de IPS
6.1.8 Tipos de IPS

Lista de secciones expandibles. Seleccione cada botón para ampliar el contenido.
Existen dos tipos primarios de IPS disponibles: IPS basados en hosts y con base en la
red.
IPS con base en host
La tecnología IPS con base en host (HIPS) es un software instalado en un host para
controlar y analizar actividades sospechosas. Una ventaja importante de HIPS es que
puede monitorear y proteger el sistema operativo y los procesos fundamentales del
sistema que son específicos de ese host. Con un conocimiento detallado del sistema
operativo, HIPS puede monitorear la actividad inusual y evitar que el host ejecute
comandos que no coinciden con el comportamiento habitual. Este comportamiento
sospechoso o malicioso podría incluir actualizaciones del registro no autorizadas,
cambios en el directorio del sistema, ejecución de programas de instalación y
actividades que provocan desbordamientos del búfer. También es posible monitorear el
tráfico de red para evitar que el host participe en un ataque de denegación de servicio
(DoS, Denial of Service) o forme parte de una sesión de FTP ilícita.
HIPS puede considerarse una combinación de firewall, software antivirus y software

antimalware. Combinado con IPS con base en la red, HIPS es una herramienta eficaz
para brindar protección adicional al host.
Una desventaja de HIPS es que actúa solamente a nivel local. No tiene una perspectiva
completa de la red o de los eventos coordinados que podrían estar ocurriendo en toda
la red. Para ser eficaz en una red, HIPS debe instalarse en cada host y ser compatible
con cada sistema operativo.
Seleccione los encabezados para obtener más información sobre las ventajas y
las desventajas de HIPS.
Ventajas
Desventajas
IPS con base en la red
La tecnología IPS con base en la red se puede implementar utilizando un dispositivo

IPS exclusivo o no exclusivo. Las implementaciones de IPS con base en la red son un
componente fundamental de la prevención de intrusiones. Hay soluciones IDS/IPS con
base en el host, pero estas deben integrarse con una implementación de IPS con base
en la red para que la arquitectura de seguridad sea realmente sólida.
Los sensores detectan actividad maliciosa y no autorizada en tiempo real y pueden

tomar medidas cuando es necesario. Como se muestra en la figura, los sensores se
despliegan en puntos de red designados. Esto permite a los administradodres de
seguridad a monitorear la actividad de la red mientras esto ocurre, sin importar dónde
sea el objetivo del ataque.
Implementación de sensor IPS de muestra
La figura muestra una red que no es de confianza etiquetada en la nube conectada a

un firewall. El firewall tiene una conexión a un sensor que tiene un servidor web y un
servidor dns conectado a él. El firewall también se conecta a otro sensor que tiene un
servidor de administración y un router conectados. El router tiene otra conexión a otro
sensor que se conecta a las computadoras portátiles. The router, sensor, and laptops
are within a box labeled corporate network.
Incompleto 6.1.9 Dispositivos de seguridad especializados
6.1.9 Dispositivos de seguridad

especializados
Hay una variedad de dispositivos de seguridad especializados disponibles. Estos son

algunos ejemplos:
AMP
Cisco Advanced Malware Protection (AMP) es una solución de protección y análisis de

malware avanzado de clase empresarial. Brinda protección integral contra malware
para las organizaciones antes, durante y después de un ataque:
 Antes del ataque, AMP fortalece las defensas y brinda protección contra
amenazas conocidas y emergentes.
 Durante un ataque, AMP identifica y bloquea tipos de archivo que infrinjan las
políticas, intentos de ataque y archivos maliciosos que intenten infiltrarse en la
red.
 Después de un ataque o de la inspección inicial de un archivo, AMP no solo se
queda en las funcionalidades de detección en un momento determinado, sino
que también analiza y controla constantemente toda la actividad y el tráfico de
archivos, independientemente de su ubicación, y busca detectar cualquier
indicador de comportamiento malicioso. Si un archivo con una condición
desconocida o que anteriormente se consideró “buena” comienza a comportarse
mal, AMP lo detectará e inmediatamente generará una alerta para los equipos
de seguridad con un indicador del riesgo. Luego proporciona visibilidad del lugar
de origen del malware, los sistemas que se vieron afectados y la actividad del
malware.
AMP tiene acceso a la inteligencia de seguridad colectiva del grupo de inteligencia e

investigación de seguridad Cisco Talos. Talos detecta y correlaciona amenazas en
tiempo real por medio de la mayor red de detección de amenazas del mundo.
Incompleto 6.1.10 Verifique su comprensión: compare las características de IDS e IPS
6.1.10 Verifique su comprensión:

compare las características de IDS e
IPS
Indique el método de entrega correspondiente para cada característica
Más vulnerables a las técnicas de evasión de seguridad de red habilitadas mediante

diversos métodos de ataque de red
Puede afectar al rendimiento de red mediante la introducción de latencia y fluctuación
Deben aplicarse para que las aplicaciones sensibles al tiempo no se vean afectadas
negativamente
No puede detener el paquete de activación ni está garantizado que detenga una

conexión
Implementado en modo sin conexión
Puede usar técnicas de normalización de transmisiones para reducir o eliminar muchas

de las capacidades de evasión de seguridad de redexistentes
Se puede configurar para que omita el paquete a fin de detener el paquete de

activación
Se centra principalmente en identificar posibles incidentes, registrar información sobre

ellos e informarlos
Debe ser implementado en línea y el tráfico debe ser capaz de atravesarlo

No tan útil para detener virus de correo electrónico y ataques automatizados, como los
gusanos
7.0 El sistema operativo
Windows
módulo?
Desde sus humildes comienzos hace más de 35 años en 1985, el sistema operativo
Windows ha experimentado muchos cambios; desde Windows 1.0 hasta la versión de
escritorio actual de hoy, Windows 10, y la versión del servidor, Windows Server 2019.
Este módulo cubre algunos de los conceptos básicos de Windows, incluido el

funcionamiento del sistema operativo y las herramientas utilizadas para proteger los
puntos terminales de Windows.

 5 laboratorios
Título del Módulo: El Sistema Operativo Windows
Objetivo del módulo: utilizar herramientas administrativas de Windows.

7.1.1 Sistema operativo de disco
Las primeras computadoras no tenían dispositivos de almacenamiento modernos,
como discos duros, unidades ópticas o unidades de memoria flash. Los primeros
métodos de almacenamiento utilizaban tarjetas perforadas, cinta de papel, cinta
magnética y hasta casetes de audio.
El almacenamiento en disquete y disco duro requiere un software para leer, escribir y

administrar los datos que se almacenan. El Sistema Operativo de Disco (DOS) es un
sistema operativo que utiliza la computadora para habilitar estos dispositivos de
almacenamiento de datos para leer y escribir archivos. DOS provee un sistema de
archivos que organiza los archivos en una forma especifica en el disco Microsoft
compró DOS y desarrolló MS-DOS.
MS-DOS utiliza una línea de comandos como interfaz para que las personas creen
programas y manipulen archivos de datos, como se muestra en la salida del comando.
Los comandos DOS se muestran en negrita.
Starting MS-DOS...
HIMEM is testing extended memory... done.
C:∖> C:∖DOS∖SMARTDRV.EXE /X
C:∖> dir
Volume in drive C is MS-DOS_6
Volume Serial Number is 4006-6939
Directory of C:∖
DOS <DIR> 05-06-17 1:09p
COMMAND COM 54,645 05-31-94 6:22a
WINA20 386 9,349 05-31-94 6:22a
CONFIG SYS 71 05-06-17 1:10p
AUTOEXEC BAT 78 05-06-17 1:10p
5 file(s) 64,143 bytes
517,021,696 bytes free
C:∖>
Con MS-DOS, la computadora tenía conocimientos básicos sobre cómo acceder a la

unidad de disco y cargar los archivos del sistema operativo directamente desde el disco
como parte del proceso de arranque. Cuando se cargaba, MS-DOS podía tener acceso
al disco fácilmente porque estaba incorporado en el sistema operativo.
Las primeras versiones de Windows consistían en un Interfaz Gráfica de Usuario (GUI)

que se ejecuta sobre MS-DOS, iniciando con Windows 1.0 en 1985 El sistema
operativo de disco todavía controlaba la computadora y su hardware. Un sistema
operativo moderno, como Windows 10, no se considera un sistema operativo de disco.
Se basa en Windows NT, y esta sigla significa “nuevas tecnologías”. El propio sistema
operativo controla directamente la computadora y su hardware. NT es un sistema
operativo compatible con múltiples procesos de usuario. Esto es muy diferente al MS-
DOS de un solo proceso y un solo usuario.
Actualmente, muchas de las cosas que solían hacerse a través de la interfaz de línea
de comandos de MS-DOS se pueden hacer en la GUI de Windows. Todavía es posible
experimentar lo que era usar MS-DOS abriendo una ventana de comando, pero lo que
vemos ya no es MS-DOS, sino una función de Windows. Para experimentar un poco lo
que era trabajar en MS-DOS, abran una ventana de comando escribiendo cmd en la
búsqueda de Windows y presionando Entrar. La tabla muestra algunos comandos que
puede utilizar. Introduzca help seguido del comando para obtener más información
sobre el comando.
Comando MS-DOS Descripción
dir Muestra una lista de todos los archivos en el directorio actual (carpeta)
cd directory Cambia el directorio al directorio indicado
cd .. Cambia el directorio al directorio por encima del directorio actual
cd∖ Cambia el directorio al directorio raíz (a menudo C:)
copy source destination Copia archivos a otra ubicación
del filename Elimina uno o más archivos
find Busca texto en archivos
mkdir directory crea un nuevo directorio
ren oldname newname Renombra un archivo
help Muestra todos los comandos que se pueden utilizar, con una breve descripción
help command Muestra una amplia ayuda para el comando indicado

Completo 7.1.2 Versiones de Windows
7.1.2 Versiones de Windows

Desde el año 1993 hubo más de 20 versiones de Windows basadas en el sistema
operativo NT. La mayoría de estas versiones eran para uso del público general y las
empresas, debido a la seguridad de los archivos que ofrecía el sistema de archivos
utilizado por el sistema operativo NT. Las empresas también adoptaron los sistemas
operativos Windows basados en NT. Esto ocurrió porque muchas ediciones se
diseñaron específicamente para estaciones de trabajo, profesionales, servidores,
servidores avanzados y servidores de centro de datos, por nombrar solamente algunas
de las muchas versiones de diseño específico.
A partir de Windows XP, comenzó a estar disponible una edición de 64 bits. El sistema
operativo de 64 bits era una arquitectura totalmente nueva. Tenía un espacio para la
dirección postal de 64 bits, en lugar de uno de 32 bits. Esto no significa solamente el
doble de espacio, ya que estos bits son números binarios. Mientras que Windows de
32 bits tiene espacio para un poco menos de 4 GB de RAM, Windows de 64 bits puede
tener, teóricamente, espacio para 16,8 millones de terabytes. Cuando el sistema
operativo y el hardware admiten el funcionamiento de 64 bits, es posible usar conjuntos
de datos extremadamente grandes. Estos enormes conjuntos de datos incluyen bases
de datos muy grandes, computación científica y manipulación de video digital de alta
definición con efectos especiales. En general, las computadoras y los sistemas
operativos de 64 bits son compatibles con programas más antiguos de 32 bits, pero los
programas de 64 bits no pueden ejecutarse en el hardware más antiguo de 32 bits.
Con cada nuevo lanzamiento de Windows, el sistema operativo se ha mejorado con la

incorporación de más funciones. Windows 7 se ofreció con seis ediciones diferentes y
Windows 8 con cinco. Windows 10 se lanzó ¡con ocho ediciones diferentes! Cada
edición no ofrece solamente capacidades diferentes, sino precios distintos. Microsoft ha
dicho que Windows 10 es la última versión de Windows y que Windows se ha
convertido en un servicio en lugar de solo un sistema operativo. Dicen que, en lugar de
comprar nuevos sistemas operativos, los usuarios solamente deberán actualizar
Windows 10.
En la tabla se enumeran las versiones comunes de Windows.
Completo 7.1.3 GUI de Windows

7.1.3 GUI de Windows
Windows tiene una interfaz gráfica de usuario (Graphical User Interface, GUI) para que
los usuarios trabajen con software y archivos de datos. La interfaz gráfica de usuario
tiene un área principal que es conocida como El Escritorio, mostrada en la figura.
La figura muestra la imagen de la interfaz gráfica de usuario de Windows 10 con el ícono de la

Papelera de reciclaje, la imagen de fondo del escritorio y la barra de tareas en la parte inferior
de la ventana que presenta el menú Inicio y la herramienta de búsqueda, los íconos de inicio
rápido y el área de notificación formalmente. llamada bandeja del sistema.
El escritorio se puede personalizar con diferentes colores e imágenes de fondo.

Windows admite múltiples usuarios, para que cada uno pueda personalizar el escritorio
a su gusto. El escritorio puede almacenar archivos, carpetas, accesos directos a
ubicaciones y programas, y aplicaciones. Además, el escritorio tiene un icono de
papelera de reciclaje, donde se almacenan los archivos cuando el usuario los elimina.
Es posible restaurar archivos desde la papelera de reciclaje o se la puede vaciar y, de
este modo, eliminarlos definitivamente.
En la parte inferior del escritorio, se encuentra la barra de tareas. La barra de tareas

tiene tres áreas que se utilizan para diferentes propósitos. A la izquierda, se encuentra
el menú Inicio. Se utiliza para acceder a todos los programas instalados, las opciones
de configuración y la función de búsqueda. En el centro de la barra de tareas, los
usuarios colocan los iconos de inicio rápido que ejecutan programas específicos o
abren determinadas carpetas cuando se hace clic en ellos. Finalmente, a la derecha de
la barra de tareas, se encuentra el área de notificación. El área de notificación permite
ver, a simple vista, la funcionalidad de una serie de programas y características
diferentes. Por ejemplo, un icono de un sobre parpadeando puede indicar un correo
electrónico nuevo, o un icono de red con una “x” roja puede indicar un problema con la
red.
A menudo, al hacer clic derecho sobre un icono se presentan funciones adicionales que
pueden utilizarse. Esta lista se conoce como menú contextual, que se muestra en la
figura.
Existen menús contextuales para los iconos en el área de notificación y también para
los iconos de inicio rápido, los iconos de configuración del sistema y para los archivos y
carpetas. El menú contextual permite tener acceso a muchas de las funciones más
utilizadas con apenas un clic. Por ejemplo, el menú contextual para un archivo
contendrá elementos como copiar, eliminar, compartir e imprimir. Para abrir carpetas y
manipular archivos, Windows utiliza el explorador de archivos de Windows.
Incompleto 7.1.4 Vulnerabilidades del Sistema Operativo
7.1.4 Vulnerabilidades del Sistema

Operativo
Los sistemas operativos consisten en millones de líneas de código. El software

instalado también puede contener millones de líneas de código. Todo este código
acarrea vulnerabilidades. Una vulnerabilidad es una imperfección o debilidad que
puede ser aprovechada por un atacante para reducir la viabilidad de la información de
una computadora. Para aprovechar una vulnerabilidad de un sistema operativo, el
atacante debe utilizar una técnica o herramienta para atacarla. El atacante puede
utilizar la vulnerabilidad para hacer que la computadora actúe de una manera diferente
a la prevista en su diseño. En general, el objetivo es hacerse con el control no
autorizado de la computadora, cambiar permisos o manipular datos.
Haga clic en cada uno de los encabezados a continuación para ver algunas
recomendaciones comunes de seguridad del sistema operativo Windows.
Protección contra virus o malware

Servicios Desconocidos o no administrados
Cifrado
Política de seguridad
Firewall
Permisos de archivo y uso compartido
Contraseña débil o sin contraseña
Iniciar sesión como administrador
8.0 Descripción general de
Linux- Seguridad en Redes y el
SO Linux
8.0.1 ¿Por qué debo cursar este
módulo?
Linux es un sistema operativo de código abierto que es rápido, potente y altamente
personalizable. Está diseñado para su uso en la red como cliente o servidor. Linux es
muy querido por una gran comunidad de usuarios, incluido el personal de
ciberseguridad.
Estudie este módulo para aprender información básica sobre el sistema operativo Linux
y aprender algunas habilidades de Linux. Las habilidades de Linux son muy deseables
en la profesión de operaciones de ciberseguridad.

 2 Vídeos
 7 laboratorios
Título del Módulo: Descripción general de Linux
Objetivo del Modulo: Implementar la seguridad básica de Linux.

8.1.1 ¿Qué es Linux?
Linux es un sistema operativo creado en 1991. Linux es de código abierto, rápido,

confiable y pequeño. Requiere muy pocos recursos de hardware para ejecutarse y
tiene muchas opciones para ser personalizado. A diferencia de otros sistemas
operativos, como Windows y Mac OS X, Linux fue creado por una comunidad de
programadores que actualmente lo mantiene vigente. Linux es parte de varias
plataformas y puede encontrarse en cualquier tipo de dispositivo, desde relojes a
supercomputadoras.
Otro aspecto importante de Linux es que está diseñado para conectarse a la red, lo que
facilita mucho la escritura y el uso de aplicaciones con base en la red. Dado que Linux
es de código abierto, cualquier persona o empresa puede obtener el código fuente del
kernel, examinarlo, modificarlo y volver a compilarlo cuando lo desean. También
pueden redistribuir el programa con o sin costo.
Una distribución de Linux es el término que se utiliza para describir paquetes creados
por distintas organizaciones. Las distribuciones de Linux (o distros) incluyen el kernel
de Linux con herramientas y paquetes de software personalizados. Si bien algunas de
estas organizaciones pueden cobrar el soporte de su distribución de Linux (orientado a
empresas con base en Linux), la mayoría también ofrece la distribución gratis sin
soporte. Debian, Red Hat, Ubuntu, CentOS y SUSE son solo algunos ejemplos de
distribuciones de Linux.
Completo 8.1.2 El Valor de Linux
8.1.2 El Valor de Linux

Linux es, a menudo, el sistema operativo elegido en el centro de operaciones de
seguridad (SOC). Estos son algunos de los motivos para elegir Linux:
 Linux es de código abierto - Cualquier persona puede adquirir Linux sin cargo y
modificarlo según sus necesidades específicas. Esta flexibilidad les permite a analistas
y administradores diseñar un sistema operativo específicamente para análisis de
seguridad.
 La CLI de Linux es muy potente - mientras que una GUI facilita muchas tareas,
agrega complejidad y requiere más recursos de la computadora para funcionar. La
interfaz de línea de comandos (CLI) de Linux es extremadamente potente y permite a
los analistas realizar tareas no solo directamente en la terminal sino que también de
manera remota.
 El usuario tiene más control sobre el sistema operativo - el usuario de administrador
en Linux, conocido como el usuario root o superusuario, tiene poder absoluto sobre la
computadora. A diferencia de otros sistemas operativos, el usuario root puede modificar
cualquier aspecto de la computadora con unas pocas pulsaciones de teclas. Esta
capacidad resulta especialmente útil cuando se trabaja con funciones de niveles
inferiores, como la pila de red. Le permite al usuario root tener un control preciso sobre
la manera en que el sistema operativo maneja los paquetes de red.
 Permite mejorar el control de comunicación de la red - El control es inherente a
Linux. Debido a que es posible ajustar el sistema operativo en cualquier aspecto, es una
gran plataforma para crear aplicaciones de red. Por este mismo motivo, muchas
excelentes herramientas de software con base en la red están disponibles únicamente
en Linux
Incompleto 8.1.3 Linux en el SOC
8.1.3 Linux en el SOC

La flexibilidad que proporciona Linux es una característica grandiosa para el SOC.
Todo el sistema operativo se puede adaptar para convertirlo en la plataforma perfecta
de análisis de seguridad. Por ejemplo, los administradores pueden agregar al sistema
operativo solamente los paquetes necesarios para hacerlo rápido y eficiente. Es posible
instalar y configurar herramientas de software específicas para trabajar en conjunto, lo
que les permite a los administradores crear una computadora personalizada que se
adapta perfectamente al flujo de trabajo de un SOC.
La figura muestra Sguil, que es la consola de analista de ciberseguridad en una versión

especial de Linux llamada Cebolla de Seguridad. La Cebolla de Seguridad es un
conjunto de herramientas de código abierto que trabajan juntas para el análisis de
seguridad de red.
Software de captura de paquetes

Herramientas de análisis de Malware
Sistemas de detección de intrusiones (Intrusion detection systems, IDSs)
Firewalls
Administradores de registros
Administración de información y eventos de seguridad (SIEM)
Sistema de tiquetes
Completo 8.1.4 Herramientas de Linux
8.1.4 Herramientas de Linux

Además de herramientas específicas para el SOC, las computadoras de Linux
utilizadas en el SOC suelen tener herramientas de pruebas de penetración. También
conocida como PenTesting, una prueba de penetración es el proceso de atacar una red
o computadora en busca de vulnerabilidades. Algunos ejemplos de herramientas de
PenTesting son los generadores de paquetes, los escáneres de puertos y los ataques
de prueba de concepto.
Kali Linux es una distribución de Linux agrupa muchas herramientas de penetración

juntas en una sola distribución Linux. Kali contiene una amplia selección de
herramientas. En la figura, se ve una captura de pantalla de Kali Linux. Observe todas
las categorías principales de herramientas de pruebas de penetración.
8.2 Trabajando en el Shell de Linux
para la Seguridad en Redes
El Shell de Linux
Trabajando con archivos de texto

8.3 Servidores y clientes Linux para la
seguridad en Redes
Una introducción a las comunicaciones entre Cliente y Servidor
8.4 Administración básica del servidor

para la seguridad en redes
Mantener el sistema actualizado
8.5 El sistema de archivos Linux
Principales sistemas de archivos
Los principales sistemas de archivos que podemos usar en Linux son:
EXT4 (junto a EXT2 y EXT3)
Extended4, Fourth Extended Filesystem, o más conocido como EXT4, es el sistema de
archivos usado por la mayoría de las distribuciones. A grandes rasgos, viene a ser el NTFS de
Linux. Este sistema de archivos llegó para suceder a EXT3, incluyendo una gran cantidad de
funciones y características, entre otras, el soporte para unidades sólidas SSD.
Entre sus características podemos destacar mejor rendimiento y fiabilidad de los datos que su
predecesor, soporte para journaling y medidas de seguridad para evitar la pérdida de los datos
en caso de un corte de energía. Además, gracias a las funciones de extensión y asignación
retrasada, se mejora el rendimiento y se reduce la fragmentación de las unidades.
8.6 Trabajando con la GUI de Linux

para la seguridad en redes
¿Qué es la GUI de Linux?
• La interfaz gráfica de usuario, conocida también como GUI (del inglés graphical user
interface), es un programa informático que actúa de interfaz de usuario, utilizando un
conjunto de imágenes y objetos gráficos para representar la información y acciones
disponibles en la interfaz.
Actualización Modo Gráfico
8.7 Trabajando en un host Linux para
la seguridad en redes
Instalación y ejecución de aplicaciones en un host de Linux
9.0 Protección de terminales

9.0.1 ¿Por qué debo tomar este
módulo?
Los sistemas operativos requieren una variedad de herramientas y procedimientos para
mantenerlos seguros. Los terminales (Endpoints) son cualquier dispositivo que se
comunica con cualquier otro dispositivo de una red. Esto incluye los miles de equipos,
impresoras, servidores y otros dispositivos que se encuentran en una red grande. Cada
terminal es vulnerable a los ataques. ¿Cómo se pueden proteger todos estos
terminales y podemos saber si alguno de ellos ha sido comprometido por un atacante o
malware? Este módulo describir diversas tecnologías y métodos de protección de
terminales, que se combinan para ayudar a proteger mejor su hogar y su organización.

 3 Videos
 4 laboratorios
Título del módulo: Protección de terminales
Objetivo del módulo: evaluar la protección de terminales y los impactos del malware.
9.1.1 Avatar
El sistema operativo desempeña un rol importante en la operación de un sistema
informático y es el objetivo de muchos ataques. Por lo tanto, nuestro primer trabajo
como profesionales de ciberseguridad es proteger el sistema operativo.
Para comenzar, analizaremos los elementos esenciales de la seguridad del sistema

operativo.
Incompleto 9.1.2 Seguridad del sistema operativo
9.1.2 Seguridad del sistema operativo

¿Qué debe hacer una organización para fortalecer un sistema operativo y mantenerlo
seguro?
Seleccione las flechas para obtener más información.
Un buen administrador
Un buen administrador configurará el sistema operativo para protegerlo contra

amenazas externas. Eso significa eliminar los programas y servicios innecesarios y
asegurarse de que los parches de seguridad y las actualizaciones se instalen de
manera oportuna para corregir fallas y mitigar riesgos.
Incompleto 9.1.3 ¿Sabe lo que hace?
9.1.3 ¿Sabe lo que hace?

El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y

adware. Todos invaden la privacidad, roban información, dañan el sistema o eliminan y
corrompen datos. Es importante proteger las computadoras y los dispositivos móviles
usando software de antimalware de confianza.
Se le ha pedido que identifique los tipos de programas antimalware que @Apollo puede
utilizar para ayudar a proteger sus sistemas y dispositivos.
¿Puede identificar qué tipo de protección se describe?
Busca programas que muestren publicidad no deseada en cuadros emergentes.

Advierte al usuario sobre programas o sitios web no seguros
Bloquea las direcciones IP de sitios web de phishing conocidos y advierte al usuario sobre
correos electrónicos sospechosos
Monitores de virus. Advierte al usuario cuando se detecta un virus y lo pone en cuarentena o lo
elimina
Analiza en busca de registradores de teclas (un programa que registra las pulsaciones de
teclas para robar contraseñas y otra información confidencial) y otros programas espía.
Incompleto 9.1.4 Puntos para recordar
9.1.4 Puntos para recordar

Ha identificado tipos de antimalware que @Apollo puede usar para proteger

dispositivos, pero hay más para aprender. Analicemos algunos puntos importantes para
recordar sobre el antimalware.
Tenga cuidado con los productos antivirus dudosos

Los ataques sin archivos son difíciles de detectar y eliminar
Los scripts también pueden ser malware
Elimine siempre el software no aprobado
Incompleto 9.1.5 Gestión de parches
9.1.5 Gestión de parches

Los ciberdelincuentes trabajan sin descanso para aprovechar la debilidad de los

sistemas informáticos. Para mantenerse un paso adelante, mantenga los sistemas
seguros y actualizados mediante la instalación periódica de parches.
Seleccione las flechas para obtener más información sobre qué son los parches
y cómo funcionan.
¿Qué son los parches?
Los parches son actualizaciones de códigos que proporcionan los fabricantes para
evitar que un virus o gusano recientemente descubierto logre atacar con éxito. Los
parches y las actualizaciones a menudo se combinan en un paquete de servicios. Se
podrían haber evitado muchos ataques de malware si los usuarios hubieran instalado el
último Service Pack.
Los sistemas operativos como Windows buscan rutinariamente actualizaciones que

puedan proteger una computadora de las amenazas de seguridad más recientes. Estas
actualizaciones incluyen actualizaciones de seguridad, actualizaciones críticas y
paquetes de servicios. Windows debe configurarse para que descargue e instale
automáticamente las actualizaciones a medida que estén disponibles.
Incompleto 9.1.6 Seguridad de Terminales
9.1.6 Seguridad de Terminales

Una solución basada en el host es una aplicación de software que se ejecuta en una
computadora host local para protegerla. El software funciona con el sistema operativo
para prevenir ataques.
Un firewall basado en host se ejecuta en un dispositivo para restringir la actividad de

red entrante y saliente para ese dispositivo. Puede permitir o denegar el tráfico entre el
dispositivo y la red. El firewall de software inspecciona y filtra los paquetes de datos
para evitar que el dispositivo se infecte. Firewall de Windows, instalado de manera
predeterminada durante la instalación de Windows, es un ejemplo de firewall de
software.
El usuario puede controlar el tipo de datos enviados hacia y desde la computadora

abriendo o bloqueando los puertos seleccionados. Los firewalls bloquean las
conexiones de red entrantes y salientes, a menos que se definan excepciones para
abrir y cerrar los puertos que necesita un programa. Puede seleccionar 'reglas de
entrada' para configurar los tipos de tráfico que pueden pasar al sistema; esto
protegerá el sistema del tráfico no deseado
HIPS es un software instalado en un host que se usa para controlar y analizar

actividades sospechosas. Supervisa las llamadas al sistema y el acceso al sistema de
archivos para detectar solicitudes maliciosas. También puede monitorear la información
de configuración sobre el dispositivo contenido en el registro del sistema.
El HIDS almacena todos los datos de registro localmente. El rendimiento del sistema
puede verse afectado debido a su uso intensivo de los recursos. Un sistema de
detección de intrusiones basado en el host no puede supervisar el tráfico de red que no
alcanza el sistema host, pero puede monitorear los procesos del sistema crítico y el
sistema operativo específicos del host.
HIPS es un software que monitorea un dispositivo en busca de ataques conocidos y
anomalías (desviaciones en el ancho de banda, protocolos y puertos), o encuentra
señales de alerta al evaluar los protocolos reales en los paquetes. Si detecta actividad
maliciosa, la herramienta HIPS puede enviarle una alarma, registrar la actividad
maliciosa, restablecer la conexión y / o descartar los paquetes.
EDR es una solución de seguridad integrada que monitorea y recopila continuamente
datos de un dispositivo terminal. Luego analiza los datos y responde a cualquier
amenaza que detecte. Un antivirus solo puede bloquear contra amenazas, mientras
que EDR puede hacer eso y encontrar amenazas en el dispositivo.
Las herramientas de DLP proporcionan una manera centralizada de garantizar que los
datos no confidenciales no se pierdan, se usen mal ni se acceda a ellos por usuarios no
autorizados.
NGFW es un dispositivo de seguridad de red que combina un firewall tradicional con
otras funciones de filtrado de dispositivos de red. Por ejemplo, un firewall de
aplicaciones que utiliza la inspección profunda de paquetes (DPI) en línea en un
sistema de protección contra intrusiones (IPS).
9.1.7 Avatar
La encriptación es una herramienta que se usa para proteger datos. La encriptación
transforma los datos con un algoritmo complicado para que no puedan leerse.
Una clave especial transforma la información ilegible en información legible.

Completo 9.1.8 Cifrado de host
9.1.8 Cifrado de host

La función de sistema de archivos de cifrado de Windows (EFS) permite a los usuarios
cifrar archivos, carpetas o un disco duro completo. El cifrado de disco completo (FDE)
cifra todo el contenido de una unidad (incluidos los archivos temporales y la memoria).
Microsoft Windows utiliza BitLocker para FDE.
Antes de utilizar BitLocker, el usuario debe habilitar el módulo de plataforma confiable

(TPM) en el BIOS. TPM es un chip especializado en la placa madre que almacena
información específica del sistema de computación, como claves de cifrado,
certificados digitales y contraseñas. Cuando está habilitado, BitLocker puede usar el
chip TPM.
Del mismo modo, BitLocker To Go es una herramienta que cifra las unidades
extraíbles. No utiliza un chip TPM, pero encripta los datos y requiere una contraseña
para descifrarlos. Mientras tanto, una unidad de autocifrado encripta automáticamente
todos los datos de la unidad para evitar que los atacantes accedan a los datos a través
de su sistema operativo.
Incompleto 9.1.9 Integridad de arranque
9.1.9 Integridad de arranque

Los atacantes pueden atacar en cualquier momento, incluso en el breve espacio de

tiempo que tarda un sistema en arrancar. Es fundamental garantizar que los sistemas y
dispositivos permanezcan seguros al arrancar.
Seleccione las flechas para saber cómo funciona la integridad de arranque.
¿Qué es la integridad de arranque?
La integridad de arranque garantiza que se pueda confiar en el sistema y que no haya

sido alterado mientras se carga el sistema operativo.
El firmware (instrucciones de software sobre las funciones básicas de la computadora)

se almacena en un pequeño chip de memoria en la placa base. El sistema básico de
entrada / salida (BIOS) es el primer programa que se ejecuta al encender la
computadora.
Unified Extensible Firmware Interface (UEFI), una versión más reciente de BIOS, define
una interfaz estándar entre el sistema operativo, el firmware y los dispositivos externos.
Se prefiere un sistema que use UEFI sobre uno que use BIOS porque un sistema UEFI
puede ejecutarse en modo de 64 bits.
Incompleto 9.1.10 Funciones de seguridad del sistema Apple

9.1.10 Funciones de seguridad del
sistema Apple
Como sabemos, las distribuciones de Windows y Linux incluyen funciones de seguridad

diseñadas para proteger los puntos finales. Apple proporciona hardware del sistema y
funciones de seguridad de macOS que también ofrecen una sólida protección de punto
final.
Las características de seguridad de Apple incluyen lo siguiente:
Hardware centrado en la seguridad

Almacenamiento cifrado
Arranque seguro
Datos biométricos seguros
Buscar mi Mac
Xproteger
Herramienta de eliminación de malware (MRT)
Gatekeeper
Incompleto 9.1.11 Gestión de amenazas de dispositivos
9.1.11 Gestión de amenazas de

dispositivos
Guru ha notado algunas amenazas de dominio de dispositivo en la nueva oficina y le ha
pedido que identifique una contramedida para administrar cada una.
¿Puede identificar la contramedida adecuada para cada una de las amenazas?
Software sin parches

Seleccione una opción
Descargas del usuario
Malware
Dispositivos desatendidos
Infracción de políticas de uso aceptable
Medios no autorizados
EnviarMostrar comentarios
Incompleto 9.1.12 Protección física de los dispositivos
9.1.12 Protección física de los

dispositivos
Bien hecho. Ha protegido a @Apollo contra amenazas de software y hardware. Pero,

¿qué sucede con las posibles amenazas físicas a las oficinas y los dispositivos de
@Apollo?
Seleccione las flechas para conocer las medidas de seguridad que se pueden
tomar.
Equipo de cómputo
Para proteger físicamente los equipos informáticos:
 Utilice bloqueos de cable para proteger los dispositivos

 Mantenga cerradas las salas de telecomunicaciones.
 Utilice jaulas de seguridad (jaulas de Faraday) alrededor del equipo para bloquear los
campos electromagnéticos.
Incompleto 9.1.13 Lab Video - fortalecer un sistema Linux
9.1.13 Lab Video - fortalecer un

sistema Linux
Haga clic en el botón de reproducción para ver un video de la práctica de laboratorio

"Endurezca un sistema Linux".
Incompleto 9.1.14 Lab - Reforzar un sistema Linux
9.1.14 Lab - Reforzar un sistema Linux

En esta práctica de laboratorio, utilizará una herramienta de auditoría de seguridad
para detectar vulnerabilidades del sistema e implementar soluciones recomendadas
para fortalecer el sistema.
 Parte 1: abrir una ventana de terminal en CSE-LABVM.

 Parte 2: examinar la versión actual de Lynis.
 Parte 3: ejecutar la herramienta Lynis.
 Parte 4: revisar los resultados del análisis y aborde las advertencias.
Reforzar un sistema Linux
Incompleto 9.1.15 Lab Video - recuperación de contraseñas
9.1.15 Lab Video - recuperación de

contraseñas
Haga clic en el botón Reproducir para ver un video de la práctica de laboratorio

"Recuperar contraseñas".
Play Video
Incompleto 9.1.16 Lab - recuperación de contraseñas
9.1.16 Lab - recuperación de

contraseñas
En esta práctica de laboratorio, utilizará una herramienta para recuperar contraseñas
de usuario y cambiar una contraseña de usuario por una más segura.
 Parte 1: abrir una ventana de terminal en CSE-LABVM.

 Parte 2: combinar contraseñas y nombres de usuario en un archivo de texto.
 Parte 3: ejecutar John the Ripper para recuperar las contraseñas.
 Parte 4: cambie la contraseña de un usuario a una versión más segura e intente
recuperarla.
Recuperación de contraseñas
Completo A continuación...
A continuación...
Para proteger un sistema o dispositivo, debe utilizar software antimalware. Veamosesto
más detalladamente.
10.0 Principios, prácticas y
procesos de ciberseguridad
módulo?
Si bien es cierto que los ataques cibernéticos ocurren cada vez con más frecuencia en
todo el mundo, también es cierto que los profesionales de ciberseguridad tienen una
creciente lista de herramientas y técnicas para combatir estos ataques. Aprenderá
sobre la tríada de la CIA de confidencialidad, integridad y disponibilidad de datos, y los
tres estados de datos. Obtendrá una descripción general de las herramientas y los
procesos que se utilizan para proteger los datos. También aprenderá sobre aspectos
de políticas y pautas de seguridad. Este módulo le brinda una base excelente de
conocimientos de ciberseguridad sobre la que puede construir a medida que continúa
sus estudios.
10.0.2 ¿Qué aprenderé en este

módulo?
 3 Vídeos
 2 laboratorios
 2 actividades de Packet Tracer
Título del módulo: Principios, prácticas y procesos de ciberseguridad
Objetivo del módulo: utilizar las mejores prácticas de ciberseguridad para mejorar la
confidencialidad, la integridad y la disponibilidad.
10.1.1 Avatar
Bienvenido, aprendiz. Después de analizar las amenazas y los dominios de amenazas
que pueden atacar, espero poder mostrarles todo lo que sé sobre los principios, las
prácticas y los procesos relacionados con la ciberseguridad. Es fantástico ver el
desarrollo de su carrera en ciberseguridad.
Recuerde, al final de este módulo, puede pasar al siguiente nivel de capacitación, así
que asegurémonos de detener a estos ciberdelincuentes y ayudar a mantener la
información confidencial, los servidores y los sistemas seguros en @Apollo.
Desplácese hacia abajo para comenzar.

Completo 10.1.2 El cubo de la ciberseguridad
10.1.2 El cubo de la ciberseguridad

¿Ha oído hablar del cubo de la ciberseguridad? Proporciona una manera útil de pensar
en la protección de datos. El cubo nos recuerda lo que implica la tarea de proteger los
datos, incluidas las tres dimensiones de la seguridad de la información.
Completo 1. Principios de seguridad

1. Principios de seguridad
La primera dimensión del cubo de ciberseguridad identifica los objetivos para proteger
el ciberespacio. Los principios básicos de confidencialidad, integridad y disponibilidad
de datos proporcionan un enfoque que permite al experto en ciberseguridad priorizar
las acciones al proteger cualquier sistema en red.
La confidencialidad de datos previene la divulgación de información a las personas

los recursos o los procesos no autorizados.
La integridad de datos hace referencia a la precisión, la uniformidad y la confiabilidad

de datos.
La disponibilidad de datos garantiza que los usuarios pueden tener acceso a la

información cuando sea necesario.
Utilice el acrónimo CID para recordar estos tres principios.
Completo 2. Estados de datos
2. Estados de datos
El dominio del ciberespacio contiene una cantidad considerable de datos de
importancia crítica. ¿Pero en qué estado? La segunda dimensión del cubo de
ciberseguridad representa los tres estados de datos posibles:
 Datos en tránsito
 Datos al macenados
 Datos en proceso
La ciberseguridad eficaz requiere la protección de datos en los tres estados. No

podemos centrarnos solo en proteger los datos que se están procesando, ni solo en los
datos almacenados.
Completo 3. Medidas de seguridad
3. Medidas de seguridad
La tercera dimensión del cubo de ciberseguridad define los pilares en los que debemos
basar nuestras defensas de ciberseguridad para proteger los datos y la infraestructura
en el ámbito digital.
Estas son tecnología, políticas y prácticas, y mejoran la educación, la capacitación y

la concientización de las personas.
Los profesionales de ciberseguridad deben utilizar una variedad de habilidades y
disciplinas diferentes a su disposición al proteger los datos y la infraestructura en el
ciberespacio.
Completo 10.1.3 Tríada de la CIA: El principio de confidencialidad
10.1.3 Tríada de la CIA: El principio de

confidencialidad
Para lograr la confidencialidad sin usar cifrado, la tokenización es una técnica de
sustitución que puede aislar los elementos de datos de la exposición a otros sistemas
de datos. Un valor aleatorio sin relación matemática reemplaza los datos originales.
Fuera del sistema, un token no tiene valor y no tiene sentido. La tokenización puede
conservar el formato de datos (su tipo y longitud de datos), lo que lo hace útil para
bases de datos y procesamiento de pagos con tarjeta.
La administración de derechos abarca tanto la administración de derechos digitales
(DRM) como la administración de derechos de información (IRM). Protege los datos
del dispositivo del acceso no autorizado mediante el cifrado del disco.
DRM protege el material con derechos de autor, como música, películas o libros.
Cuando dicho contenido aparece en forma digital (por ejemplo, en CD, mp3 o libro
electrónico), se cifra, por lo que los medios no se pueden copiar sin la clave de
descifrado. La clave de descifrado está disponible solo para las partes con licencia.
IRM se utiliza con correo electrónico y otros archivos que son relevantes para las
actividades y las comunicaciones de una organización. Cuando esta información se
comparte con otros, IRM permite que el propietario del documento, la organización o
uno de sus miembros controlen y administren el acceso al documento.
Incompleto 10.1.4 Protección de la privacidad de los datos
10.1.4 Protección de la privacidad de

los datos
Ahora que conoce los aspectos básicos sobre la protección de datos confidenciales,
recuerde que las organizaciones recopilan una gran cantidad de datos y, si bien gran
parte de ellos están a disposición del público, algunos datos son información
confidencial que debe mantenerse confidencial.
A medida que @Apollo crece, habrá cada vez más datos confidenciales que deben
protegerse contra el acceso no autorizado.
Los tipos de información confidencial se dividen en tres categorías:

información personal, información comercial e información clasificada.
¿Puede identificar la categoría a la que pertenecen los siguientes ejemplos?
Datos bancarios de un empleado de @Apollo

Una nueva herramienta de aprendizaje electrónico que @Apollo planea lanzar al mercado el
próximo año
Acceso restringido a la información de una agencia gubernamental para un nuevo módulo de
capacitación que @Apollo está creando, basado en políticas de alta seguridad
10.1.5 Avatar
Algunas organizaciones implementan tecnologías de mejora de la privacidad, como el
anonimato, la minimización de datos y la tokenización para ayudar a resolver los
problemas de privacidad de datos.
El anonimato de datos funciona ocultando los datos de identificación privada

almacenados en un formato claro y convirtiendo esos datos en información anónima
irreversible. Esto podría ser algo que @Apollo podría pensar en implementar a medida
que su negocio crezca.
Sigamos explorando los principios de seguridad de los datos. ¡Lo está haciendo muy
bien!
Incompleto 10.1.6 Integridad de Datos
10.1.6 Integridad de Datos

La integridad es la precisión, uniformidad y confiabilidad de los datos durante su ciclo

de vida.
Los datos experimentan varias operaciones como captura, almacenamiento,
recuperación, actualización y transferencia. Las entidades no autorizadas deben
mantener inalteradas los datos durante todas estas operaciones.
Los métodos utilizados para garantizar la integridad de los datos incluyen la función de
hash, las comprobaciones de validación de datos, las comprobaciones de consistencia
de los datos y los controles de acceso. Los sistemas de integridad de datos pueden
incluir uno o más de estos métodos.
La integridad de datos es un componente fundamental de la seguridad informática.

Proteger la integridad de los datos es un desafío constante para la mayoría de las
organizaciones. La pérdida de la integridad de los datos puede lograr que todos los
recursos de datos sean dudosos o inutilizables.
Sin embargo, la importancia de la integridad de los datos varía según la forma en que
una organización utiliza sus datos. Por ejemplo, un banco o una organización financiera
asigna una mayor importancia a la integridad de los datos que un canal de redes
sociales.
Nivel crítico
En una organización de servicios de salud, la integridad de datos puede ser una

cuestión de vida o muerte. La información sobre prescripciones debe ser precisa. Por lo
tanto, todos los datos se validan, prueban y verifican continuamente.
Alto nivel de necesidad
En una organización basada en análisis o comercio electrónico, las transacciones y las

cuentas de clientes deben ser precisas. Todos los datos se validan y verifican a
intervalos frecuentes.
Nivel medio de necesidad
Las ventas en línea y los motores de búsqueda recopilan datos publicados

públicamente. Se realiza poca verificación y los datos no son completamente
confiables.
Bajo nivel de necesidad
Los blogs, los foros y las páginas personales en las redes sociales cuentan con el
respaldo de la opinión pública y de contribuciones abiertas. Los datos pueden no
verificarse en absoluto, y hay un bajo nivel de confianza en el contenido.
Incompleto 10.1.7 Disponibilidad
10.1.7 Disponibilidad
Pregunta de opción múltiple
La disponibilidad se refiere a la necesidad de mantener la disponibilidad de la

información siempre que sea necesario. Los ataques cibernéticos y las fallas en el
sistema pueden impedir el acceso a los sistemas y servicios de información.
¿Puede identificar las causas comunes de fallas del sistema que pueden afectar
la disponibilidad de datos?
Cuando seleccione 'Inicio', se le presentarán una serie de opciones. Toque 'Sí' si cree
que esto podría causar fallas en el sistema que pueden afectar la disponibilidad de
información, sistemas y servicios. De lo contrario, toque “No”.
10.1.8 Avatar
Hay muchos motivos por los que los ciberdelincuentes desean interrumpir la
disponibilidad de un servicio o sistema, o incluso archivos y datos.
Eliminar un sitio web de un competidor, por ejemplo, puede proporcionar una ventaja a
su competencia. Estos ataques de denegación de servicio (DoS) amenazan la
disponibilidad del sistema y evitan que los usuarios legítimos tengan acceso y usen
sistemas de información cuando sea necesario.
Los métodos utilizados para garantizar la disponibilidad incluyen la redundancia del

sistema, las copias de seguridad del sistema, mayor recuperabilidad del sistema,
mantenimiento del equipo, sistemas operativos y software actualizados y planes para
recuperarse rápidamente de desastres no planificados.
Incompleto 10.1.9 Garantía de disponibilidad
10.1.9 Garantía de disponibilidad

Hay muchas medidas que las organizaciones pueden implementar para garantizar la
disponibilidad de sus servicios y sistemas.
Analicemos algunos ejemplos. A medida que los lea, piense cuáles podrían ser
adecuados para @Apollo.
Realizar el mantenimiento del equipo

Actualizaciones y parches de los sistemas operativos.
Realizar las pruebas de copia de respaldo
Realizar una planificación para evitar desastres
Realizar implementaciones de nuevas tecnologías
Monitoreo activo
Realizar la prueba de disponibilidad
10.1.10 Lab Vídeo - El Cubo de
Hechicería de Ciberseguridad Scatter
Quizlet
En este laboratorio, identificará las tres dimensiones del Cubo de hechicería de

ciberseguridad y los elementos de cada dimensión.
Presione el botón de reproducción para ver este breve vídeo de demostración.
Play Video
Incompleto 10.1.11 Lab - El Cubo de Hechicería de Ciberseguridad Scatter Quizlet
10.1.11 Lab - El Cubo de Hechicería de

Ciberseguridad Scatter Quizlet
En este laboratorio, identificará las tres dimensiones del Cubo de hechicería de ciberseguridad
y los elementos de cada dimensión.
El Cubo de Hechicería de Ciberseguridad Scatter Quizlet
10.1.12 PT Video - Verificación de la
Integridad de Datos y Archivos
En este Packet Tracer aprenderá cómo:
 Recuperar archivos después de un ataque cibernético.

 Utilizar el hash para verificar la integridad del archivo.
 UtilizarHMAC para verificar la integridad del archivo.
Play Video
Incompleto 10.1.13 Packet Tracer - Verificación de la Integridad de Datos y Archivos
10.1.13 Packet Tracer - Verificación de

la Integridad de Datos y Archivos
 Parte 1: recuperar archivos después de un ataque cibernético

 Parte 2: uso de hash para verificar la integridad de los archivos
 Parte 3: uso de HMAC para verificar la integridad de los archivos
Verificación de la Integridad de Datos y Archivos Verificación de la Integridad de Datos y

Archivos
10.1.14 Vídeo de PT - Explore el cifrado

de archivos y datos
En este Packet Tracer aprenderá cómo:
 Descubrir las credenciales de cuentas cifradas con la herramienta OpenSSL.

 Cargar y descargar datos confidenciales.
 Descifrar el contenido de un archivo confidencial.
Play Video
Incompleto 10.1.15 Packet Tracer - exploración del cifrado de archivos y datos
10.1.15 Packet Tracer - exploración del
cifrado de archivos y datos
 Parte 1: Descubrir las credenciales de la cuenta FTP para Mary

 Parte 2: Subir datos confidenciales mediante FTP
 Parte 3: Descubrir las credenciales de la cuenta FTP para Bob
 Parte 4: Descargar datos confidenciales mediante FTP
 Parte 5: Descifrar el contenido de un archivo confidencial
Exploración del cifrado de archivos y datos Exploración del cifrado de archivos y datos
Completo 10.1.16 Siguiente ...

04 Material Teorico - Seguridad de Terminales

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

04 Material Teorico - Seguridad de Terminales

Cargado por

Copyright:

Formatos disponibles

Curso: Seguridad de Terminales de Redes Informáticas

Material Teórico del curso

1.0.1 ¿Por qué debería realizar este

Los ciberdelincuentes encuentran constantemente nuevas formas de aprovechar

Como profesional de la ciberseguridad, debe poder considerar la posibilidad de un

Título del módulo: Amenazas, vulnerabilidades y ataques a la ciberseguridad

1.1.1 Dominios de amenazas

Los atacantes pueden descubrir muchas vulnerabilidades y aprovechar los sistemas de

Los atacantes pueden aprovechar los sistemas dentro de un dominio mediante:

Incompleto 1.1.2 Tipos de amenazas cibernéticas

1.1.2 Tipos de amenazas cibernéticas

Las ciberamenazas se pueden clasificar en diferentes categorías. Esto permite a las

Seleccione los encabezados para ver ejemplos de ciberamenazas en cada una de

Depende de los profesionales de ciberseguridad crear conciencia y educar a otras

1.1.4 Amenazas Internas vs Externas

Completo 1.1.5 Avatar

1.1.6 Conocer la diferencia

Le preocupan algunas amenazas potenciales que se informaron recientemente en

Completo 1.1.7 Avatar

1.1.8 Vulnerabilidades y amenazas

Un dominio de usuario incluye cualquier persona con acceso al sistema de información

Sin conocimiento sobre la seguridad

1.1.9 Amenazas a los dispositivos

 Los usuarios que insertan unidades USB, CD o DVD no autorizados corren el

1.1.10 Amenazas a la red de área local

La red de área local (LAN) es un conjunto de dispositivos, generalmente en la misma

Seleccione la imagen para revelar algunas amenazas comunes a la LAN.

 Acceso no autorizado a los centros de datos, las salas de computadoras y los

Completo 1.1.11 Amenazas a la nube privada

1.1.11 Amenazas a la nube privada

El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados

 Escaneo de puertos y sondeo de redes no autorizados

1.1.12 Amenazas a la nube pública

Software como servicio (SaaS)

1.1.14 ¿Qué piensa?

Escriba algunos ejemplos en el cuadro a continuación, luego seleccione Enviar.

200 Caracteres restantes.

1.1.15 Amenazas a las Aplicaciones

Amenazas comunes a las aplicaciones

 Acceso no autorizado a los centros de datos, las salas de computadoras y los

1.1.16 Comprobador de dominios

¿Puede completar las siguientes oraciones seleccionando el término correcto de cada

Cuando haya tomado todas las decisiones, seleccione Enviar.

Ellos usan una computadora de escritorio, computadora portátil, tableta o teléfono

1.1.17 Complejidad de las amenazas

Como su nombre indica, los ataques de algoritmos aprovechan los algoritmos de un

Completo 1.1.18 Avatar

1.1.19 Puertas traseras y rootkits

Los ciberdelincuentes utilizan muchos tipos diferentes de software malicioso, o malware,

Seleccione las imágenes para obtener más información sobre ellas.

Los ciberdelincuentes generalmente tienen usuarios autorizados que, sin saberlo,

Incompleto 1.1.20 Inteligencia contra amenazas y fuentes de investigación

1.1.20 Inteligencia contra amenazas y

El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-

Cada entrada de CVE contiene un número de identificador estándar, una breve

2.0.2 ¿Qué aprenderé en este módulo?

Título del módulo: Pruebas de Seguridad de la Red

Objetivo del módulo: explicar los principios de seguridad de la red.

2.1 Estado actual de los casos

2.1 Estado actual de los casos

2.1.1 Vídeo - Anatomía de un ataque

2.1.2 Las redes son objetivos

Para ayudarlo a comprender la gravedad de la situación, Kapersky mantiene la

Completo 2.1.3 Motivos de la seguridad de la red