Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4 vídeos
1 laboratorio
1 Actividad de Packet Tracer
1 Prueba del Módulo
Objetivo del módulo: explicar cómo los agentes de amenazas ejecutan algunos de los
tipos más comunes de ataques cibernéticos.
1.1 Amenazas comunes
Dado que las organizaciones enfrentan un número cada vez mayor de amenazas
cibernéticas, es fundamental que cuenten con soluciones de seguridad sólidas. Pero
para protegerse, las organizaciones primero deben saber qué vulnerabilidades existen
dentro de sus dominios de amenazas. Se considera que un “dominio de amenazas” es
un área de control, autoridad o protección que los atacantes pueden aprovechar para
obtener acceso a un sistema.
Ataques de software
Errores de software
Sabotaje
Error humano
Robo
Fallas del hardware
Interrupción de servicios
Desastres naturales
Completo 1.1.3 Avatar
1.1.3 Avatar
Recuerde que el repertorio de los ciberdelincuentes es vasto y está en constante
evolución. A veces, pueden combinar dos o más de las tácticas anteriores para aumentar
sus posibilidades.
Las amenazas internas generalmente son llevadas a cabo por empleados actuales o
anteriores y otros socios contractuales que manipulan accidental o intencionalmente
datos confidenciales o amenazan las operaciones de servidores o dispositivos de
infraestructura de red conectando medios infectados o accediendo a correos
electrónicos o sitios web maliciosos.
Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar
las vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la
ingeniería social, como trucos, para obtener acceso.
1.1.5 Avatar
¿Sabía que las amenazas internas tienen el potencial de causar un daño mayor que las
amenazas externas? Esto se debe a que los empleados o partners que trabajan en una
organización tienen acceso directo a sus instalaciones y dispositivos de infraestructura.
También tendrán un conocimiento interno de la red, los recursos y los datos
confidenciales de la organización, así como las medidas de seguridad implementadas.
Incompleto 1.1.6 Conocer la diferencia
1.1.7 Avatar
Las ciberamenazas pueden propagarse de varias maneras, como a través de los propios
usuarios, dispositivos conectados a la red o servicios alojados en una nube pública o
privada. Y no olvide la amenaza de un ataque físico si no se aplican las medidas de
seguridad adecuadas.
Observemos esto con mayor profundidad.
Incompleto 1.1.8 Vulnerabilidades y amenazas comunes a los usuarios
Seleccione los encabezados para obtener más información sobre algunas de las
certificaciones más comunes.
Siempre tenga en cuenta que ninguna solución, control o contramedida técnica hace
que los sistemas de información sean más seguros que los comportamientos y los
procesos de las personas que los usan.
Completo 1.1.9 Amenazas a los dispositivos
Debido a que los usuarios pueden acceder a los sistemas, aplicaciones y datos de
una organización desde el dominio LAN, es fundamental que tenga una seguridad
sólida y controles de acceso estrictos.
Cuando un dominio de nube privada aloja recursos de computación para una sola
organización, el dominio de nube pública es la totalidad de los servicios de
computación alojados por una nube, un servicio o un proveedor de Internet que están
disponibles para el público y se comparten entre las organizaciones.
Hay tres modelos de servicios de nube pública que las organizaciones pueden optar por
utilizar.
Seleccione las flechas para obtener más información sobre algunas de estas.
Software como servicio (SaaS): un modelo por suscripción que brinda acceso al software
alojado de manera centralizada al que los usuarios acceden mediante un navegador
web. En otras palabras, se trata de software que no se almacena localmente sino en la
nube.
Completo 1.1.13 Avatar
1.1.13 Avatar
Si bien los proveedores de servicios de nube pública implementan controles de
seguridad para proteger el entorno de la nube, las organizaciones son responsables de
proteger sus propios recursos en la nube. Por lo tanto, algunas de las amenazas más
comunes al dominio de nube pública incluyen:
Violaciones de datos
Pérdida o robo de propiedad intelectual
Credenciales comprometidas o secuestro de cuenta.
Ataques de ingeniería social
Violación del cumplimiento.
Incompleto 1.1.14 ¿Qué piensa?
Con esto en mente, tómese unos minutos para pensar en posibles amenazas físicas a las
oficinas de @Apollo.
Usted sabe que los atacantes buscarán aprovechar cualquier vulnerabilidad que exista
en los dominios de @Apolo, pero primero debe identificar cuáles son esos dominios.
Los empleados obtienen acceso a las oficinas de @Apollo con una tarjeta de
identificación de personal electrónica
1.1.18 Avatar
Muchas organizaciones confían en los datos de inteligencia de amenazas para
comprender su riesgo general, a fin de poder formular y aplicar medidas preventivas y
de respuesta eficaces.
Algunos de estos datos son de código cerrado y requieren una suscripción paga para
acceder. Otros datos se consideran inteligencia de código abierto (OSINT) y se puede
acceder desde fuentes de información disponibles al público. De hecho, compartir datos
de inteligencia de amenazas es cada vez más popular, con gobiernos, universidades,
organizaciones del sector de la salud y empresas privadas trabajando juntos para
mejorar la seguridad de todos.
Incompleto 1.1.19 Puertas traseras y rootkits
Los delincuentes cibernéticos utilizan los programas de puerta trasera, como Netbus y
Back Orificio, para obtener acceso no autorizado a un sistema sin pasar por los
procedimientos de autenticación normales.
La mayoría de los rootkits aprovecha las vulnerabilidades de software para ganar acceso
a recurso que normalmente no debería ser accesibles (escalada de privilegios) y
modificar los archivos del sistema.
Los rootkits también pueden modificar las herramientas de monitoreo y análisis forense
del sistema, lo que los hace muy difíciles de detectar. En la mayoría de los casos, un
equipo infectado por un rootkit debe borrarse y reinstalarse cualquier software
necesario.
La red oscura
Esto se refiere al contenido web encriptado que no está indexado por motores de
búsqueda convencionales y requiere software específico, autorización o configuraciones
para acceder. Investigadores expertos monitorean la web oscura en busca de nueva
inteligencia de amenazas.
Completo Siguiente...
Siguiente...
Una vez que un ciberdelincuente comprende las vulnerabilidades de un dispositivo,
sistema o red, hará todo lo posible para engañar a las posibles víctimas y obtener
acceso a información confidencial.
2.0 Protección de Redes
2.0.1 ¿Por qué debería tomar este
módulo?
¡Las redes están bajo ataque! En este módulo aprenderá sobre el estado actual del
panorama de seguridad de la red y también sobre los diferentes tipos de redes que
requieren protección.
Completo 2.0.2 ¿Qué aprenderé en este módulo?
2 Vídeos
1 Actividad de Packet Tracer
1 Actividades de Verifique su Comprensión
1 Prueba del Módulo
Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los
intereses comerciales. Mantener una red segura requiere vigilancia por parte de los
profesionales de seguridad de la red de una organización. Deben estar constantemente
al tanto de las amenazas y los ataques a las redes nuevos y en evolución, y de las
vulnerabilidades de los dispositivos y las aplicaciones.
Las amenazas internas tienen el potencial de causar mayores daños que las amenazas
externas porque los usuarios internos tienen acceso directo al edificio y a sus
dispositivos de infraestructura. Los empleados también tienen conocimiento de la red
corporativa, sus recursos y sus datos confidenciales, así como diferentes niveles de
usuario o privilegios administrativos.
Es probable que los datos sean el activo más valioso de una organización. Los datos
de la organización pueden tener que ver con investigación y desarrollo, ventas,
finanzas, recursos humanos, asuntos legales, empleados, contratistas y clientes.
Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos
se pierden con o sin intención, son robados o se filtran fuera de la organización. La
pérdida de datos puede generar:
Daño de la marca/pérdida de la reputación
Pérdida de la ventaja competitiva
Pérdida de clientes
Pérdida de ingresos
Acciones legales que generen multas y sanciones civiles
Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la
transgresión
Este módulo proporciona una visión general de los campos de paquetes IP de capa 3 y
los campos de segmento TCP y UDP de capa 4, y analiza las vulnerabilidades de cada
uno.
Completo 3.0.2 ¿Qué aprenderé en este módulo?
3 Videos
2 Actividades de Verifique su Comprensión
1 Prueba del Módulo
Objetivo del módulo: Explicar como las vulnerabilidades TCP/IP permiten que se
ejecuten ataques a las redes.
3.1.1 IPv4 y IPv6
IP fue diseñado como un protocolo sin conexión de capa 3. Brinda las funciones
necesarias para enviar un paquete de un host de origen a uno de destino mediante un
sistema interconectado de redes. El protocolo no fue diseñado para rastrear ni
administrar el flujo de paquetes. Si es necesario, TCP realiza principalmente estas
funciones en la capa 4.
Expanda el texto a continuación para obtener más información sobre los campos
en el encabezado del paquete IPv4.
Versión
Longitud del encabezado de Internet
Servicios diferenciados o DiffServ (DS)
Longitud total
Identificación, Banderas y Desplazamiento de fragmentos.
Tiempo de Existencia (TTL, siglas en inglés)
Protocolo
Checksum del encabezado
Dirección IPv4 de origen
Dirección IPv4 de destino
Opciones y Relleno
Incompleto 3.1.3 Video - Ejemplo de encabezados IPv4 en Wireshark
Expanda el texto a continuación para obtener más información sobre los campos
en el encabezado del paquete IPv6.
Versión
Clase de tráfico
Etiqueta de flujo
Longitud de la payload(carga útil)
Próximo encabezado
Límite de saltos
Dirección IPv6 de origen
Dirección IPv6 de destino
Haga clic en Reproducir en la figura para ver una demostración de una revisión
de encabezados IPv6 en una captura de Wireshark.
4.0 Atacando lo que hacemos
4.0.1 ¿Por qué debería tomar este
módulo?
Los fundamentos de la red deben estar protegidos, pero no es suficiente para proteger
completamente nuestra red. Los protocolos que se utilizan para llevar a cabo las
actividades diarias de la organización, también deben estar protegidos. Además, los
protocolos y el software que proporcionan servicios a través de la red también pueden
ser el objetivo de los atacantes. Un analista de ciberseguridad debe estar familiarizado
con las vulnerabilidades y amenazas a los fundamentos de la comunicación de red.
1 video
5 laboratorios
1 Actividades de Verifique su Comprensión
1 Prueba del Módulo
Esta animación ilustra cómo un host utilizará ARP para descubrir la dirección MAC de
una dirección IP conocida. El host H1 debe enviar cierta información a un host con la
dirección IP 192 dot 168 dot 1 dot 7. Sin embargo, H1 no tiene la dirección MAC para
esa dirección. Por lo tanto, envía una solicitud A R P a la dirección IP 192.168.1.7.
Todos los hosts de la red recibirán la solicitud ARP. Sin embargo, solo el host H4 con la
dirección IP 192.168.1.7 enviará una respuesta ARP que contenga su dirección MAC.
Luego, H1 puede enviar un sobre al switch que va directamente a H4.
Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP
gratuito”. Esto suele hacerse cuando un dispositivo se inicia por primera vez para
informar a todos los demás dispositivos de la red local sobre la nueva dirección MAC
del dispositivo. Cuando un host envía un ARP gratuito, otros hosts en la subred
almacenan en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho
ARP.
Sin embargo, esta característica de ARP también significa que cualquier host puede
afirmar ser el dueño de cualquier IP/MAC que elija. Un atacante puede envenenar la
caché ARP de los dispositivos en la red local y crear un ataque MiTM para
redireccionar el tráfico. El objetivo es asociar la dirección MAC del atacante con la
dirección IP de la Puerta de enlace por defecto en las caché ARP de los hosts del
segmento LAN. Esto posiciona al atacante entre la víctima y todos los demás sistemas
fuera de la subred local.
Incompleto 4.1.2 Envenenamiento de caché de ARP
El envenenamiento de caché ARP se puede usar para lanzar varios ataques Man-in-
the-middle.
Haga clic en cada botón para ver una ilustración y una explicación del proceso de
envenenamiento de caché ARP.
Solicitud de ARP
Respuesta de ARP
Respuestas ARP gratuitas falsificadas
Nota: Hay muchas herramientas disponibles en Internet para crear ataques de MITM
de ARP, como dsniff, Cain & Abel, ettercap y Yersinia.
Incompleto 4.1.3. Ataques DNS
La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el
funcionamiento de una red y debe protegerse correctamente.
Muchas organizaciones utilizan los servicios de los servidores DNS públicos abiertos,
como GoogleDNS (8.8.8.8), para responder las consultas. Este tipo de servidor DNS se
denomina resolución abierta. Una resolución de DNS abierta responde las consultas de
clientes fuera de su dominio administrativo. Las resoluciones abiertas de DNS son
vulnerables a múltiples actividades maliciosas, como las descritas en la tabla.
Haga clic en cada encabezado para ver las definiciones de los diferentes tipos de
agentes de amenazas.
Para ocultar su identidad, los atacantes también utilizan las siguientes técnicas de DNS
sigilosas para llevar a cabo sus ataques.
Haga clic en cada encabezado para ver las definiciones de los diferentes tipos de
vulnerabilidades de resolución de DNS.
Flujo Rápido
Double IP Flux
Algoritmos de generación de dominio
Los agentes de amenaza que utilizan la tunelización de DNS colocan tráfico que no es
DNS en tráfico DNS. Con frecuencia, este método evita las soluciones de seguridad.
Para que el agente de amenaza use la tunelización de DNS, se modifican los diferentes
tipos de registros de DNS, como TXT, MX, SRV, NULL, A o CNAME. Por ejemplo, un
registro TXT puede almacenar los comandos que son enviados hacia los bots de los
host infectados como respuestas DNS. Un ataque de tunelización de DNS mediante
TXT funciona así:
Para poder detener la tunelización de DNS, debe utilizarse un filtro que inspecciona el
tráfico de DNS. Preste especial atención a las consultas de DNS que son más largas
de lo normal, o las que tienen un nombre de dominio sospechoso. Además, las
soluciones de seguridad DNS, como Cisco Umbrella (Antes conocido como Cisco
OpenDNS), bloquean gran parte del tráfico de la tunelización de DNS identificando
dominios sospechosos. Los dominios asociados con servicios de DNS Dinámico deben
considerarse altamente sospechosos.
La figura muestra una p c del atacante a la derecha, con una flecha apuntando a un
servidor C & C a la izquierda de la p c. El servidor C & C tiene 4 servidores a la
izquierda. Debajo de todos los servidores se encuentra la palabra bots. Al lado de cada
servidor está la palabra bot. Hay una flecha con un tubo encima que va desde el
servidor C & C a los servidores de la parte superior e inferior. También hay una línea
normal con una flecha al final que va desde el servidor C & C apuntando a los dos
servidores del medio. Arriba dice 1. comprometer computadoras. 2. Enviar C & C a los
bots.
Completo 4.1.5 DHCP
4.1.5 DHCP
Los servidores DHCP proporcionan de manera dinámica, información de configuración
de IP a los clientes. La figura muestra la secuencia típica de un intercambio de
mensajes DHCP entre el cliente y el servidor.
Supongamos que un agente de amenaza conecta con éxito un servidor DHCP dudoso
a un puerto de switch en la misma subred que los clientes de destino. El objetivo del
servidor dudoso es proporcionarles a los clientes información de configuración de IP
falsa.
Haga clic en cada botón para ver una ilustración y una explicación de los pasos
en un ataque de suplantación DHCP.
3 Videos
2 actividades de Packet Tracer
4 Actividades de Verifique su Comprensión
1 Prueba del Módulo
Las WLAN también difieren de las LAN conectadas por cable de la siguiente manera:
5.1.4 CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex
significa que solo un cliente puede transmitir o recibir en dado momento. Medios
compartidos significa que todos los clientes pueden transmitir y recibir en el mismo
canal de radio. Esto crea un problema porque un cliente inalambrico no puede
escuchar mientras está enviando, lo que hace que sea imposible detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de
operador con evitación de colisiones (CSMA / CA) para determinar cómo y cuándo
enviar datos. Un cliente inalámbrico hace lo siguiente:
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico
actualmente en el canal. El canal es tambien llamado el portador.
2. Envía un mensaje listo para enviar (Ready to Send)(RTS) al AP para solicitar
acceso dedicado a la red.
3. Recibe un mensaje de permiso para enviar (clear to send) (CTS) desde el AP
garantizando el acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de
tiempo aleatoria antes de reiniciar el proceso.
5. Después de recibir el CTS, transmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el
reconocimiento, asume que ocurrió una colisión y reinicia el proceso.
Completo 5.1.5 Cliente Inalámbrico y Asociación al AP
Descubre un AP inalámbrico
Se autentica con el AP.
Se asocia con el AP.
La figura muestra que para asociarse con un AP, un cliente inalámbrico atraviesa un
proceso de tres etapas. Una computadora portátil representa un cliente inalámbrico que
se esta comunicando de forma inalámbrica con un AP. Una flecha que fluye del cliente
al AP representa la etapa uno en la que el cliente descubre el AP. Abajo de eso una
doble flecha entre los dispositivos representa la etapa de autenticación. Abajo de eso
una doble flecha entre los dispositivos representa la etapa de asociación.
Un AP que envía tres frames beacon que contienen SSID, estándares compatibles y
configuraciones de seguridad que recibe un cliente inalámbrico
Cliente inalámbrico
AP
baliza
baliza
baliza
SSID
Estándares admitidos
Configuración de seguridad
SSID
Estándares admitidos
Configuración de seguridad
SSID
Estándares admitidos
Configuración de seguridad
un cliente inalámbrico está enviando una solicitud de prueba que contiene el SSID y los
estándares compatibles a un AP que envía una respuesta de prueba que contiene el
SSID, los protocolos compatibles y la configuración de seguridad
Cliente inalámbrico
AP
Solicitud de sondeo
SSID
Estándares admitidos
Respuesta de la sonda
SSID
Estándares admitidos
Configuración de seguridad
Incompleto 5.1.7 Verifique su conocimiento — Pasos en el proceso de cliente y AP
Pregunta 1
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
¿Cuáles son los dos eventos que pueden ocurrir en el paso 1 (descubrimiento) del
proceso de asociación de cliente y AP? (Elija dos opciones).
Escuchar las beacon framesl para detectarlos SSID de la WLAN (modo pasivo)
Enviar la dirección MAC del cliente al AP
Enviar una solicitud de sonda para el APcon o sin un SSID conocido(modo activo)
Acepte compartir la autenticación abierta con el AP
Incompleto 5.1.7 Proceso de cliente y AP Paso 2
Pregunta 2
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
¿Cuáles son los dos eventos que pueden ocurrir en el paso 2 (Autenticación) del
proceso de asociación de cliente y AP? (Elija dos opciones).
Enviar la dirección MAC del cliente al AP
Iniciar el proceso de autenticación mediante clave compartida
Aceptar compartir la autenticación abierta con el AP
Recibir la dirección MAC del AP(BSSID)
Incompleto 5.1.7 Proceso de cliente y AP Paso 3
Pregunta 3
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
¿Cuáles son los tres eventos que pueden ocurrir en el paso 3 (Asociación) del proceso
de asociación de cliente y AP? (Escoja tres opciones).
iniciar solicitud de clave compartida
Recibir la dirección MAC del AP(BSSID)
Aceptar compartir la autenticación abierta con el AP
Enviar la dirección MAC del cliente al AP
Recibir el identificador de asociación del AP (AID)
Completo 5.1.8 Dispositivos inalámbricos - AP, LWAP y WLC
Pregunta 1
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
¿Cuál dispositivo debe conectarse a otro dispositivo para obtener acceso a la red?
Terminales
switch
punto de acceso inalámbrico
router
Incompleto 5.1.9 Clientes inalámbricos
Pregunta 2
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
Pregunta 3
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
2 Vídeos
1 Actividad de Packet Tracer
3 Actividades de Verifique su Comprensión
1 Prueba del Módulo
Objetivo del módulo: Explicar cómo se emplean los dispositivos y servicios para
reforzar la seguridad de las redes.
6.1.1 Vídeo - Dispositivos de seguridad
Este es un componente de reproductor multimedia. Seleccione el botón de reproducción/pausa para ver o escuchar.
6.1.2 Firewalls
Un firewall es un sistema o grupo de sistemas que impone una política de control de
acceso entre redes.
Privado y público.
La figura privada y pública muestra una nube dentro de un círculo etiquetado público
(no confiable). La nube se conecta a un firewall a través de s 0/0/0. El puerto de firewall
g 0/0 se conecta a un vlan 1 privado marcado en círculo (de confianza) que tiene un
servidor y dos PC en él. Hay una flecha que va del círculo privado al círculo público con
HTTP, SMTP, y DNS en él. Hay otra flecha que va del círculo público al círculo privado
con las palabras sin acceso.
G0/0S0/0/0
Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que
autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4. Son firewalls
sin estado que utilizan una simple búsqueda en la tabla de políticas que filtra el tráfico
según criterios específicos.
La figura del firewall de filtrado de paquetes (sin estado) muestra las 7 capas del
modelo OSI con las capas 3 y 4 resaltadas. De estas dos filas son las siguientes:
dirección IP de origen, dirección IP de destino, número de puerto del protocolo de
origen, número de puerto de destino, sincronización e inicio de recepción de paquetes.
La figura del firewall con estado muestra las 7 capas del modelo OSI con las capas 3, 4
y 5 enfatizadas.
La figura de firewall de puerta de enlace de aplicación muestra las 7 capas del modelo
OSI con la capa 7 enfatizada y una barra que conecta las capas 7 y 6 con las palabras
firewall de puerta de enlace de aplicación al lado, así como las capas 3, 4 y 5
enfatizadas con las palabras firewall de puerta de enlace de aplicación
Pregunta 1
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
Pregunta 2
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
Pregunta 3
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
Pregunta 4
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
Pregunta 5
Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón enviar a continuación
Al implementar IDS o IPS, es importante conocer los tipos de sistemas disponibles, los
enfoques basados en host y basados en la red, la implementación de estos sistemas, el
papel que desempeñan las categorías de firma y las posibles acciones que puede
adoptar un router de Cisco IOS cuando se detecta un ataque.
Las tecnologías IDS e IPS utilizan firmas para detectar patrones de tráfico de red. Una
firma es un conjunto de reglas que un IDS o IPS utiliza para detectar actividad
maliciosa. Las firmas pueden utilizarse para detectar infracciones graves de seguridad
y ataques de red comunes, y para recopilar información. Las tecnologías IDS e IPS
pueden detectar patrones de firma atómica (paquete individual) o patrones de firma
compuesta (varios paquetes).
Incompleto 6.1.7 Ventajas y desventajas de IDS e IPS
Haga clic en cada botón para obtener más información sobre los sensores IDS e
IPS.
Ventajas de IDS
Desventajas de IDS
Existen dos tipos primarios de IPS disponibles: IPS basados en hosts y con base en la
red.
La tecnología IPS con base en host (HIPS) es un software instalado en un host para
controlar y analizar actividades sospechosas. Una ventaja importante de HIPS es que
puede monitorear y proteger el sistema operativo y los procesos fundamentales del
sistema que son específicos de ese host. Con un conocimiento detallado del sistema
operativo, HIPS puede monitorear la actividad inusual y evitar que el host ejecute
comandos que no coinciden con el comportamiento habitual. Este comportamiento
sospechoso o malicioso podría incluir actualizaciones del registro no autorizadas,
cambios en el directorio del sistema, ejecución de programas de instalación y
actividades que provocan desbordamientos del búfer. También es posible monitorear el
tráfico de red para evitar que el host participe en un ataque de denegación de servicio
(DoS, Denial of Service) o forme parte de una sesión de FTP ilícita.
Una desventaja de HIPS es que actúa solamente a nivel local. No tiene una perspectiva
completa de la red o de los eventos coordinados que podrían estar ocurriendo en toda
la red. Para ser eficaz en una red, HIPS debe instalarse en cada host y ser compatible
con cada sistema operativo.
Seleccione los encabezados para obtener más información sobre las ventajas y
las desventajas de HIPS.
Ventajas
Desventajas
IPS con base en la red
Antes del ataque, AMP fortalece las defensas y brinda protección contra
amenazas conocidas y emergentes.
Durante un ataque, AMP identifica y bloquea tipos de archivo que infrinjan las
políticas, intentos de ataque y archivos maliciosos que intenten infiltrarse en la
red.
Después de un ataque o de la inspección inicial de un archivo, AMP no solo se
queda en las funcionalidades de detección en un momento determinado, sino
que también analiza y controla constantemente toda la actividad y el tráfico de
archivos, independientemente de su ubicación, y busca detectar cualquier
indicador de comportamiento malicioso. Si un archivo con una condición
desconocida o que anteriormente se consideró “buena” comienza a comportarse
mal, AMP lo detectará e inmediatamente generará una alerta para los equipos
de seguridad con un indicador del riesgo. Luego proporciona visibilidad del lugar
de origen del malware, los sistemas que se vieron afectados y la actividad del
malware.
Deben aplicarse para que las aplicaciones sensibles al tiempo no se vean afectadas
negativamente
5 laboratorios
2 Actividades de Verifique su Comprensión
1 Prueba del Módulo
MS-DOS utiliza una línea de comandos como interfaz para que las personas creen
programas y manipulen archivos de datos, como se muestra en la salida del comando.
Los comandos DOS se muestran en negrita.
Starting MS-DOS...
HIMEM is testing extended memory... done.
C:∖> C:∖DOS∖SMARTDRV.EXE /X
C:∖> dir
Volume in drive C is MS-DOS_6
Volume Serial Number is 4006-6939
Directory of C:∖
DOS <DIR> 05-06-17 1:09p
COMMAND COM 54,645 05-31-94 6:22a
WINA20 386 9,349 05-31-94 6:22a
CONFIG SYS 71 05-06-17 1:10p
AUTOEXEC BAT 78 05-06-17 1:10p
5 file(s) 64,143 bytes
517,021,696 bytes free
C:∖>
Actualmente, muchas de las cosas que solían hacerse a través de la interfaz de línea
de comandos de MS-DOS se pueden hacer en la GUI de Windows. Todavía es posible
experimentar lo que era usar MS-DOS abriendo una ventana de comando, pero lo que
vemos ya no es MS-DOS, sino una función de Windows. Para experimentar un poco lo
que era trabajar en MS-DOS, abran una ventana de comando escribiendo cmd en la
búsqueda de Windows y presionando Entrar. La tabla muestra algunos comandos que
puede utilizar. Introduzca help seguido del comando para obtener más información
sobre el comando.
dir Muestra una lista de todos los archivos en el directorio actual (carpeta)
help Muestra todos los comandos que se pueden utilizar, con una breve descripción
A menudo, al hacer clic derecho sobre un icono se presentan funciones adicionales que
pueden utilizarse. Esta lista se conoce como menú contextual, que se muestra en la
figura.
Existen menús contextuales para los iconos en el área de notificación y también para
los iconos de inicio rápido, los iconos de configuración del sistema y para los archivos y
carpetas. El menú contextual permite tener acceso a muchas de las funciones más
utilizadas con apenas un clic. Por ejemplo, el menú contextual para un archivo
contendrá elementos como copiar, eliminar, compartir e imprimir. Para abrir carpetas y
manipular archivos, Windows utiliza el explorador de archivos de Windows.
Incompleto 7.1.4 Vulnerabilidades del Sistema Operativo
Haga clic en cada uno de los encabezados a continuación para ver algunas
recomendaciones comunes de seguridad del sistema operativo Windows.
Estudie este módulo para aprender información básica sobre el sistema operativo Linux
y aprender algunas habilidades de Linux. Las habilidades de Linux son muy deseables
en la profesión de operaciones de ciberseguridad.
Incompleto 8.0.2 ¿Qué aprenderé en este módulo?
2 Vídeos
7 laboratorios
1 Prueba del Módulo
Otro aspecto importante de Linux es que está diseñado para conectarse a la red, lo que
facilita mucho la escritura y el uso de aplicaciones con base en la red. Dado que Linux
es de código abierto, cualquier persona o empresa puede obtener el código fuente del
kernel, examinarlo, modificarlo y volver a compilarlo cuando lo desean. También
pueden redistribuir el programa con o sin costo.
Una distribución de Linux es el término que se utiliza para describir paquetes creados
por distintas organizaciones. Las distribuciones de Linux (o distros) incluyen el kernel
de Linux con herramientas y paquetes de software personalizados. Si bien algunas de
estas organizaciones pueden cobrar el soporte de su distribución de Linux (orientado a
empresas con base en Linux), la mayoría también ofrece la distribución gratis sin
soporte. Debian, Red Hat, Ubuntu, CentOS y SUSE son solo algunos ejemplos de
distribuciones de Linux.
Completo 8.1.2 El Valor de Linux
Linux es de código abierto - Cualquier persona puede adquirir Linux sin cargo y
modificarlo según sus necesidades específicas. Esta flexibilidad les permite a analistas
y administradores diseñar un sistema operativo específicamente para análisis de
seguridad.
La CLI de Linux es muy potente - mientras que una GUI facilita muchas tareas,
agrega complejidad y requiere más recursos de la computadora para funcionar. La
interfaz de línea de comandos (CLI) de Linux es extremadamente potente y permite a
los analistas realizar tareas no solo directamente en la terminal sino que también de
manera remota.
El usuario tiene más control sobre el sistema operativo - el usuario de administrador
en Linux, conocido como el usuario root o superusuario, tiene poder absoluto sobre la
computadora. A diferencia de otros sistemas operativos, el usuario root puede modificar
cualquier aspecto de la computadora con unas pocas pulsaciones de teclas. Esta
capacidad resulta especialmente útil cuando se trabaja con funciones de niveles
inferiores, como la pila de red. Le permite al usuario root tener un control preciso sobre
la manera en que el sistema operativo maneja los paquetes de red.
Permite mejorar el control de comunicación de la red - El control es inherente a
Linux. Debido a que es posible ajustar el sistema operativo en cualquier aspecto, es una
gran plataforma para crear aplicaciones de red. Por este mismo motivo, muchas
excelentes herramientas de software con base en la red están disponibles únicamente
en Linux
Incompleto 8.1.3 Linux en el SOC
3 Videos
4 laboratorios
3 Actividades de Verifique su Comprensión
1 Prueba del Módulo
Objetivo del módulo: evaluar la protección de terminales y los impactos del malware.
9.1.1 Avatar
El sistema operativo desempeña un rol importante en la operación de un sistema
informático y es el objetivo de muchos ataques. Por lo tanto, nuestro primer trabajo
como profesionales de ciberseguridad es proteger el sistema operativo.
¿Qué debe hacer una organización para fortalecer un sistema operativo y mantenerlo
seguro?
Un buen administrador
Se le ha pedido que identifique los tipos de programas antimalware que @Apollo puede
utilizar para ayudar a proteger sus sistemas y dispositivos.
Seleccione las flechas para obtener más información sobre qué son los parches
y cómo funcionan.
Los parches son actualizaciones de códigos que proporcionan los fabricantes para
evitar que un virus o gusano recientemente descubierto logre atacar con éxito. Los
parches y las actualizaciones a menudo se combinan en un paquete de servicios. Se
podrían haber evitado muchos ataques de malware si los usuarios hubieran instalado el
último Service Pack.
Una solución basada en el host es una aplicación de software que se ejecuta en una
computadora host local para protegerla. El software funciona con el sistema operativo
para prevenir ataques.
El HIDS almacena todos los datos de registro localmente. El rendimiento del sistema
puede verse afectado debido a su uso intensivo de los recursos. Un sistema de
detección de intrusiones basado en el host no puede supervisar el tráfico de red que no
alcanza el sistema host, pero puede monitorear los procesos del sistema crítico y el
sistema operativo específicos del host.
HIPS es un software que monitorea un dispositivo en busca de ataques conocidos y
anomalías (desviaciones en el ancho de banda, protocolos y puertos), o encuentra
señales de alerta al evaluar los protocolos reales en los paquetes. Si detecta actividad
maliciosa, la herramienta HIPS puede enviarle una alarma, registrar la actividad
maliciosa, restablecer la conexión y / o descartar los paquetes.
EDR es una solución de seguridad integrada que monitorea y recopila continuamente
datos de un dispositivo terminal. Luego analiza los datos y responde a cualquier
amenaza que detecte. Un antivirus solo puede bloquear contra amenazas, mientras
que EDR puede hacer eso y encontrar amenazas en el dispositivo.
Las herramientas de DLP proporcionan una manera centralizada de garantizar que los
datos no confidenciales no se pierdan, se usen mal ni se acceda a ellos por usuarios no
autorizados.
NGFW es un dispositivo de seguridad de red que combina un firewall tradicional con
otras funciones de filtrado de dispositivos de red. Por ejemplo, un firewall de
aplicaciones que utiliza la inspección profunda de paquetes (DPI) en línea en un
sistema de protección contra intrusiones (IPS).
Completo 9.1.7 Avatar
9.1.7 Avatar
La encriptación es una herramienta que se usa para proteger datos. La encriptación
transforma los datos con un algoritmo complicado para que no puedan leerse.
Unified Extensible Firmware Interface (UEFI), una versión más reciente de BIOS, define
una interfaz estándar entre el sistema operativo, el firmware y los dispositivos externos.
Se prefiere un sistema que use UEFI sobre uno que use BIOS porque un sistema UEFI
puede ejecutarse en modo de 64 bits.
Seleccione las flechas para conocer las medidas de seguridad que se pueden
tomar.
Equipo de cómputo
Play Video
Incompleto 9.1.16 Lab - recuperación de contraseñas
Recuperación de contraseñas
Completo A continuación...
A continuación...
Para proteger un sistema o dispositivo, debe utilizar software antimalware. Veamosesto
más detalladamente.
10.0 Principios, prácticas y
procesos de ciberseguridad
0.0.1 ¿Por qué debería tomar este
módulo?
Si bien es cierto que los ataques cibernéticos ocurren cada vez con más frecuencia en
todo el mundo, también es cierto que los profesionales de ciberseguridad tienen una
creciente lista de herramientas y técnicas para combatir estos ataques. Aprenderá
sobre la tríada de la CIA de confidencialidad, integridad y disponibilidad de datos, y los
tres estados de datos. Obtendrá una descripción general de las herramientas y los
procesos que se utilizan para proteger los datos. También aprenderá sobre aspectos
de políticas y pautas de seguridad. Este módulo le brinda una base excelente de
conocimientos de ciberseguridad sobre la que puede construir a medida que continúa
sus estudios.
Completo 10.0.2 ¿Qué aprenderé en este módulo?
3 Vídeos
2 laboratorios
2 actividades de Packet Tracer
1 Prueba del Módulo
Objetivo del módulo: utilizar las mejores prácticas de ciberseguridad para mejorar la
confidencialidad, la integridad y la disponibilidad.
10.1.1 Avatar
Bienvenido, aprendiz. Después de analizar las amenazas y los dominios de amenazas
que pueden atacar, espero poder mostrarles todo lo que sé sobre los principios, las
prácticas y los procesos relacionados con la ciberseguridad. Es fantástico ver el
desarrollo de su carrera en ciberseguridad.
Recuerde, al final de este módulo, puede pasar al siguiente nivel de capacitación, así
que asegurémonos de detener a estos ciberdelincuentes y ayudar a mantener la
información confidencial, los servidores y los sistemas seguros en @Apollo.
2. Estados de datos
El dominio del ciberespacio contiene una cantidad considerable de datos de
importancia crítica. ¿Pero en qué estado? La segunda dimensión del cubo de
ciberseguridad representa los tres estados de datos posibles:
Datos en tránsito
Datos al macenados
Datos en proceso
3. Medidas de seguridad
La tercera dimensión del cubo de ciberseguridad define los pilares en los que debemos
basar nuestras defensas de ciberseguridad para proteger los datos y la infraestructura
en el ámbito digital.
DRM protege el material con derechos de autor, como música, películas o libros.
Cuando dicho contenido aparece en forma digital (por ejemplo, en CD, mp3 o libro
electrónico), se cifra, por lo que los medios no se pueden copiar sin la clave de
descifrado. La clave de descifrado está disponible solo para las partes con licencia.
IRM se utiliza con correo electrónico y otros archivos que son relevantes para las
actividades y las comunicaciones de una organización. Cuando esta información se
comparte con otros, IRM permite que el propietario del documento, la organización o
uno de sus miembros controlen y administren el acceso al documento.
Incompleto 10.1.4 Protección de la privacidad de los datos
Ahora que conoce los aspectos básicos sobre la protección de datos confidenciales,
recuerde que las organizaciones recopilan una gran cantidad de datos y, si bien gran
parte de ellos están a disposición del público, algunos datos son información
confidencial que debe mantenerse confidencial.
A medida que @Apollo crece, habrá cada vez más datos confidenciales que deben
protegerse contra el acceso no autorizado.
10.1.5 Avatar
Algunas organizaciones implementan tecnologías de mejora de la privacidad, como el
anonimato, la minimización de datos y la tokenización para ayudar a resolver los
problemas de privacidad de datos.
Sigamos explorando los principios de seguridad de los datos. ¡Lo está haciendo muy
bien!
Incompleto 10.1.6 Integridad de Datos
Los métodos utilizados para garantizar la integridad de los datos incluyen la función de
hash, las comprobaciones de validación de datos, las comprobaciones de consistencia
de los datos y los controles de acceso. Los sistemas de integridad de datos pueden
incluir uno o más de estos métodos.
Sin embargo, la importancia de la integridad de los datos varía según la forma en que
una organización utiliza sus datos. Por ejemplo, un banco o una organización financiera
asigna una mayor importancia a la integridad de los datos que un canal de redes
sociales.
Nivel crítico
Los blogs, los foros y las páginas personales en las redes sociales cuentan con el
respaldo de la opinión pública y de contribuciones abiertas. Los datos pueden no
verificarse en absoluto, y hay un bajo nivel de confianza en el contenido.
Incompleto 10.1.7 Disponibilidad
10.1.7 Disponibilidad
Pregunta de opción múltiple
¿Puede identificar las causas comunes de fallas del sistema que pueden afectar
la disponibilidad de datos?
Cuando seleccione 'Inicio', se le presentarán una serie de opciones. Toque 'Sí' si cree
que esto podría causar fallas en el sistema que pueden afectar la disponibilidad de
información, sistemas y servicios. De lo contrario, toque “No”.
Completo 10.1.8 Avatar
10.1.8 Avatar
Hay muchos motivos por los que los ciberdelincuentes desean interrumpir la
disponibilidad de un servicio o sistema, o incluso archivos y datos.
Eliminar un sitio web de un competidor, por ejemplo, puede proporcionar una ventaja a
su competencia. Estos ataques de denegación de servicio (DoS) amenazan la
disponibilidad del sistema y evitan que los usuarios legítimos tengan acceso y usen
sistemas de información cuando sea necesario.
Hay muchas medidas que las organizaciones pueden implementar para garantizar la
disponibilidad de sus servicios y sistemas.
Analicemos algunos ejemplos. A medida que los lea, piense cuáles podrían ser
adecuados para @Apollo.
Play Video
Incompleto 10.1.11 Lab - El Cubo de Hechicería de Ciberseguridad Scatter Quizlet
Play Video
Incompleto 10.1.13 Packet Tracer - Verificación de la Integridad de Datos y Archivos
Play Video
Incompleto 10.1.15 Packet Tracer - exploración del cifrado de archivos y datos
10.1.15 Packet Tracer - exploración del
cifrado de archivos y datos
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
Exploración del cifrado de archivos y datos Exploración del cifrado de archivos y datos
Completo 10.1.16 Siguiente ...