Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DIplomado CD - Mod 2 V1.0
DIplomado CD - Mod 2 V1.0
ciberseguridad
Adrián E. Rodríguez
CISSP, CISM, GCFA, GSEC, ISO Lead Auditor
Cronograma
• Módulo I: Introducción general
• Módulo II: Seguridad avanzada en redes
• Módulo III: Inteligencia WEB / OSINT
– Perfilado
• Módulo IV: Inteligencia y forense
– Investigación forense
– Recolección de evidencia
• Módulo V: Aplicaciones seguras
• Módulo VI: Ataques y vulnerabilidades
– Detección de vulnerabilidades
– Explotación
Módulo II: Seguridad en
redes
Adrián E. Rodríguez
CISSP, CISM, GCFA, GSEC, ISO Lead Auditor
Contenido
DEFENSA
Introduccion
Arquitecturas comunes
Firewalls
IDS/IPS
Honeypots
Defensa en profundidad
Ataque/defensa
Introducción
Redes
• Encripción. (Datos)
• Aseguramiento de servidores.
DMZ
WAN
NIDS
INTERNET FIREWALL
LAN (Usuarios)
SERVIDORES
CRITICOS
Pros / Contras
PROS CONTRAS
• Se tienen segmentados los • El Firewall un punto de falla
servidores de Internet
para los servicios externos
• El Firewall no permite conexiones
directas desde Internet • Los servicios internos NO
• El IDS analiza todo el tráfico que dependen del Firewall
llega y sale del Firewall hacia • No se tiene control sobre los
Internet acceso internos a los
• Se puede integrar todo el esquema servidores críticos
con Antivirus, IDS, servidores de
Autenticación • Están en el mismo segmento
• Se pueden realizar conexiones los usuarios y los servidores
desde Internet hacia la red interna críticos
por medio de VPN.
Arquitecturas comunes
DMZ
WAN
NIDS
FIREWALL
INTERNET LAN (Usuarios)
MZ
SERVIDORES
CRITICOS
Pros / Contras
PROS CONTRAS
• Se tienen aislados los • Los servicios internos
servidores críticos de la red dependen del Firewall
LAN
• El rendimiento de las
• El Firewall controla las aplicaciones se puede
conexiones hacia los ver afectado por el
servidores críticos Firewall.
Arquitecturas comunes
DMZ WAN
NIDS
FIREWALL FIREWALL
INTERNET
LAN (Usuarios)
MZ
SERVIDORES
CRITICOS
Pros / Contras
PROS CONTRAS
• Se tienen segmentados los • Se requieren mecanismos de alta
servidores críticos de la red disponibilidad en el Firewall
LAN
Interno y Externo.
• Los servidores críticos no
dependen del Firewall de • Rendimiento de las aplicaciones
Internet (Perimetral).
• La red WAN (pequeña
Internet) esta controlada por
el Firewall
• Crecimiento (Segmentación
por usuarios)
Arquitecturas comunes
WAN
DMZ
NIDS
INTERNET FIREWALL
FIREWALL
LAN (Usuarios)
SERVIDORES
CRITICOS
Pros / Contras
PROS CONTRAS
• Se puede realizar • Se requieren mecanismos de alta
interconexión entre disponibilidad en el Firewall
diferentes redes o empresas Interno y Externo.
de manera segura usando • Rendimiento de las aplicaciones
Internet
• Se puede manejar
administración
independiente.
FIREWALLS
Qué es un firewall ?
• Una herramienta para proteger redes.
• Una herramienta para controlar el trafico entre
redes..
• Una herramienta que permite controlar accesos hacia
y desde una red de confianza.
• Un elemento de seguridad que permite detectar
ataques a nivel de red.
• Un elemento que forma parte de la política de
seguridad de una organización, no es la política de
seguridad de una organización.
• Permite el uso de reglas para autorizar o denegar el
acceso.
• La mayoría permite llevar registros (logs) de las
conexiones.
Por qué la necesidad de un firewall ?
• Porque la cantidad y calidad de ataques cada día
es superior.
• Porque siempre es necesario controlar las
conexiones entre redes confiables y redes que no
son de confianza.
• Para prevenir los accesos no autorizados a las
redes.
• Porque es necesario que el Administrador del
sistema pueda llevar una auditoría y un registro de
todas las conexiones que pasan por el firewall, ya
que estos son bastante útiles en el momento de
investigar un incidente de seguridad informática.
Tipos de firewalls existentes.
• Packet Filters
• Stateful Inspection.
Packet Filters.
Cliente Servidor
Envío Syn 1
Recepción Syn
2 Envío Syn/Ack
Recepción Syn/Ack
Envío Ack 3
Recepción Ack
Envío Fin Datos
Recepción Fin
Recepción Ack Envío Ack
Reseteo de conexiones
Cliente Servidor
Envío Syn 1
Recepción Syn
2 Envío Syn/Ack
Recepción Syn/Ack
Envío Ack 3
Recepción Ack
Datos
Envío Rst
Recepción Rst
Teoría del ICMP
Orígenes y Utilización
• Internet Control Message Protocol
• Fue concebido originalmente como un mecanismo de
reportar
• Condiciones de error y el envío y recepción de solicitudes
simples.
• No utiliza puertos y va encapsulado en el Datagrama IP.
Aplicación
Transporte
TCP Y UDP
Echo Reply
Trafico IP
Source quench
Admin prohibited
Host Unreachable
Actividad Maliciosa Smurf
Paso 1: Se envía un Echo request a una dirección
Broadcast con dirección fuente falsa de victima.com
Victima.com
Actividad Maliciosa TFN
TFN Daemons
Victima
HIDS.
Desventajas
• Si el detector identifica una conexión legitima con un
ataque puede generar problemas de conectividad.
SNORT
SNORT
Snort
Packet Stream
Data Flow
Preprocessor
(Plug-ins)
Detection Engine
(Plug-ins)
Output Stage Alerts/Logs
(Plug-ins)
Reglas
FIREWALL
Atacante SERVIDORES
CRITICOS
HoneyPots
FIREWALL
Atacante SERVIDORES
CRITICOS
DEFENSA EN PROFUNDIDAD
DEFENSA EN PROFUNDIDAD
Taller: Blue team
Taller
Taller: Análisis de Captura
Taller: Reporte de Incidente
Preguntas?