en_ccnas_v11_ch01 español.pdf

© 2012 Cisco and/or its affiliates. All rights reserved. 1

Red Moderna Amenazas a la Seguridad


– Para proteger los bienes!

– Históricamente hecho a través de la seguridad física y redes cerradas

Red Cerrada


• Con el advenimiento de las computadoras personales, redes de área local y en el mundo muy abierto de Internet, las redes de hoy en día están más abiertos.

Red Cerrada


• Hay cuatro clases principales de las amenazas a la seguridad de la red:

– Amenazas no estructuradas

– Amenazas estructurados

– Las amenazas externas

– Las amenazas internas.


Restrictivo

Open Closed

Politicas de Seguridad

Empresa de seguridad de

red

seguridad de las

aplicaciones


Permitir que todo de forma explícita.

• Fácil de configurar y administrar. • Fácil para los usuarios de la red. • Costos de seguridad: Menos caras.


La combinación de permisos específicos y restricciones específicas

• Más difícil de configurar y administrar. • Usuarios de la red más difíciles. • Costo de seguridad: más caros.


• Más difícil de configurar y administrar. • Usuarios de la red más difíciles. • Costo de seguridad: más caros.

Es lo que no está permitido explícitamente denegado.


Evolución de la Red de Seguridad


Las amenazas son cada vez más sofisticados como los conocimientos técnicos necesarios para poner en práctica y disminuir los ataques.


• El gusano Morris o gusano de Internet fue el primer gusano informático distribuido a través de Internet.

• Fue escrito por un estudiante de la Universidad de Cornell, Robert Tappan Morris, y puso en marcha el 2 de noviembre de 1988 del MIT.

• Es considerado el primer gusano y fue sin duda el primero en obtener corriente significativa atención de los medios.

– También dio lugar a la primera condena en los EE.UU. bajo la Ley de Fraude y Abuso de 1.986 equipos.


• De acuerdo con Morris, el gusano no fue escrito para causar daños, pero para medir el tamaño de la Internet.

– Pero el gusano fue liberado de MIT, Cornell, donde Morris no era estudiante.

• El gusano Morris trabajó mediante la explotación de vulnerabilidades conocidas en Unix sendmail, Finger, rsh / rexec y contraseñas débiles.

• Por lo general, se informó que alrededor de 6.000 grandes máquinas Unix estaban infectados por el gusano Morris.

– El costo de los daños se estimó en $ 10M-100M.


• El gusano Morris llevó DARPA para financiar la creación del CERT / CC en la Universidad Carnegie Mellon para dar a los expertos un punto central para la coordinación de las respuestas a las emergencias de la red.

• Robert Morris fue juzgado y declarado culpable de violar la Ley de Abuso y Fraude y 1986 Computer.

– Después de apelación que fue condenado a tres años de libertad condicional, 400 horas de servicio comunitario y una multa de $ 10.000.


• El gusano Code Red fue un ataque DoS y fue lanzado el 19 de julio de 2001 y atacó a los servidores web a nivel mundial, infectando a más de 350 mil sitios y, a su vez afectó a millones de usuarios.


• Code Red:

– Páginas web infectadas.

– Interrumpido el acceso a los servidores infectados y redes locales que albergan los servidores, lo que son muy lentos o inutilizable.

• Profesionales de la red responden lentamente a los parches del sistema, que sólo agravan el problema.


• El "Código Rojo" gusano intenta conectarse al puerto TCP 80 en un host elegido al azar el supuesto de que se encuentra un servidor web.

– Tras una conexión satisfactoria con el puerto 80, el host atacante envía una solicitud GET HTTP diseñado para la víctima, tratando de explotar un desbordamiento de búfer en el Servicio de Index Server.

• Lo mismo exploit (solicitud GET HTTP) se envía a otras máquinas elegidas al azar debido a la naturaleza propia de propagación del gusano.

– Sin embargo, dependiendo de la configuración de la máquina que recibe esta solicitud, hay variadas consecuencias.


• Si el exploit fue un éxito, el gusano comenzó ejecutando en el host víctima.

– En la variante anterior del gusano, hosts víctimas experimentaron la siguiente deformación en todas las páginas solicitadas al servidor:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

• Actividad de gusanos real en un sistema afectado, era sensible al tiempo y actividad diferente se produjo en base a la fecha del reloj del sistema:

– Día 1 - 19: El anfitrión infectado intentará conectarse al puerto TCP 80 de direcciones IP escogidas al azar con el fin de propagar aún más el gusano.

– Día 20 - 27: La denegación de paquetes inundaciones del ataque del servicio se pondrá en marcha en contra de una dirección IP fija en particular.

– Día 28 - fin de mes: El gusano "duerme"; ninguna conexión activa o denegación de servicio.


• Aunque el gusano reside enteramente en la memoria, un reinicio de la máquina purgarlo del sistema.

– Sin embargo, el sistema de aplicación de parches para la vulnerabilidad subyacente sigue siendo imperativo, ya que la probabilidad de re-infección es bastante alta debido a la rápida propagación del gusano.

• Profesionales de la seguridad de red deben desarrollar e implementar una política de seguridad que incluye un proceso para mantener continuamente pestañas de avisos de seguridad y parches.


• Fue una llamada de atención para los administradores de red.

– Se hizo muy evidente que los administradores de seguridad de red deben parchear sus sistemas periódicamente.

• Si los parches de seguridad se han aplicado en el momento oportuno, el gusano Code Red sólo merecería una nota al pie en la historia de la seguridad de red.


• http://www.cert.org/advisories/CA-2001-19.html

http://www.cert.org/advisories/CA-2001-19.html






Drivers para Seguridad de la Red


• Phreaker: Un individuo que manipula la red de telefonía con el fin de hacer que se ejecute una función que normalmente no se les permite, como para hacer llamadas de larga distancia gratis.

– Captain Crunch (John Drapper)

• Spammer: Persona que envía grandes cantidades de mensajes de correo electrónico no solicitados.

– Los spammers a menudo utilizan los virus para tomar el control de los ordenadores para enviar sus mensajes a granel.

• Phisher: Individual utiliza correo electrónico u otros medios en un intento de engañar a los demás para que proporcionen información confidencial, como números de tarjetas de crédito o contraseñas.

Captain-Crunch-Whistle.mp3


• 1960s - Freaks Teléfono (Phreaks)

• 1980s - Wardialing (WarGames)

• 1988 - Gusano de Internet

• 1993 - Primera conferencia de hacking Con def celebrada

• 1995 - Primeros 5 años de prisión federal por piratería

• 1997 - Nmap liberados

• 1997 - Primeras scripts maliciosos utilizados por script kiddies

• 2002 - Melissa virus creador tiene 20 meses de cárcel.


• El primer virus de correo electrónico, el virus Melissa, fue escrito por David Smith y dio lugar a desbordamientos de memoria en los servidores de correo de Internet.

– David Smith fue condenado a 20 meses de prisión federal y una multa de 5.000 dólares EE.UU..


• Robert Morris creó el primer gusano de Internet con 99 líneas de código.

– Cuando el gusano Morris fue puesto en libertad, el 10% de los sistemas de Internet se paralizó.


• MafiaBoy era el alias de Internet de Michael Calce, a 15 años de edad, estudiante de secundaria de Montreal, Canadá.

• Lanzó ataques DoS muy publicitados en febrero 2000 contra Yahoo!, Amazon.com, Dell, Inc., E * TRADE, eBay y CNN.


• En 2001, el Tribunal de Menores de Montreal le condenó el 12 de septiembre de 2001 y ocho meses de "custodia abierta", un año de libertad condicional, el uso limitado de Internet, y una pequeña multa.

• En 2005, el Sr. Calce escribió como columnista en temas de seguridad informática para el diario francófono Le Journal de Montréal.

• En 2008, publicó Mafiaboy: "¿Cómo se rompió el Internet y por qué aún está rota."

• Él también ha hecho numerosas apariciones en televisión.


• Aumento de los ataques de red

• El aumento de sofisticación de los ataques

• El aumento de la dependencia de la red

• Conexión inalámbrica

• La falta de personal capacitado

• La falta de conciencia

• La falta de políticas de seguridad

• Legislación

• Litigio.


• Las organizaciones que operan redes vulnerables se enfrentan a la responsabilidad creciente y sustancial.

– http://en.wikipedia.org/wiki/Information_security#Laws_and_regulations

• La legislación federal obliga a EE.UU. de seguridad incluye lo siguiente:

– Legislación sobre servicios financieros Gramm-Leach-Blilely (GLB) factura

– Ley de Reforma de la Seguridad de Información del Gobierno

– Portabilidad del Seguro de Salud y la Ley de Responsabilidad de 1996 (HIPAA)

– Ley de Protección de Niños en Internet (CIPA)

– Estándar de Seguridad de los datos de Industria de Tarjeta el-Pago (PCI DSS)

– Ley Sarbanes-Oxley de 2002

http://en.wikipedia.org/wiki/Information_security

http://en.wikipedia.org/wiki/Information_security


• Profesionales de la seguridad de red deben colaborar con colegas de profesión con más frecuencia que la mayoría de otras profesiones.

– Asistir a talleres y conferencias que a menudo están afiliados, patrocinados u organizados por las organizaciones de tecnología local, nacional o internacional.

• También se debe saber acerca de diversos organismos de seguridad que proporcionan ayuda sobre:

– Detectar y responder a las nuevas amenazas a la seguridad, tanto de información establecido.

– Debilidades del sistema operativo, las mejores prácticas para la seguridad y la capacitación de seguridad e información de certificación también está disponible.


Seguridad de Red en las Organizaciones


• Tres de los más prestigiosos organismos de seguridad de la red son:

– Equipo de Respuesta de Emergencia de Ordenador (CERT)

– Administrador del sistema, Revisión de cuentas, Red, Seguridad (SANS) Instituto

– Internacional de Sistemas de Información del Consorcio de Certificación de Seguridad (pronunciar (ISC) 2 como "ISC-cuadrado")

• Cisco también tiene las Operaciones de Inteligencia de Seguridad (SIO)


Políticas de Seguridad de Redes y Dominios


• También es importante tener una comprensión de los diversos dominios de seguridad de la red.

– Dominios proporcionan un marco organizado para facilitar el aprendizaje acerca de la seguridad de la red.

• ISO / IEC 27002 especifica 12 dominios de seguridad de red.

– Estos 12 dominios sirven para organizar en un nivel alto el amplio mundo de la información en el marco de seguridad de la red.

– Los 12 dominios tienen el propósito de servir como una base común para la elaboración de normas de seguridad de la organización y las prácticas eficaces de gestión de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales.


• Esta arquitectura incluye las siguientes cinco componentes principales:

– Motores de Detección - dispositivos de nivel de red que examinan el contenido, autentican a los usuarios e identificar las aplicaciones. Pueden incluir firewall / IPS, proxy o una fusión de ambos.

– Mecanismos de entrega - La forma en que el motor de exploración se lleva a cabo en la red. Puede ser a través de un dispositivo independiente, una cuchilla en un router, o un paquete de software.

– Operaciones de Inteligencia de Seguridad (SIO) - una base de datos de control del tráfico, que se utiliza para identificar y detener el tráfico malicioso.

– Consolas de gestión de políticas - creación y gestión que determina lo que las acciones de los motores de análisis se llevarán Política.

– Punto final de la próxima generación - Cualquier variedad de dispositivos. Todo el tráfico hacia o desde estos dispositivos se señaló a un escáner.


Malware / Código Malicioso


• Hay cuatro tipos de ataques:

– Código malicioso: virus, gusanos y caballos de Troya

– Los ataques de reconocimiento

– Ataques de acceso

– Ataques de Denegación de Servicio (DoS).

Vamos a centrarnos en código malicioso


• "Software malicioso" es un software diseñado para infiltrarse en un ordenador sin el consentimiento del propietario.

• Malware incluye:

– Los virus informáticos

– Gusanos

– Caballos de Troya

– Rootkits

– Puertas traseras (Método de eludir los procedimientos normales de autenticación y por lo general se instala con troyanos o gusanos.)

– Con fines de lucro (spyware, botnets, registradores de pulsaciones de teclas, y dialers).


• El spyware es una categoría estrictamente con fines de lucro de malware diseñado para:

Supervisar a los usuarios que navegan por la web.

Mostrar anuncios no solicitados.

Redireccionar ingresos de marketing de afiliados para el creador spyware.

• Los programas de spyware se instalan y generalmente explotan agujeros de seguridad o programas de caballo de Troya, como la mayoría de las aplicaciones punto a punto


• Los Gusanos y los virus fueron escritos como experimentos o bromas generalmente destinados a ser inofensivos o simplemente molestos en lugar de causar graves daños a los equipos.

• Los Programadores jóvenes aprenden acerca de los virus y escriben sus técnicas con el único propósito para ver hasta dónde podría extenderse.

• En algunos casos, el autor o autores no se dieron cuenta de cuánto daño podían hacer sus creaciones.

• Todavía en 1999, los virus como Melissa parece haber sido escrito principalmente como bromas.


• La escritura de código malicioso ha cambiado por razones de rentabilidad.

– Principalmente debido a la Internet y al acceso del ancho de banda.

− Desde 2009, la mayoría de los virus y gusanos han sido diseñados para tomar el control las computadoras de los usuarios para la explotación del mercado negro.

− Infectados "ordenadores zombis" se utilizan para enviar spam de correo electrónico, para recibir datos de contrabando, o de participar en los ataques DDoS como forma de extorsión.

• En 2011, Symantec publicó:

− La velocidad de liberación de los códigos maliciosos y otros programas no deseados puede ser superior a la de las aplicaciones de software legítimos.


• Un virus es un software malicioso que se une a otro programa para ejecutar una función particular no deseada, de la estación de trabajo de un usuario.

• Un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria de la computadora infectada, e infecta a otros hosts.

• Un caballo de Troya es diferente sólo en que toda la aplicación se escribió para que parezca otra cosa, cuando en realidad se trata de una herramienta de ataque.


• Un virus informático es un programa informático malicioso (archivo ejecutable), que puede copiarse a sí mismo e infectar un ordenador sin el permiso o conocimiento del usuario.

• Un virus no puede propagarse de un ordenador a otro sino a través de:

– Enviarlos en un archivo, Email o a través de una red

– Llevar en un medio extraíble.

Los virus necesitan intervención del usuario para propagarse ...


• Algunos virus están programados para dañar el ordenador por programas dañinos, borrando archivos, o formatear el disco duro.

• Otros no están diseñados para hacer ningún daño, sino que simplemente se replican a sí mismos y tal vez conocer su presencia mediante la presentación de texto, vídeo o mensajes de audio.


• Los gusanos son un tipo especialmente peligroso de código hostil.

– Ellos replican a sí mismos mediante la explotación de vulnerabilidades de forma independiente en las redes.

– Los gusanos suelen volver lentas redes.

• Los gusanos NO NECESITAN LA INTERVENCIÓN DEL USUARIO!

– Los gusanos no requieren de la participación del usuario y se pueden propagar muy rápido por la red.


• En enero de 2001, el gusano SQL Slammer relentizó el tráfico global de Internet como resultado de DoS.

• Más de 250 mil maquinas se vieron afectadas en los 30 minutos de su lanzamiento.

• El gusano explota un error de desbordamiento de búfer en Microsoft SQL Server.

• Un parche para esta vulnerabilidad fue lanzado a mediados de 2002, por lo que los servidores en los que se vieron afectados fueron aquellos que no tienen el parche de actualización aplicado.


• La vulnerabilidad permite

– Un gusano se instala utilizando un vector de exploit en un sistema vulnerable.

• Mecanismo de propagación

– Después de acceder a los dispositivos, un gusano se replica y selecciona nuevas metas.

• Carga útil

‒ Una vez que el dispositivo está infectado con un gusano, el atacante tiene acceso al host - a menudo como un usuario privilegiado.

‒ Los atacantes podrían utilizar un exploit local para escalar su nivel de privilegios de administrador.


Caballos de Troya


• “Kits que van por nombres como 'T-IFRAMER "," Libertad Exploit Sistemas "y" Elenore "todos aparecido en mercados clandestinos de venta de $ 300 a $ 500, Kandek dice, permitir que el atacante pueda instalar un programa troyano listo para descargar el malicioso software a cibercriminales deseos, de spyware el software clic en el fraude. Los tres de estos kits explotar tres únicos errores de Adobe Reader, así como un menor número de errores en Internet Explorer, Microsoft Office, Firefox e incluso Quicktime ".

• Tomado del artículo en:

http://www.cbc.ca/technology/story/2009/12/16/f-forbes-adobe-hacked-software.html












• Un caballo de Troya es un programa que aparece, para el usuario, para realizar una función deseable, pero, de hecho, facilita el acceso no autorizado al sistema informático del usuario.

• Los troyanos pueden parecer programas útiles o interesantes, o por lo menos inofensivos para un usuario desprevenido, pero en realidad son dañinos cuando se ejecuta.

• Los troyanos no son auto-replicantes que los distingue de los virus y gusanos.


• Acceso remoto caballo de Troya

‒ Permite el acceso remoto no autorizado

• Envío de datos Caballo de Troya

‒ Proporciona el atacante con datos sensibles como contraseñas

• Caballo de Troya destructivos

‒ Daña o borra archivos

• Caballo de Troya Proxy

‒ Las funciones del ordenador del usuario como un servidor proxy

• Caballo de Troya FTP (abre el puerto 21)

– Software de Seguridad neutralizador de Caballo de Troya (detiene los programas antivirus o cortafuegos que estén funcionamiento).

• Denegación de servicio Caballo de Troya(ralentiza o detiene la actividad de red)


• Fase de la analisis: Objetivos vulnerables son identificados mediante imágenes de ping.

– Exploraciones de aplicación se utilizan para identificar los sistemas operativos y software vulnerables .

– Hackers obtener contraseñas utilizando la ingeniería social , ataque de diccionario , fuerza bruta , o

sniffing.

• Fase de Ingreso: El código de explotación se transfiere de forma transparente y vulnerable.

– El objetivo es conseguir ejecutar el código de explotación a través de un vector de ataque , como un

desbordamiento de búfer , ActiveX o vulnerabilidades Common Gateway Interface ( CGI) , o un virus

de correo electrónico.

• Fase de Persistencia: Después de que el ataque ingreso con éxito en la memoria , el código intenta

persistir en el sistema de destino.

– El objetivo es asegurarse de que el código malintencionado está en funcionamiento y disponible para

el atacante , incluso si el sistema se reinicia .

– Después de modificar los archivos del sistema , realiza cambios en el registro , y realiza instalación de

nuevo código.

• Fase de Propagación: El atacante intenta extender el ataque a otros objetivos mediante la búsqueda de

máquinas vecinos vulnerables..

– Los vectores de propagación incluyen correo electrónico copias de los ataques a otros sistemas , subir

archivos a otros sistemas que utilizan recursos compartidos de archivos o servicios de FTP ,

conexiones web activas y transferencia de archivos a través de Internet Relay Chat .

• Fase Paralizar: Daño real se hace para el sistema .

– Los archivos pueden ser borrados , los sistemas pueden fallar , la información puede ser robada , y

distribuye los ataques DDoS pueden ser lanzados .


• La mayoría de las vulnerabilidades de software que se descubren se refieren a desbordamientos de búfer.

– Desbordamiento de búfer suelen ser el principal conducto a través del cual los virus, gusanos y caballos de Troya hacen su daño.

• Los virus y troyanos suelen aprovechar desbordamientos de buffer raíz local.

– Un desbordamiento de buffer raíz pretende alcanzar privilegios de root en un sistema.

• Gusanos como SQL Slammer y Code Red explotan en desbordamientos de buffer raíz remotos.

– Desbordamientos de buffer raíz remota son similares a desbordamientos de buffer raíz local, salvo que el usuario final local o sistema de intervención no es necesaria.


• El principal medio de mitigar el virus y ataques de troyanos es el software anti-virus.

– Para una protección total, los sistemas de prevención de intrusiones basado en host (HIPS), tales como Cisco Security Agent también deben desplegarse.

– HIPS protege el núcleo del sistema operativo.

• El software anti-virus ayuda a prevenir los múltiples equipos infectados y la propagación de códigos maliciosos.

– Sin embargo, el software antivirus debe ser utilizado correctamente.

– Siempre actualizar con la última versión antivirus. nuevas versiones y aplicación.

– Tenga en cuenta que se requiere mucho más tiempo para limpiar equipos infectados que mantener al día el software anti-virus y las definiciones de antivirus en las mismas máquinas.


• Mitigación de ataques del gusano requiere diligencia por parte del sistema y el personal de administración de la red.

• Hay un proceso de cuatro fases para mitigar un ataque activo de gusano.


• Fase de Contención: Limitar la propagación de una infección del gusano a las zonas de la red que ya se ven afectados.

– Compartimentar y segmentar la red para reducir la velocidad o detener el gusano para prevenir Actualmente hosts infectados de la focalización y la infección de otros sistemas.

– Use ambas ACLs salientes y entrantes en los routers y firewalls en los puntos de control dentro de la red.

• Fase vacunación:Corre de forma paralela o con posterioridad a la fase de contingencia.

– Todos los sistemas infectados se ha aplicado la revisión apropiada de los usuarios de la vulnerabilidad.

– El proceso de vacunación priva más al gusano de los destinos disponibles.


• Fase de Cuarentena:Rastrear e identificar equipos infectados dentro de las áreas contenidas y desconectar, bloquear o eliminarlos.

– Aísla estos sistemas apropiadamente para la Fase de Tratamiento.

• Fase de Tratamiento:Sistemas activamente infectados se desinfectan del gusano.

– Terminar el proceso del gusano, eliminar los archivos modificados o configuraciones del sistema que el gusano se introduce, y el parche de la vulnerabilidad que el gusano utiliza para explotar el sistema.

– En casos más severos, volver a instalar completamente el sistema para asegurar que el tornillo sin fin y sus productos se retiran.


• El gusano Slammer SQL utiliza el puerto UDP 1434.

– Este puerto normalmente debe ser bloqueado por un firewall en el perímetro.

– Sin embargo, la mayoría de las infecciones entran internamente y, por tanto, para prevenir la propagación de este gusano sería necesario para bloquear este puerto en todos los dispositivos a través de la red interna.

• Cuando SQL Slammer fue propagando, algunas organizaciones no podían bloquear el puerto UDP 1434, ya que se requiere para acceder a SQL Server para las transacciones comerciales legítimas.

– Permitir sólo acceso selectivo a un pequeño número de clientes que utilizan SQL Server.


Los ataques de reconocimiento


• Hay categorías de ataques importantes::


– Ataques de reconocimiento

– Ataques de acceso

– Denegación de Servicio (DoS)

Vamos a centrarnos en reconocimiento ataques


• Reconocimiento aussi conocida como la recopilación de información es el descubrimiento no autorizado y la cartografía de los sistemas, servicios o vulnerabilidades.

• En más casos, precedido de un ataque DoS o acceso.

• Ataques de reconocimiento pueden constar de los siguientes:

– Consultas de información de Internet

– Barridos de ping

– Los análisis de puertos

– Analizadores de paquetes


• Consultas DNS pueden revelar información: por ejemplo, que posee un dominio particular y qué direcciones se han asignado a ese dominio.

• Utilice las herramientas: como whois, nslookup, …


• Un barrido ping, o barrido ICMP, realiza exploraciones para todos determinando el rango de direcciones IP y el mapeo de la red de los equipos de computo.

• Un puerto escaneado: Consiste en el envío de un mensaje a cada puerto, el uso de uno puerto a la vez.

– Si la respuesta recibida indica que se utiliza el puerto se puede probar la debilidad.


• Las Herramientas legítimas como, barrido de ping y escaneo de puertos se ejecutan en una serie de pruebas de las aplicaciones frente a los Pcs para identificar los servicios vulnerables.

• La información se recoge mediante el examen de direccionamiento IP y el puerto de datos de ambos puertos TCP y UDP.


• Un analizador de paquetes es una aplicación de software que utiliza una tarjeta adaptador de red en modo promiscuo para capturar todos los paquetes de red son que se siente a través de una LAN.

– Analizadores de paquetes sólo pueden trabajar en el mismo dominio de colisión como el ser atacado red.

– El modo promiscuo está de moda todo lo que la tarjeta de adaptadora de red envía, todos los paquetes se reciben en el cable de red física a una aplicación para el procesamiento.

– Wireshark es un ejemplo de un analizador de paquetes.


• Some network applications (FTP, Telnet, TFTP, SNMP, …) distribute network packets in plaintext.

– Algunas aplicaciones de red (FTP, Telnet, TFTP, SNMP, ...) distribuyen los paquetes de red en texto plano.

– Numerosos rastreadores de paquetes freeware y shareware están disponibles no requieren que el usuario entienda nada sobre los protocolos de instrumentos subyacentes.


Ataques de Acceso


• Hay categorías de ataques importantes o calientes:


– Ataques de Reconocimiento

– Ataques de Acceso


Vamos a centrarnos en los ataques de acceso


• Ataques de acceso descubren vulnerabilidades conocidas en los servicios de autenticación, servicios de FTP, y servicios de Internet para obtener la entrada a cuentas web, bases de datos confidenciales, y otra información sensible por las siguientes Razones:

– Recuperar datos.

– Obtenga acceso.

– Escalar sus privilegios de acceso.


• Los Ataques de acceso se puede realizar en un número de maneras diferentes, incluyendo:

– Ataques a las Contraseñas.

– Confianza de funcionamiento.

– Puerto de redirección.

– Man-in-the-middle ataque.

– desbordamiento de búfer.


• Implementar los ataques de hackers de contraseña utilizando la siguiente:

– Los ataques de fuerza bruta.

– Programas de caballo de Troya.

– Suplantación de IP.

– Analizadores de Paquetes.


• L0phtCrack (“loft-crack”) toma los hashes de contraseñas y genera las contraseñas en texto plano.

• Las contraseñas comprometidas están utilizando uno de dos métodos:

– Ataque de Diccionario.

– La fuerza bruta de computación.


• Explotación confianza se refiere a un aprovechamiento individual de una relación de confianza dentro de una red.

• Un ejemplo de la confianza Cuando la operación se lleva a cabo es cuando una red perimetral está conectado a una red corporativa.

– Estos segmentos de red a menudo contienen los servidores DNS, SMTP y HTTP.

– Dado que los servidores de tesis todos residen en el mismo segmento, un compromiso de un sistema puede llevar al compromiso de otros sistemas si esos otros sistemas aussi Que los sistemas de confianza se adjuntan a la misma red.


• Otro ejemplo de la confianza es una operación de la Zona Desmilitarizada (DMZ) host que tiene una relación de confianza con un host interno que está conectado a la interfaz de servidor de seguridad en el interior.

• El anfitrión dentro confía en el host DMZ.

– Cuando se compromete el host DMZ, el atacante puede aprovechar esa relación de confianza para atacar a la máquina interna.


• Un hacker aprovecha las relaciones de confianza existentes.

• Existen varios modelos de confianza:

– Windows:

• Dominios

• Directorio Activo (Active directory-AD)

– Linux and UNIX:

• NIS

• NIS+


• Un ataque de redireccionamiento de puertos es una especie de ataque de la explotación confianza comprometidas que utiliza un host para pasar el tráfico a través de un servidor de seguridad que de otro modo habría sido abandonado.

– El reenvío de puertos no pasa por los conjuntos de reglas de firewall cambiando el puerto de origen normal que un tipo de tráfico de red.

– Puede Mitigar la redirección de puertos mediante el uso de modelos de confianza adecuados de la red específica.

– Suponiendo un sistema está bajo ataque, un IPS puede ayudar a detectar un hacker y evitar la instalación de utilidades, las cuales se pueden escoger al momento de instalarlas en un Pc.


• Man-in-the-middle ataques tienen efectos en la tesis:

– El robo de información.

– Secuestro de una sesión en curso para obtener acceso a sus recursos de red interna.

– El análisis de tráfico para obtener información acerca de la red y los usuarios de la red.

– DoS

– La corrupción de los datos transmitidos.

– La introducción de la nueva información en las sesiones de red.

• Un ejemplo de un ataque man-in-the-middle es cuando alguien que trabaja para el acceso del ISP logra a todos los paquetes de red que transfieren entre su red y cualquier otra red.


Ataques DoS


• Hay cuatro categorías de ataques:


– ataques de reconocimiento

– ataques de acceso


Vamos a centrarnos en los ataques de denegación de servicio


• Entre las más difíciles de eliminar por completo, ya que requieren tan poco esfuerzo para ejecutar.

• Tipos de ataques de denegación de servicio incluyen:

– Ping de la muerte

– Ataque Smurf

– TCP SYN ataque de inundación

• Otros incluyen la fragmentación de paquetes y volver a montar, bombas de correo electrónico, acaparando la CPU, los applets maliciosos, routers desconfiguración, el ataque chargen, los ataques fuera de la banda, como WinNuke, Land.c, Teardrop.c y Targa.c.


• Ataque sostenido de envió de una petición de eco en un paquete IP mayor que el tamaño máximo de paquete de 65.535 bytes.

– El envío de un ping de este tamaño puede colapsar el equipo de destino.

• Una variante de este ataque es bloquear un sistema mediante el envío de fragmentos de ICMP, que llenan los buffers de reensamblaje en el destino


Este ataque envía un gran número de peticiones ICMP a direcciones de broadcast dirigidas, todas ellas con direcciones de origen suplantadas en la misma red que la difusión dirigida respectiva.

– Si el dispositivo de enrutamiento entregar tráfico a esas direcciones de difusión envía los mensajes de difusión, todos los hosts de las redes de destino envían las respuestas ICMP, multiplicando el tráfico por el número de equipos en las redes.

– En una red de acceso múltiple de emisión, cientos de máquinas pueden responder a cada paquete.


• Se envía un flujo de paquetes TCP SYN, a menudo con una dirección de remitente falso.

– Cada paquete se maneja como una petición de conexión, haciendo que el servidor para desovar una conexión medio abierta (embrionario) mediante el envío de vuelta un paquete TCP SYN-ACK y esperando un paquete de respuesta de la dirección del remitente.

– Sin embargo, debido a que la dirección del remitente se forja, la respuesta nunca llega.

– Estas conexiones medio abiertas saturan el número de conexiones disponibles, el servidor es capaz de hacer, evitando que responder a solicitudes legítimas hasta después de los extremos de ataque.


DDoS


• Un ataque DDoS y la versión más simple de un ataque DoS en el servidor, consiste en enviar un número extremadamente grande de solicitudes a través de una red o de Internet.

– Muchas peticiones hacen que el servidor de destino pueda funcionar por debajo de las velocidades óptimas.

– En consecuencia, el servidor atacado deja de estar disponible para el acceso y uso legítimo.

– Por sobrecarga de los recursos del sistema, DoS y DDoS ataques aplicaciones y procesos de choque mediante la ejecución de exploits o una combinación de hazañas.

– Los ataques DoS y DDoS son la forma más difundida de ataque y se encuentran entre los más difíciles de eliminar por completo.


• DDoS los riesgos de ataque incluyen :

– El tiempo de inactividad y la pérdida de productividad

– Pérdida de ingresos por ventas y servicios de apoyo

– Lealtad de los clientes perdidos

– Robo de información

– Extorsión

– Stock manipulación de precios

– Competencia malicioso


• Los ataques DDoS se han diseñado para saturar los enlaces de red con datos falsos, que pueden abrumar a un enlace que causa el tráfico legítimo que se cayó.

– DDoS utiliza métodos de ataque similares a los ataques de denegación de servicio estándar, pero opera a una escala mucho más grande.

– Por lo general cientos o miles de puntos de ataque intentan abrumar a un objetivo.

– Ejemplos de ataques DDoS incluyen los siguientes:

– Tribu Flood Network (TFN)

– Stacheldraht


Mitigar Los Ataques


• La implementación y aplicación de una directiva política que prohíbe el uso de protocolos con susceptibilidades conocidas a intrusos.

• El uso de encriptación que satisface las necesidades de seguridad de datos de la organización, sin imponer una carga excesiva para los recursos del sistema o los usuarios.

• Uso de redes conmutadas.


• El escaneo de puertos y ping barrido no es un delito y no hay manera de detener estas exploraciones y barridos cuando un equipo está conectado a Internet.

– Hay maneras de evitar daños en el sistema.

• Barridos de ping pueden detenerse si echo ICMP y eco-respuesta se apagan en los routers de borde.

– Cuando estos servicios están desactivados, se pierde la red de datos de diagnóstico.


• No se puede prevenir, sin comprometer las capacidades de red.

– Sin embargo, el daño puede ser mitigado mediante sistemas de prevención de intrusos (IPS) en los niveles de red y host.


• Autenticación

– Autenticación fuerte es una primera línea de defensa.

• Criptografía

– Si un canal de comunicación es criptográficamente seguro, la única información un sniffer de paquetes detecta es el texto cifrado.

– Herramientas anti-rastreadores

– Herramientas Antisniffer detectar cambios en el tiempo de respuesta de los ejércitos para determinar si los hosts están procesando más tráfico que sus propias cargas de tráfico se indican.

– Infraestructura conmutada

– Una infraestructura conmutada, obviamente, no elimina la amenaza de analizadores de paquetes, pero puede reducir en gran medida la eficacia de los husmeadores.


• Técnicas de mitigación de ataques de contraseña incluyen:

– No permita que los usuarios utilicen la misma contraseña en varios sistemas.

– Desactive las cuentas después de un cierto número de intentos de conexión fallidos.

– Se recomienda de una contraseña de cifrado.

– Utilice contraseñas "fuertes" que son al menos ocho caracteres y que contenga letras mayúsculas, minúsculas, números y caracteres especiales.

– No use contraseñas en texto plano.


• Los niveles de confianza dentro de una red deben estar bien sujetos por garantizar que los sistemas dentro de un firewall no confían absolutamente sistemas fuera del firewall.


• Man-in-the-middle pueden mitigarse eficazmente sólo mediante el uso de la criptografía (cifrado).

Host A Host B

Router A ISP Router B

A man-in-the-middle sólo puede ver texto cifrado

IPSec tunnel


• Funciones contra denegación de servicio en routers y firewalls:

– La configuración adecuada de características anti-DoS en los routers y firewalls pueden ayudar a limitar la eficacia de un ataque.

– Estas características implican a menudo límites en la cantidad de conexiones TCP medio abiertas que permite un sistema en un momento dado.

• Funciones contra el spoof en los routers y firewalls:

– La configuración adecuada de características anti- repetición en sus routers y firewalls pueden reducir su riesgo de ataque.

– Estas características incluyen un filtro apropiado con listas de acceso, unicast inversa expedición camino que busca la tabla de enrutamiento para identificar los paquetes falsificados, la desactivación de las opciones de ruta de origen, entre otros.


• Tasa de tráfico que limita a nivel de ISP:

– Una organización puede implementar tasa de tráfico que limita con su proveedor de servicios.


• La amenaza de suplantación de IP se puede reducir, pero no eliminar, el uso de estas medidas:

– Acceda a la configuración de control

– Encryption

– RFC 3704 Filtrado

• Requisito de autenticación adicional que no utiliza la dirección de IP de autenticación; ejemplos son:

• Criptográficos (recomendado)

– Fuerte de dos factores, contraseñas, de una sola vez


1. Mantenga los parches al día mediante la instalación de todas las semanas o todos los días, si es posible, para evitar desbordamiento de búfer y ataques de escalada de privilegiosShut down unnecessary services and ports.

2. Cierre los servicios y puertos inecesarios

3. Controlar el acceso fisico a los sistemas .

4. Evite las entradas de la página web innecesarios.

– Algunos sitios web permiten a los usuarios introducir nombres de usuario y contraseñas.

– Un hacker puede entrar en algo más que un nombre de usuario.

– Por ejemplo, si escribe " jdoe , rm - rf / "podría permitir a un atacante para eliminar el sistema de archivos root de un servidor UNIX. Los programadores deben limitar los caracteres de entrada y no aceptar caracteres no válidos como |, <> como entrada.


6. Realizar copias de seguridad y probar los archivos de copia de seguridad en una base regular.

7. Educar a los empleados sobre los riesgos de la ingeniería social, y desarrollar estrategias para validar la identidad a través del teléfono, por correo electrónico o en persona..

– http://www.networkworld.com/news/2010/091610-social-networks.html?source=NWWNLE_nlt_daily_pm_2010-09-16

– http://searchsecurity.techtarget.com/news/1519804/Phishing-attacks-target-users-of-Facebook-other-social-networks?asrc=EM_NLN_12420860&track=NL-102&ad=784799&

8. Encriptar y proteger con contraseña los datos.

9. Implementar el hardware y el software, tales como firewalls, IPSs, dispositivos de redes privadas virtuales (VPN), el software anti-virus, filtrado de contenido y seguridad.

10. Desarrollar una política de seguridad por escrito a la empresa.

http://www.networkworld.com/news/2010/091610-social-networks.html?source=NWWNLE_nlt_daily_pm_2010-09-16









http://searchsecurity.techtarget.com/news/1519804/Phishing-attacks-target-users-of-Facebook-other-social-networks?asrc=EM_NLN_12420860&track=NL-102&ad=784799&




















Pensando como un Hacker


• "Si te conoces a ti mismo pero no al enemigo, por cada victoria también sufrirás una derrota."

– Sun Tzu – El Arte de la Guerra

• Antes de aprender a defenderse de los ataques, lo que necesita saber cómo funciona un atacante potencial.


• El objetivo de cualquier hacker es poner en peligro el objetivo o aplicación prevista.

• Los hackers comienzan con poca o ninguna información sobre el objetivo previsto.

• Su enfoque es siempre cuidadosa y metódica-nunca afanada y nunca temeraria.

• El proceso de siete pasos descrito en la siguiente diapositiva es una buena representación del método que utilizan los hackers - y un punto de partida para un análisis de cómo derrotarlo.


• Paso 1 - Realizar análisis de la huella (reconocimiento).

• Paso 2 - Detalle de la información.

• Paso 3 - Manipular los usuarios para obtener acceso.

• Paso 4 - escalar privilegios.

• Paso 5 - Reunir contraseñas y secretos adicionales.

• Paso 6 - Instalación de puertas traseras.

• Paso 7 - Aproveche el sistema comprometido.


• Adquirir conocimientos de las adquisiciones que utilizan las páginas web, guías telefónicas, folletos de la empresa, filiales, etc

• Utilice los comandos de desarrollar una huella más detallada:

– nslookup comando para conciliar los nombres de dominio en contra de las direcciones IP de los servidores y los dispositivos de la compañía.

– traceroute Ruta de seguimiento de comandos para ayudar a construir la topología.

• Utilice el programa y los servicios:

– WHOIS consultas ( http :/ / www.who.is / )

– El escaneo de puertos para encontrar puertos abiertos y los sistemas operativos instalados en hosts.

– Nmap : Network Mapper ( Nmap ) es una utilidad de código abierto para la exploración de la red o de auditoría de seguridad.


• Mantenga todos los datos sensibles fuera de línea (planes de negocio, fórmulas, y los documentos de propiedad).

• Minimizar la cantidad de información en su sitio web público.

• Examine su propio sitio web inseguridades.

• Ejecutar un barrido de ping en la red.

• Familiarizarse con uno o más de los cinco Registros Regionales de Internet - como ARIN para Norteamérica - para determinar los bloques de la red.


• Encuentre las aplicaciones de servidor y versiones:

– ¿Cuáles son a su web, FTP, y las versiones de servidor de correo?

– Escuchar a los puertos TCP y UDP y enviar datos al azar a cada uno.

– Información de referencia cruzada con bases de datos de vulnerabilidad para buscar cualquier posible intrusión.

• Explotar los puertos TCP seleccionados, por ejemplo:

– Windows NT, 2000, XP y uso compartido de archivos mediante el protocolo SMB que utiliza el puerto TCP 445.

– En Windows NT, SMB ejecuta sobre NetBT utilicen los puertos 137, 138 (UDP), y 139 (TCP).


• Una gran cantidad de herramientas de hackers están disponibles:

– Netcat: Netcat es una utilidad de red funciones que lee y escribe datos a través de conexiones de red utilizando el protocolo TCP / IP.

– Microsoft EPDump y Call volcado a procedimiento remoto (RPC): Estas herramientas proporcionan información acerca de los servicios de Microsoft RPC en el servidor:

• La aplicación Microsoft EPDump muestra lo que se está ejecutando y que espera en los puertos asignados dinámicamente.

• La solicitud RPC Dump (rpcdump.exe) es una herramienta de línea de comandos que consulta los puntos finales RPC para el estado y otra información acerca de RPC.

– Getmac: Esta aplicación proporciona una forma rápida de encontrar la dirección de capa MAC (Ethernet) y el orden de enlace de un equipo que ejecuta Microsoft Windows 2000 de forma local o en una red.

– Kits de desarrollo de software (SDK): SDKs proporcionan hackers con las herramientas básicas que necesitan para aprender más acerca de los sistemas.


• Incluso con los más sofisticados de seguridad en su lugar, una empresa sigue siendo vulnerable debido a valores eslabón más débil: People!

• La primera cosa que los hackers necesitan es una contraseña y hay dos maneras de obtener la contraseña:

– Ingeniería social

– Los ataques de robo de contraseñas


• La ingeniería social es una manera de manipular a la gente dentro de la red para proporcionar la información necesaria para acceder a la red.

– Un ordenador no es necesario!!

– La ingeniería social por teléfono

– Hurgar en la basura

– La ingeniería inversa y sociales

• Lectura recomendada:

– "El arte del engaño: Controlar el factor humano de la seguridad"

– Mitnik, KD and Simon, WL; Wiley; New Ed edicion.

http://www.hackemate.com.ar/textos/taod/


• Llamada en medio de la noche:

– "Hola, este es ______ de Bell. Lo siento mucho para que te despierte pero he notado alguna actividad inusual en su tarjeta de llamada Bell y nos preguntamos si usted lo está utilizando para llamar a Bagdad, Iraq hace 6 horas? '

– 'Bueno, tenemos una llamada que en realidad sigue activo en estos momentos y es ahora más de $ 2,000 en gastos. Voy a finalizar esa llamada en este momento, pero lamentablemente usted es responsable de los cargos formulados en su tarjeta.

– "Mire, yo simpatizo con ustedes y puedo ver que usted ha sido víctima aquí, pero si me deshago de esa carga que puedo perder mi trabajo."

– De acuerdo ... pero usted tiene que confirmar algunos detalles primero. ¿Cuál es su nombre completo y la dirección?

– ¿Puede confirmar el número de la tarjeta telefónica Bell? '

– 'Finalmente, confirme su número de PIN, por favor? "

– 'Gran. Todo hace juego. Me desharé de esa carga para ti.

– 'Usted es bienvenido y gracias por ser un cliente de Bell Canada.


• El facilitador de un vivo Computer Security Institute claramente de manifiesto la vulnerabilidad de los servicios de asistencia cuando "marcado por" una compañía de teléfonos, lo trasladaron alrededor, y llegó a la mesa de ayuda:

– ¿Quién es el supervisor de guardia esta noche? "

– "Déjame hablar con _____. ' (Que ha transferido)

– -Hola _____, esto es _____ desde la seguridad en el centro de TI. Tener un mal día?

– No, ¿por qué? ... Sus sistemas están abajo."

• Respuesta: 'mi sistema no han bajado, estamos funcionando muy bien. "

– "Hmmm ... ¿En serio? Hazme un favor cerrar la sesión y luego volver abrirla.

– "Ni siquiera mostramos un bache, se muestra ningún cambio. Regístrate de nuevo. ' -Hay algo raro aquí. Voy a tener que iniciar la sesión con tu ID de averiguar lo que está pasando. Deme su nombre de usuario y contraseña.


• Una persona confundida y aturdida llamará a un secretario y humildemente solicitar un cambio de contraseña.

• Las personas que se identificaron como directivos, llamarán un nuevo administrador del sistema y acceso bajo demanda a su cuenta INMEDIATAMENTE!

• Alguien va a llamar y confianza instrucciones a un operador de la computadora para escribir unas pocas líneas de instrucción en la consola.

• En un aeropuerto, alguien va a mirar por encima de un hombro, el hombro de surf, '(a veces incluso con prismáticos o cámaras de vídeo) que tienen la forma de números de tarjetas de crédito de teléfono o PIN ATM.


• Haciéndose pasar por un compañero de trabajo, como empleado de un proveedor, empresa asociada o aplicación de la ley, ya que alguien con autoridad, como un nuevo empleado que solicita ayuda, como un proveedor o fabricante de sistemas llamando para ofrecer un parche o actualización del sistema.

• Ofreciendo ayuda si se produce un problema, entonces lo que se produce el problema, la manipulación de este modo a la víctima a llamar para pedir ayuda.

• Envío de software libre o parche para las víctimas de instalar.

• El envío de un virus o un caballo de Troya como un archivo adjunto de correo electrónico.

• El uso de un falso pop-up window usuario pide que entre de nuevo o firmar con contraseña.

• Dar una memoria USB o un CD en todo el lugar de trabajo con software malicioso en él

• Usando la jerga de información privilegiada y la terminología para ganar confianza

• Ofrecer un premio por registrarse en un sitio Web con nombre de usuario y contraseña.

• Dejar caer un documento o archivo en la sala de correo de la compañía para la entrega dentro de la oficina..

• Modificación de fax dirigirse a aparecer venir de un lugar interior.

• Preguntar recepcionista para recibir a continuación un fax.

• Solicitud de un archivo a ser transferido a un lugar aparentemente interna.

• Conseguir un buzón de voz configurados para devolver la llamada perciben atacante interno.. Haciéndose pasar por la oficina a distancia y pedir acceso al correo electrónico a nivel local.


• La negativa a dar llamar al número de nuevo

• Solicitud fuera de lo común

• Reclamación de la autoridad

• Subraya la urgencia

• Amenaza consecuencias negativas de la falta de cumplimiento

• Muestra molestias cuando se le preguntó

• Nombre caída

• Elogios o halagos

• Flirting


• Los hackers utilizan muchas herramientas y técnicas para descifrar contraseñas: – Las listas de palabras

– La fuerza bruta

– Híbridos

– El amarillo post-it pegado en el lado de la pantalla o en la parte superior del cajón del escritorio

• Password cracking ataca a cualquier aplicación o servicio que acepte la autenticación de usuarios, incluidos los enumerados aquí: – NetBIOS sobre TCP (TCP 139)

– Anfitrión directa (TCP 445)

– FTP (TCP 21)

– Telnet (TCP 23)

– SNMP (UDP 161)

– PPTP (TCP 1723)

– Servicios de Terminal Server (TCP 3389)


• Después de obtener una contraseña de una cuenta de usuario y privilegios de nivel de usuario a un host, los hackers intentan escalar sus privilegios.

• El hacker revisará toda la información que él o ella puede ver en el host:

– Los archivos que contienen los nombres de usuario y contraseñas

– Las claves de registro que contiene las contraseñas de aplicación o usuario

– Toda la documentación disponible (por ejemplo, correo electrónico)

• Si el host no puede ser visto por el hacker, el hacker puede iniciar una aplicación de Troya como W32/QAZ para proporcionarla.


• Los hackers de destino:

– La base de datos del administrador de cuentas de seguridad local

– El directorio activo de un controlador de dominio

• Los hackers pueden usar herramientas legítimas como pwdump y aplicaciones lsadump.

• Los hackers obtengan acceso administrativo a todos los equipos por los nombres de usuario de referencias cruzadas y combinaciones de contraseñas.


• Puertas traseras:

– Proporciona una forma de nuevo en el sistema si la puerta está cerrada

– El camino en el sistema que no es probable que se detecten.

• Puertas traseras pueden utilizar el tráfico inverso:

– Ejemplo: Codigo de red, que utiliza el puerto TCP 80 para instruir a los servidores web sin parches para ejecutar una conexión desde el servidor TFTP.

• Redirectores de puertos:

– Puerto redirectores pueden ayudar a evitar los filtros de puertos, routers y firewalls e incluso puede ser cifrado a través de un túnel SSL para evadir los dispositivos de detección de intrusos.


• Puertas traseras y redirectores de puertos permiten hackers atacan a otros sistemas de la red.

• Tráfico inversa permite hackers eludir los mecanismos de seguridad.

• Troyanos permiten hackers ejecutar comandos sin ser detectados.

• Exploración y explotación de la red puede ser automatizado.

• El hacker permanece detrás de la tapa de una cuenta de administrador válida.

• Todo el proceso de siete pasos se repite como el hacker sigue penetrando en la red.


• Mantenga los parches al día.

• Cierre los servicios y puertos innecesarios.

• Utilice contraseñas seguras y cambiarlas a menudo.

• Controlar el acceso físico a los sistemas.

• Evite las entradas de la página web innecesarios.

– Algunos sitios web permiten a los usuarios introducir nombres de usuario y contraseñas.

– Un hacker puede entrar en algo más que un nombre de usuario y programadores deben limitar los caracteres de entrada y no aceptar caracteres no válidos (|, <>).

• Realizar copias de seguridad del sistema y prueba de ellos sobre una base regular.

• Educar a los usuarios acerca de la ingeniería social.

• Encriptar y proteger con contraseña los datos sensibles.

• El uso de hardware y software de seguridad adecuado. Desarrollar una política de seguridad por escrito a la empresa.


Cisco Network Protection Foundation (PFN)


• NFP divide lógicamente routers y switches en tres áreas funcionales:

– Plano de Control - Responsable de enrutamiento de datos correctamente. Consta de dispositivo generados por paquetes necesarios para el funcionamiento de la red en sí, tales como los intercambios de mensajes ARP o anuncios de enrutamiento OSPF.

– Plano de gestión - Responsable de la gestión de elementos de red. Generado ya sea por medio de dispositivos de red o estaciones de gestión de red que utilizan procesos y protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, syslog, TACACS +, RADIUS y NetFlow.

– Plano de Datos (plano de reenvío) - Responsable de los datos de reenvío. Consta de paquetes generados por los usuarios están reenviados entre las estaciones finales. La mayoría del tráfico viaja a través del router o switch, a través del plano de datos.


• Cisco AutoSecure proporciona un cierre de una etapa para los planos de control, gestión y datos.

• Autenticación del protocolo de enrutamiento impide que el router acepte actualizaciones de enrutamiento fraudulentas.

• Plano de Control Policial (CoPP) impide el tráfico innecesario de sobrecargar el procesador de ruta. CoPP trata el plano de control como una entidad separada y aplica reglas para la entrada y puertos de salida.


• Implementar una política de inicio de sesión y contraseña para restringir el acceso del dispositivo.

• Notificación legal actual desarrollada por el asesor legal de una corporación.

• Garantizar la confidencialidad de los datos mediante el uso de protocolos de gestión de autenticación fuerte.

• Utilice basado en roles de control de acceso (RBAC) para asegurar que el acceso se concede sólo a los usuarios autenticados, grupos y servicios.

• Restringir las acciones y puntos de vista que son permitidos por cualquier usuario, grupo o servicio.

• Habilitar el acceso de administración de informes a registrar y dar cuenta de todos los accesos.


• Utilice ACL para realizar el filtrado de paquetes. ACL se pueden utilizar para:

– Bloquear el tráfico o los usuarios no deseados.

– Reducir el cambio de un ataque DoS.

– Mitigar los ataques de suplantación.

– Proporcionar control de ancho de banda.

– Clasificar el tráfico para proteger los aviones de gestión y control.

• Implementar la seguridad de capa 2 con:

– Port security

– DHCP snooping

– Dynamic ARP Inspection (DAI)

– IP Source Guard

en_ccnas_v11_ch01 español.pdf

Documents