Curso Gratis de Redes – Capitulo 5 – Mecanismos de seguridad

por | Ene 11, 2024 | Redes | 0 Comentarios

Bienvenidos al Curso Gratis de Redes – Capitulo 5 – Mecanismos de seguridad. En este viaje, exploraremos las defensas digitales esenciales para salvaguardar tus redes en un panorama cibernético en constante evolución. Prepárate para adentrarte en el corazón de la ciberseguridad y fortalecer tus conocimientos para enfrentar las amenazas digitales.

Se necesita una política de seguridad que contemple el análisis periódico de vulnerabilidades de software, sistemas y protocolos, especialmente en equipos más propensos a ataques.

¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?

Analizadores de vulnerabilidades son herramientas que buscan automáticamente debilidades proporcionando un informe para que los administradores tomen acciones correctivas. hay diferentes tipos:

  • buscan vulnerabilidades en aplicaciones y sistemas en tiempo real. Los hay más especializados (ej. aplicaciones web). usan un «motor de búsqueda» y una lista de vulnerabilidades conocidas que crece con el tiempo
    • Pueden ser analizadores de sistemas centrados en el equipo concreto, o que puedan buscar vulnerabilidades por la red.
  • Analizadores de código fuente estático (SSCA), buscan vulnerabilidades en el código. utilizan algoritmos relacionados con el lenguaje de programación y vulnerabilidades comunes para detectar debilidades en el código.

Es necesaria la supervisión de un experto al usar estas aplicaciones. definiciones comunes:

  • Falso positivo: supuesta vulnerabilidad detectada que resulta no serlo.
  • Falso negativo: vulnerabilidad real que el analizador no logra detectar.
  • Verdadero positivo: una vulnerabilidad real detectada correctamente.

Para utilizarlos correctamente hay que considerar también los siguientes puntos:

  • Ejecutarlos frecuentemente.
  • Tener en cuenta el impacto en el tráfico de la red.
  • Tener en cuenta el impacto de algunos test.
  • Informar al personal responsable.

NMAP 

Nmap (Network Mapper) herramienta para escaneo de puertos y auditorías de seguridad. Permite detectar hosts activos en una red, identificar sus sistemas operativos, cortafuegos y filtros de paquetes

Zenmap: interfaz gráfica, facilita la configuración del escaneo. Organiza y muestra la información de Nmap de forma ordenada, indicando los puertos abiertos, servicios y versiones de software detectadas. Zenmap guarda los resultados obtenidos. Posteriormente estos resultados podrán ser comparados con escaneos posteriores a través de otra herramienta proporcionada por Zenmap. 

Características:

  • Flexibilidad: permite mapear redes con diversas técnicas, incluso cuando están protegidas por cortafuegos o filtros de paquetes, incluyendo escaneo de puertos e identificación de sistemas operativos, versiones, etc.
  • Potencia: utilizado en redes con cientos de miles de hosts conectados.
  • Documentación: amplia documentación en varios idiomas, accesible desde http://nmap.org/docs.html.

perfiles más intensos envían más peticiones a los hosts objetivo, lo que aumenta la probabilidad de ser detectado por herramientas de seguridad. Para conocer máquinas conectadas a un sector de red, se recomienda usar un “Ping Scan” o “Quick Scan”. este es un paso previo común en ataques de obtención de información.

Para un examen exhaustivo de seguridad, se puede optar por una opción de escaneo intenso. Nmap muestra los resultados del escaneo a medida que se obtienen, y la cantidad de información variará según el tipo de escaneo.

NESSUS

es una herramienta comercial de análisis de vulnerabilidades desarrollada por Tenable Network Security, que ayuda a detectar posibles vulnerabilidades en máquinas escaneadas. utiliza la tecnología “Nessus Professional-Feed“. Tenable crea un plugin para Nessus para nuevas vulneravilidades permitiendo que Nessus realice chequeos de red y host siempre actualizados.

Los suscriptores de Nessus pueden utilizar el contenido desarrollado por Tenable para realizar auditorías y cubren más de 50,000 vulnerabilidades Estas auditorías se realizan según políticas personalizadas, configuraciones de sistemas activos y políticas basadas en organismos especializados como NIST, CERT, SANS o vendedores como Microsoft y Red Hat.

Las características de Nessus:

  • Análisis en profundidad.
  • Auditoría de dispositivos móviles.
  • Auditoría antivirus, de botnets y procesos maliciosos.
  • Integración de gestión de parches de seguridad.

Nessus funciona con una estructura cliente-servidor. se debe instalar el programa servidor descargable desde el sitio web de Tenable. Nessus se iniciará como un servicio y estará listo para ser accedido a través del cliente web. Para conectar con el mismo hay que acceder a la siguiente URL: https://ip_servidor_nessus:8834​​​​​​​

La primera vez que se accede al servidor Nessus desde el cliente web, es necesario realizar la configuración inicial de la aplicación. Esto incluye la creación de una cuenta de administrador y el registro de un proveedor de plugins.  Los plugins permiten al servidor Nessus llevar a cabo los escaneos de vulnerabilidades.

Aunque Nessus es una herramienta comercial, ofrece una opción gratuita llamada “Home Feed” para usuarios individuales. En la pantalla inicial del cliente Nessus, se pueden ver resultados de escaneos anteriores o definir nuevos. Para lanzar un nuevo escaneo, se debe seleccionar “Add” y definir el objetivo (dirección IP, dominio o rango de direcciones IP).

Se debe indicar el tipo de análisis a realizar (escaneo interno o externo), según si la máquina objetivo se encuentra en la misma red o a través de Internet. se pueden agregar políticas de escaneo personalizadas en la sección “Policies”.

Politicas en Nessus

Para cada nueva política, se deben definir características relevantes:

  • Nombre de la política.
  • Puertos a escanear.
  • Tipo de escaneo de puertos a realizar.
  • Número de conexiones paralelas.
  • Credenciales para un escaneo más en profundidad de determinados servicios.
  • Definición de las plugins que se van a utilizar en el análisis de vulnerabilidades que se está definiendo.
  • En la última pantalla de configuración se podrán definir una serie de preferencias que van a permitir ajustar tanto la forma de realizar el análisis como el detalle del mismo.

El escaneo en curso aparecerá en la lista de escaneos y mostrará su estado. Una vez finalizado, se moverá a la lista de “reports”, donde se mostrarán los resultados de todos los escaneos realizados hasta el momento. Para examinar los resultados de un escaneo, seleccione el reporte deseado y presione “Browse”.

La primera pantalla mostrará un resumen de las vulnerabilidades encontradas, agrupadas por su nivel de riesgo. Al hacer clic en una entrada, se accede a los detalles, donde las vulnerabilidades encontradas se agrupan por nivel de riesgo y también por el puerto en el que se detectaron.

Y pulsando en un determinado puerto se ve una lista detallada de las plugins que han detectado vulnerabilidades en dicho puerto. pulsando sobre cada una de las vulnerabilidades se mostrará información detallada sobre la misma. Se da una explicación detallada sobre la vulnerabilidad encontrada e incluso se proporciona información sobre cómo corregirla.

Herramientas de análisis de vulnerabilidades en código fuente

los analizadores de vulnerabilidades en código fuente (SSCA) son una herramienta para examinar el código heredado y también para utilizarla en el ciclo de desarrollo de software. no requiere la ejecución del programa.

Características

  • El código a analizar se transforma en un «modelo» utilizando una combinación de técnicas de análisis léxico y semántico y de parsing
  • Se analiza este «modelo», siguiendo una serie de reglas variadas y propiedades de código. (análisis intra-procedimiento (local) y análisis inter-procedimiento (global). Estas reglas pueden variar dependiendo de la herramienta.
  • Se muestran los resultados de las vulnerabilidades encontradas y su nivel de severidad.

Tipos de herramientas SSCA

Pueden clasificarse según los lenguajes que entienden, clases de vulnerabilidades o la longitud del código que es capaz de analizar. La clasificación más usada es la del libro de referencia de Chess y West:

  • De chequeo de estilos.
  • De chequeo de propiedades.
  • De tipo «bug finding».
  • De tipo «security review».

​​​​​​​Existen más de 40 herramientas, pero ninguna puede garantizar al 100% la detección de vulnerabilidades. se recomienda utilizar varias herramientas y ser cuidadoso con los resultados obtenidos

Prevención y de detección de intrusiones

la fase de monitorización implica vigilancia y registro constante de los sistemas para detectar actividades maliciosas o comportamientos sospechosos. Pero esta es una medida de reacción a eventos que ya han ocurrido. Para una monitorización efectiva, es necesario implementar medidas preventivas con sistemas de detección de intrusiones. 

Una intrusión se puede definir como un mensaje que cumple varias condiciones:

  1. Se aparta de un comportamiento «normal».
  2. Si es anormal, hay que decidir si esa anormalidad proviene de un uso incorrecto (probable ataque) o si es una situación no peligrosa.

Los primeros sistemas utilizaban la detección de anomalías y se basaban en la creación de perfiles de uso típico, que podían ser por tipos de usuario, tipos de red, tipos de trabajo, etc. estos sistemas producían muchos “falsos positivos“. Los sistemas IDS (Intrusion Detection Systems) utilizados actualmente se basan en “firmas” (signatures). Estas firmas son mensajes o grupos de mensajes que indican con cierta fiabilidad la presencia de un ataque en curso

Ejemplo: un mensaje de tipo ping con una dirección de destino que sea la dirección broadcast de una red o muchos mensajes de intento de conexión TCP con la misma dirección IP, conocidos como SYN flood. Una firma se compone de reglas típicas de una actividad que se asocian con una intrusión en la red.

El conjunto de firmas de ataque de cada sistema IDS es la suma de las firmas incluidas en el sistema que pueden ser actualizadas y pueden ser creadas por el administrador, expertos y agencias de ayuda como el CERT. IDS basados en la red: Pueden colocarse en un segmento de red, en cuyo caso monitorizan el tráfico que circula por ese tramo de red, independientemente de la dirección IP origen y destino.

Detección de intrusiones basada en el sistema: 

Solo protegen un sistema, a cambio resultan más baratos. El procedimiento de su funcionamiento es el siguiente:

  1. monitorizan todo el tráfico que pasa por la tarjeta de red que usan.
  2. Comparan el tráfico que capturan con cada una de las firmas.

Si un sistema IDS encuentra una firma que se ajusta a cierto tráfico, puede ejecutar una combinación de tres acciones: 

  • Registrar el ataque (local o remoto)
  • Enviar una alarma (mediante un correo electrónico)
  • Detener el ataque. (Estas acciones son configurables y pueden incluir acciones adicionales)

Suele ser normal que su control se haga de manera remota, por dos razones:

  • Si hay varios IDS para llevar el control centralizado desde un solo sitio
  • Por facilidad de administración, con la gestión remota se hacen a través de una conexión web u otro tipo de herramientas gráficas

Características:

  • Debe tener actualizaciones frecuentes.
  • Debe tener capacidad de adaptación al entorno.
  • Debe exhibir un buen rendimiento.

Aspectos a tener en cuenta:

  • dónde colocarlo.
  • dónde se va a conectar el IDS a la red.
  • falsos negativos.
  • falsos positivos.

tener preparado cómo se va a realizar la respuesta a incidentes.

SNORT (sniffer + IDS + Registro)

funciona como un escuchador de paquetes (sniffer) y un detector de intrusiones basado en red. monitorea el segmento de red al que está conectado, proporcionando seguridad y prevención de intrusiones.

Este programa tiene tres modos de funcionamiento:

  • Sniffer.
  • Registro de paquetes.
  • IDS (Intrusion Detection System).

Información capturada por SNORT

La primera línea en un registro de alertas contiene tres números: el número del componente que acabará la alerta, el Signature ID (identificación de firma de ataque) y la versión de la firma. La siguiente línea puede incluir información sobre el tipo de ataque y su nivel de prioridad. Snort clasifica las alertas en 5 niveles, siendo el nivel 1 el más serio y el nivel 5 el menos significativo.

Para utilizar Snort como IDS continuo, es recomendable ejecutarlo como un servicio (daemon) y automatizar su inicio durante el arranque del sistema utilizando el parámetro –D

Snort tiene tres modos básicos de funcionamiento

Se pueden configurar mediante el parámetro –Q:

  • Inline: permite usar reglas tipo drop para rechazar paquetes que generen alertas. funciona como un sistema de detección de intrusiones (IDS) y como sistema de prevención de intrusiones (IPS), al  reaccionar ante ataques detectados.
  • Passive: este es el modo IDS, en el que las reglas de tipo drop no son cargadas
  • Inline-Test:  simula el modo Inline, permite la evaluación de las reglas drop pero sin afectar al tráfico. Cuando el tráfico corresponda con una regla tipo drop esta se registrará en el log como wdrop (would drop).

El archivo snort.conf contiene la configuración para ejecutar Snort como IDS y permite adaptar su funcionamiento. Los parámetros más relevantes son las reglas aplicadas al tráfico capturado, basadas en firmas de ataque. Para evitar un archivo difícil de manejar, snort.conf permite incluir otros archivos mediante el comando “include”. se pueden crear diferentes archivos de reglas y luego incluirlos en snort.conf facilitando la organización y configuración.

​​​​​​​Snort incluye varias reglas agrupadas por tipo de amenazas en diferentes archivos. Para activar estas reglas, basta con incluir la línea “include” correspondiente en el archivo de configuración. Las reglas en Snort definen la acción a realizar y especifican criterios como protocolo, fuente, destino, contenido del paquete y valores en las cabeceras para identificar paquetes como posibles amenazas. Lo primero que indica la regla es la acción a realizar. En la regla del ejemplo se indica la acción alert, pero esta no es la única acción disponible

Posibles acciones que se pueden definir:

  • alert: Genera una alerta que se incluye en el registro de alerta seleccionado y además guarda en el registro los paquetes que han provocado la alerta.
  • log: Guarda registro de los paquetes.
  • pass: ignora el paquete.
  • drop: bloquea el paquete y lo guarda en el registro.
  • reject: además de bloquear el paquete y guardarlo en el registro envía un paquete de respuesta de tipo «reset» para comunicaciones TCP o una respuesta de tipo «port unreachable» para UDP y así cortar la comunicación.
  • sdrop: bloquea el paquete pero no lo guarda en el registro

Snort incluye un conjunto extenso de reglas desarrolladas por el Vulnerability Research Team (VRT) de Sourcefire. este conjunto no es suficiente, ya que continuamente se detectan nuevas amenazas y se generan nuevas reglas. Es necesario actualizar las reglas con las publicaciones de Sourcefire y otros pudiendo ser estas actualizaciones gratuitas o mediante suscripción de pago. Pulled_Pork permiten realizar dicha actualización de forma automática. Snort forma parte de herramientas más complejas y llamativas de detección de intrusiones como Sguil, utilizándose como componente principal del módulo de detección.

 SGUIL

Un sistema Sguil consta de un servidor y varios sensores distribuidos en la red. cada sensor monitorea la seguridad en su segmento de red y reporta la información al servidor Sguil de manera regular

El servidor Sguil coordina y almacena la información recibida de todos los sensores en su base de datos. Los usuarios acceden a esta información mediante el cliente Sguil, que es multiplataforma. Para que los sensores Sguil sean capaces de capturar el tráfico de su segmento de red, deberán estar conectados a un Hub o Switch que haya sido configurado para enviar copia de todos los paquetes de datos.

Arquitectura de un sistema de monitorización Sguil

Cada sensor Sguil monitorea el tráfico en el segmento de red al que está conectado, pudiendo instalarse múltiples sensores en una misma máquina para monitorear segmentos diferentes. Estos sensores utilizan diversas herramientas para supervisar el tráfico y obtener información que luego envían al servidor.

  1. Sguil hace uso de Snort para obtener alertas de seguridad y/o intrusión.
  2. Sguil integra también SANCP (Security Analyst Network Connection Profiler, una herramienta que permite obtener información estadística del tráfico analizado) para obtener datos de sesiones TCP.
  3. Una segunda instancia de Snort se encarga de recolectar copia de todos los paquetes que pasan por el sensor (utiliza las funciones de capturador de paquetes o sniffer que proporciona Snort).
  4. Gracias a tcpflow es capaz de reconstruir datos de la capa de aplicación.
  5. Gracias a P0f es capaz de analizar las huellas del tráfico TCP/IP y detectar así el sistema operativo de los integrantes en la comunicación.
  6. Una instancia de MySQL guarda toda la información obtenida por Snort.
  7. La información obtenida se envía al servidor Sguil. La aplicación cliente permite conectarse a cualquier servidor Sguil mediante su dirección IP, puerto del servicio, y un usuario y contraseña autorizados en dicho servidor.

La información recopilada por sigil

La información adicional sobre el ataque recopilado por Sguil tiene como objetivo ayudar al analista de seguridad a determinar las acciones del atacante, entender los pasos del ataque y las herramientas utilizadas. Proporciona una gran cantidad de información para investigar los diferentes eventos de seguridad.

A partir de la información recopilada, el analista deberá analizar y evaluar cada alerta para tomar una decisión. Permite asociar diferentes categorías a las alertas y el analista puede marcar cada una de ellas dentro de un determinado nivel utilizando las teclas de función. Las categorías disponibles son:

  • F1: Categoría I: Acceso root/Admin no autorizado.
  • F2: Categoría II: Acceso de usuario no autorizado.
  • F3: Categoría III: Intento de acceso no autorizado.
  • F4: Categoría IV: Ataque de tipo de denegación de servicio efectivo.
  • F5: Categoría V: Violación de la política de seguridad.
  • F6: Categoría VI: Reconocimiento o escaneo de puertos abiertos.
  • F7: Categoría VII: Infección por virus informático.
  • F8: No es necesario realizar ninguna acción. Si el analista encargado de revisar las alertas considera que una alerta es un falso positivo, la puede descartar seleccionándola y pulsando F8.
  • F9: Escalar el evento. Si el analista no está seguro sobre una alerta, puede “escalarla” pulsando F9 para que otro analista más experimentado analice la actividad del posible atacante y trate de clasificarla.

Si considera que la alerta es real, seleccionará la alerta y pulsará la tecla de función correspondiente para asociarla con la categoría adecuada.

HONEYPOTS

Es un equipo falso modificado para tomar información de los intrusos. El nombre, los procesos del sistema, las cuentas de usuario y archivos, todo está diseñado para atraer a los atacantes. Son señuelos que parecen contener vulnerabilidades que los hacen atractivos para los hackers.

El objetivo de estos sistemas es proteger el acceso a los datos reales, los controles de administración y equipos. Permite recopilar datos sobre la identidad, el acceso y métodos de ataque utilizados. Se puede observar cómo el intruso intenta explotar datos y evadiendo los sistemas de seguridad

Ventajas:

  • Parar los ataques. 
  • Detectar ataques. 
  • Educar.
  • Crear confusión.

Para comprender el nivel de ataque logrado, es común guardar una imagen de los binarios del sistema utilizando una utilidad como Tripwire y almacenarla de manera remota. Si el “honeypot” está comprometido, es útil detenerlo y volver a configurarlo con las vulnerabilidades corregidas, pero también agregar nuevas vulnerabilidades para aprender nuevas técnicas de ataque.

Categorías:

  • Honeypots de baja interacción. El intruso interactúa de manera limitada con un sistema simple o un “escuchador” de actividad en determinados puertos
  • Honeypots de interacción media.
  • Honeypots de alta interacción.  El intruso interactúa con un sistema completo. A mayor nivel de interacción, mayor es la cantidad de información que se puede obtener. PERO un sistema completo supone un mayor riesgo.

Clasificación

  • Honeypots físicos.
  • Honeypots virtuales.

Honeynet 

Es una combinación de varios honeypots operando juntos en una red.  A diferencia de las emulaciones utilizadas en otros honeypotsHoneynet emplea sistemas completos para atraer y analizar ataques. utiliza sistemas completos detrás de un método de control de acceso, como un cortafuego, para atraer y analizar intentos de intrusión. Al ser sistemas completos, pueden ser reconocidos, atacados y explotados totalmente.

Estos sistemas pueden incluir cualquier sistema operativo encontrado en servidores en producción. ofrece todas las funcionalidades de otros honeypots, permitiendo detectar ataques y monitorizar todos los protocolos IP. es capaz de capturar amenazas desconocidas, convirtiéndolo en una valiosa herramienta de investigación para determinar la identidad de los atacantes, las herramientas que utilizan y las tácticas empleadas.

Hay tres aspectos fundamentales en una arquitectura Honeynet

  • Control de datos.
  • Captura de datos.
  • Recogida de información.

Tecnologías de virtualización como VirtualBox facilitan la creación de Honeynets y reducen significativamente los costes. Estas permiten guardar copias de las máquinas virtuales en un estado específico, lo que facilita la recuperación de las mismas en caso de ser comprometido, evitando la necesidad de reinstalar el sistema desde cero y ahorrando tiempo.

Al concluir este capítulo vital sobre Mecanismos de Seguridad, te hemos equipado con las herramientas necesarias para proteger tus redes en el mundo digital. La seguridad es un viaje continuo, y ahora posees una comprensión sólida para enfrentar los desafíos venideros. Implementa estas estrategias y construye una infraestructura digital robusta.

Lee Nuestra Guía Completa:

No te detengas, sigue avanzando….

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en redes, hacking y seguridad cibernética pero nunca lo has logrado, ahora es definitivamente el momento de dar el siguiente paso. Nuestros cursos. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble! Aprende Redes y Hacking y avanza en tu carrera.

Pentesting en Seguridad Informática. Detecta y Defiende

Calificación: 4,8 de 54,8 (766 calificaciones) 11.103 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Realiza trabajos de Auditoria en Seguridad Informática en redes de empresas o privadas para encontrar vulnerabilidades: https://achirou.com/pentesting-seguridad-informatica

Lo que aprenderás

  • Seguridad informática
  • Pentesting
  • Realizar un informe de Pentesting
  • Cómo llevar adelante una auditoria de seguridad informática
  • Cuidar tu propia información
  • Ser consciente de los ataques que existen
  • Podrás dar solución a las vulnerabilidades que encuentres
  • Realizaras Auditorias de seguridad informática sobre cualquier red.

Los dispositivos no son seguros, todo es vulnerable y la información se encuentra al alcance de personas dispuestas a lo que sea por sacar provecho de ella, por eso es necesario que las organizaciones de hoy cuenten con personal altamente calificado en la protección de sus datos.

En la actualidad se libra una batalla global por la seguridad informática que abarca gobiernos, empresas, industrias, organizaciones de todo tipo y hasta individuos.

Desde la filtración de información privada, hasta la difusión de fotos y vídeos íntimos tomados de sitios, supuestamente, seguros, ponen de manifiesto la importancia de capacitarse para estar protegidos y prevenir situaciones de vulnerabilidad que pueden poner en riesgo nuestra integridad.

Mi trabajo en la Policía, específicamente a cargo de la investigación, prevención y combate de delitos en los que la informática es una cuestión medular, me permiten aportar, a través de este curso herramientas de probada eficacia para cuidar los dos recursos más importantes de una organización, su información y su gente.

Por ello en este curso te enseño como detectar las Principales vulnerabilidades que hoy existen.

¡Inicia ahora este curso!

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mí y de mis servicios en: laprovittera.com. Seguime en mis redes:

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Continúa leyendo:

Curso Gratis de Redes – Capitulo 6 – Firewall

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *