Resumen Examen Final PDF

**INTRODUCCION A LA CIBERDEFENSA:** - La **doctrina PDC-01 "DOCTRINA PARA EL EMPLEDO DE LAS FAS**" contempla al ciberespacio como uno de los ámbitos de las operaciones militares transversales al resto (terrestre, marítimo, aeroespacial y cognitivo) y con repercusión directa sobre ellos. - **El ciberespacio esta compuesto** por Infraestructuras, redes, sistemas de información y telecomunicaciones y otros sistemas electrónicos, por su integración a través de las líneas de comunicación y el espectro electromagnético(EEM), asi como por la información almacenada o transmitida a través de ellos. - Las acciones y medios a emplear se han convertido en un arma de disuasión del adversario cuyo efecto pueden alcanzar los **niveles estratégico, operacional y táctico, comprometiendo sistemas y redes.** - **Ciberespacio: Ámbito global y dinámico compuesto** por las infraestructuras de tecnología de información -- incluida internet, las redes y los sistemas de información y de telecomunicaciones. - **Ciberevento: Es cualquier suceso relacionado con la seguridad.** - **Ciberincidente:** Evento o conjunto de eventos en el ámbito del ciberespacio que tienen o podrían tener un efecto adverso sobre la disponibilidad, confidencialidad, integridad de la información o sobre el funcionamiento del sistema CIS. - **Ciberataque:** Acción realizada empleando el ciberespacio para producir daño. Se puede materializar comprometiendo la disponibilidad, integridad o confidencialidad de la información, mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de informáticos y telecomunicaciones o infraestructuras que lo soportan. - **Nivel técnico:** A nivel técnico la "ciberseguridad" es la capacidad de proteger adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas (CIS/TIC) y la información procesada, almacenada y transmitida mediante la aplicación de las medidas necesarias. - **Nivel Global:** Ciberseguridad es la actividad, proceso, capacidad o estado por el cual las redes y sistemas de información y telecomunicaciones, asi como la información que contienen, procesan y transmiten están protegidos o defendidos frene al daño, uso no autorizado, modificado o explotación, preservando la confidencialidad, integridad y disponibilidad e la información en el ciberespacio. **Diferencia entre Ciberseguridad y Ciberdefensa:** - **Ciberseguridad:** Conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, practicas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. - **Ciberdefensa:** Conjunto de capacidades de defensa, explotación y ataque que permiten llevar a cabo Operaciones en el ciberespacio, con la finalidad de preservar o ganar la libertad de acción en el ciberespacio de interés militar, impedir o dificultar su uso pro parte del adversario y contribuir a alcanzar la superioridad en el enfrentamiento en el resto de ámbitos físicos y cognitivos. 1. **Capacidades de la Ciberdefensa:** a. **Capacidad de defensa:** Conjunto de sistemas, operados bajo unos principios y procedimientos doctrinales que posibilitan la ejecución y mantenimiento de acciones y actividades orientadas a la protección y defensa permanente de las redes, CIS, plataformas, sistemas de armas, sistemas de apoyo a la misión y equipos, frente a ciberataques; asi como su recuperación en caso de fallo o inutilización parcial o total. i. **Acciones de protección y Seguridad:** Actividades de prevención y de protección que permiten alcanzar y mantener de forma proactiva un grado adecuado de seguridad, asi como las actividades de recuperación tras un fallo, intrusión o un ataque con éxito. ii. **Acciones de defensa interna:** Defensa dinámica que permite contrarrestar en tiempo real u oportuno una amenaza especifica. Comprende actividades de detección y de reacción o respuestas llevadas a cabo sobre las redes propias. b. **Capacidad de explotación:** Conjunto de sistemas, operados bajo unos principios y procedimientos doctrinales establecidos, posibilitan la ejecución y mantenimiento de actividades orientadas a la obtención de información en el ciberespacio, incluyendo las redes y sistemas de posibles adversarios o actores hostiles, las propias y la de terceros (neutrales). iii. NO INTRUSIVOS: extraen información puesta a disposición publica o cuya obtención no necesita vulnerar ninguna red o medida de protección y defensa. iv. INTRUSIVOS: respetando en todo momento el marco legal, acceder a las redes, sistemas y equipos del adversario o terceros actores, rompiendo o eludiendo sus medios y medidas de protección y defensa. c. **Capacidad de ataque:** Conjunto de sistemas, operados bajo unos principios y procedimientos doctrinales establecidos, posibilitan la ejecución de acciones y actividades orientadas a la realización de ciberataques. v. **Ámbito defensivo:** Como respuesta oportuna, legitima y proporcionada frente a un ataque inminente o recibido que afecte a la Defensa Nacional vi. **Carácter ofensivo:** Con finalidad de alcanzar un objetivo militar, siempre en el marco de una operación militar. - **La capacidad de ataque puede ser empleada a su vez para identificar posibles vulnerabilidades de redes y sistemas propios mediante acciones "cyber red team" contribuyendo a reforzar la capacidad de defensa.** En conjunto, este esquema representa las diferentes áreas en las que se realizan actividades de ciberdefensa y ciberataque en el ciberespacio: - OPERACIONES INFRAESTRUCTURAS CIS: **Orientadas a la** **gestión y protección de la infraestructura de comunicación e información,** **garantizando que las infraestructuras tecnológicas funcionen de manera óptima y segura**. - OPERACIONES DEFENSIVAS: **Se centran en la defensa de los sistemas y redes en el ciberespacio,** **buscan prevenir, detectar y mitigar incidentes de ciberseguridad.** - ISR: Se enfocan en la **recopilación de información y datos relevantes** mediante inteligencia, vigilancia y reconocimiento. - OPERACIONES OFENSIVAS: Buscan **debilitar o dañar los sistemas y redes del adversario**. - **Infraestructura CIS**: Mantenimiento y protección de las infraestructuras. - **Defensivas**: Protección de los propios sistemas. - **ISR**: Recolección de información sobre el adversario. - **Ofensivas**: Ataques para debilitar al adversario. 2. **Concepto CEMA** **Los dominios del ciberespacio y del espectro electromagnético tienen un área importante de solape, lo que implica que las capacidades de EW y la ciberdefensa son interdependientes. Por ello deben identificarse las capacidades necesarias en EW y de ciberdefensa, al objetivo de que ambas se complementen y tenga potenciales efectos sinérgicos.** - **Centro de Operaciones Electromagnéticas (EMBCOEM)** La integración de estos seis dominios en el **Centro de Operaciones Electromagnéticas** (EMBCOEM) representa un enfoque unificado para manejar y coordinar actividades en todos estos ámbitos. El éxito en las operaciones militares modernas depende de una **colaboración estrecha entre varios dominios** (electrónico, espacial, naval, ciber, etc.), todos ellos basados en el espectro electromagnético. La misión del EMBCOEM es asegurar que cada una de estas áreas pueda operar de forma óptima y coordinada, aprovechando las capacidades de cada dominio para lograr una defensa integral y eficaz. 3. **Centros y equipos de Ciberdefensa** d. **Nivel 1:** Mantener el correcto funcionamiento de los recursos de una red y los sistemas de explotación, cuyo principal objetivo es el de asegurar la continuidad del servicio de un nodo. **PROTECCION Y RECUPERACION**. vii. **Implementando políticas de seguridad** viii. **CT,s/ Punto de presencia CIS/CECOM.** e. **Nivel 2:** Supervisar la seguridad de un sistema, red o despliegue de forma centralizada. **DETECCION Y REACCION.** ix. Respuesta a incidentes de seguridad x. Neutralización y mitigación de ataques xi. Evaluación de la seguridad xii. Diagnostico de vulnerabilidades xiii. COS-ET (JCISAT)/COS-D (REW-31) f. **Nivel 3:** Coordinar y apoyar la respuesta a incidentes de seguridad que involucren a medios CIS de los entornos de redes nacionales y OTAN/UE, tanto permanentes como desplegables. xiv. **ESP DEF CERT (MCCE)/NCIRC-CC (OTAN)** 4. **Roles y responsabilidades nacionales** g. **Comandante de las Fuerzas de Ciberdefensa:** Dirigirá operativa y técnicamente las actividades de los COS (Centro de Operaciones de Seguridad) de acuerdo con la modalidad de transferencia de autoridad que se adopte. h. **El Responsables de cada Sistema (RSIS):** debe cooperar estrechamente con el **MOC** (Mando de Operativo Ciberespacial) estableciendo las adecuadas relaciones de mando. i. **Las CISIO estarán dirigidas por el MOC** para asegurar la libertad de acción de las FAS en el ciberespacio, como lograr la supervivencia de los elementos fisico, logicos y virtuales criticos para la Defensa y las FAS - **Las** CISIO **(Command, Control, Communications, Computers, Intelligence, Surveillance, and Reconnaissance Operations) se adaptan para abordar las amenazas y operaciones en el** ciberespacio**.** j. En las FAS además del MOPS (mando de operaciones), existen un Mando Operativo en cada ámbito (tierra, mar y aire) y el mando operativo ciberespacial (MOC) k. **Bajo dependencia operativa del JEMAD** (jefe de estado mayor de defensa), el ET, AR Y EA contara con los elementos y estructuras que le permita llevar a cabo los siguientes cometidos: xv. **Proporcionar capacidades** de **ciberdefensa a la estructura operativa**, cuando se requiera para llevar a cabo las operaciones militares. xvi. **Protección y defensa** de las redes y sistemas específicos que **NO** **empleen la I3D** xvii. **Protección y defensa de los sistemas de armas, plataformas, sistemas de apoyo a la misión**, ect. En servicio en el ET, EA y AR - **El Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC)** de [España](https://es.wikipedia.org/wiki/Espa%C3%B1a) es el órgano directivo del [Ministerio de Defensa](https://es.wikipedia.org/wiki/Ministerio_de_Defensa_(Espa%C3%B1a)), al que le corresponde la planificación, desarrollo, programación y gestión de las políticas relativas a los sistemas y [tecnologías de la información y las comunicaciones](https://es.wikipedia.org/wiki/Tecnolog%C3%ADas_de_la_informaci%C3%B3n_y_las_comunicaciones) (CIS/TIC) - **El jefe del COS de la I3D tendrá una triple dependencia:** - **Orgánica (CESTCIC)** - **Operativa (JEMAD)** - **Funcional (jefe del área de SEGINFOSIT)** 5. **Sistemas Criptográficos** l. **Criptografía**: El arte y ciencia de mantener mensajes seguros sobre canales inseguros. También como arte y ciencia en escribir/leer mensajes cifrados, conociendo la información necesaria para ello (algoritmos criptográficos y la clave). m. **Los servicios de seguridad son 5**: Se ha de emplear **2 o mas de** **estos servicios** en un sistema telemático o red corporativa. xviii. **Autentificación**: Garantiza que una entidad es quien dice ser. En algunos sistemas viene avalada por TTP como es ele caso de la utilización de certificados. El mas habitual es el de login/password. 1. **Autentificación de entidad simple** 2. **Autentificación muta** xix. **Confidencialidad:** su objetivo es el de no revelar los dados deliberadamente o accidentalmente a usuarios no autorizados. Usando técnicas criptográficas, tanto de clave secreta como de clave publica. xx. **Integridad:** (**Data integrity)** garantiza que los datos recibidos son los mismos enviados y no ha habido ninguna modificación. **Usa algoritmos HASH.** xxi. **Control de acceso:** Determina "quien" puede hacer "que", que **usuario, proceso o entidad puede acceder** según que recurso de la red corporativa o del sistema telemático que se quiera acceder. Se puede aplicar directamente sobre terminales desde los que los usuarios se conectan a la red 3. El **servicio de control de acceso se encuentra ligado al servicio de autentificación**. 4. La principal técnica es el ACL en la que existe una por cada uno de los recursos, constando cada una de las ACE de un identificador de usuario o grupo de usuarios y los privilegios. 5. Se requiere para las ACL **mayor cantidad de memoria** para almacenarlas. 6. Control de acceso se extiende a **routers y filtrado de IPs** xxii. **No repudio:** Su finalidad es que un usuario pueda demostrar la realización de una acción o no pueda negar la realización de las misma. Diferentes alternativas son: 7. **Con prueba de origen** 8. **Con prueba de envio** 9. **Con prueba de entrega** 6. **Cifrados y claves** n. **Los criptosistemas de clave secreta o criptogramas simétricos** son aquellos en los que se emplea la misma clave en el origen como en el destino, además se usa la misma clave para cifrar y descifrar la información. Cada usuario ha de tener una clave secreta y simétrica compartida. o. **La criptografía de clave publica:** Se basa en la existencia de 2 claves para cada usuario. [Clave Publica y Clave Privada]. xxiii. La **Clave Publica** conocida por todos los usuarios. xxiv. La **Clave Privada** únicamente es conocida por el usuario propietario. 7. **ENCRIPTACION** p. **Criptografía Avanzada de clave secreta**: **(Simétrica)**: Una clave para cifrar y descifrar. xxv. **Mecanismos de cifrado de bloque** 10. Son métodos en los que el texto claro **se divide en bloques de longitud fija (por ejemplo, 64 bits) y cada bloque se cifra individualmente**. 11. ECB (electronic CodeBook) 12. CBC (Cipher Block Chaning) 13. CFB (Cipher Feedback) 14. OFB (Output FeedBack) xxvi. DES (Data Encryption Standard) 15. Es un algoritmo de **cifrado simétrico** que se desarrolló en 1975 por IBM y fue un estándar durante muchos años. Utiliza un **cifrado de bloque de 64 bits** y una **clave de 56 bits**. xxvii. Algoritmo de Diffie-Hellman 16. **Intercambio de claves en criptografía simétrica**. 17. Basado en la utilización de **números primos y aritmética modular**. 18. Útil en situaciones en las que 2 partes necesitan establecer conexión segura sin haber compartido una clave secreta. q. **Criptografía Avanzada de Clave publica** **(Asimétrica)**: Usa una clave pública para cifrar y una clave privada para descifrar. xxviii. Cifrado RSA: 19. Criptosistema de clave publica 1978 20. Se basas en números **primos, factorización de grandes números y cálculos de logaritmos en aritmética modular** 21. Utilizado por Novell 22. Utilizado en sistemas de certificados 23. Imposibilidad de obtener la clave privadas. xxix. Algoritmos HASH 24. Funciones en **un solo sentido** 25. Resumen longitud variable en fija 26. Principal utilidad las huellas y las firmas digitales. xxx. Firmas digitales 27. Combinan funciones HASH con criptositemas de clave publica. 28. Digital Signature Estándar 29. Diferencias y semejanzas con la firma física. 8. **ENCRIPTACION:** r. Los algoritmos usados en las funciones HASH deben tener estas características: xxxi. **Ser consistentes (**misma entrada dará misma salida) xxxii. **Ser aleatorios** xxxiii. **Ser únicos**, de forma que sea practicante imposible que 2 mensajes sean iguales xxxiv. **Ser funciones de una sola dirección**. s. Las funciones HASH **tienen la misión de crear firmas o huellas digitales** en fichero o mensajes, para ello lo hacen con diferentes técnicas criptográficas. 9. 10. PUESTOS RELACIONADO CON CIBERDEFENSA: t. u. **Analista de Ciberseguridad:** Responsable de analizar y asesorar sobre las capacidades y vulnerabilidades de un adversario, interacción entre actores e información obtenida a través del ciberespacio. v. **Asesor de ciberdefensa**: Responsable de asesorar sobre la integración de las operaciones en el ciberespacio en el ciclo de planeamiento y conducción de una operación, coordinando su planeamiento y ejecución entre otras, con las operaciones de información (INFOOPS) w. **Desarrollador de Software:** Personal que **desarrolla un software corporativo o personal técnico que apoye y asesore a órganos de contratación**, para analizar y verificar que el software a adquirir cumple con unas medidas de seguridad determinadas. 11. **Tipos de ciberataques y principales amenazas en la red.** x. **Actividades de seguridad en ciberespacio:** xxxv. **Detección: Detectar posibles incidencias de seguridad de forma temprana,** efectuando para ello labores de monitorización, de distintos sistemas y llevando a cabo la explotación de herramientas de detección y prevención de intrusiones. xxxvi. **Gestión:** Acciones encaminadas a **la operación propia de los sistemas de seguridad de la información** y a la obtención y presentación de información sobre el estado de seguridad de los CIS xxxvii. **Proactivas: Operaciones** **dirigidas al análisis de las amenazas que pueden materializarse en nuestros CIS, a la detección y análisis de vulnerabilidades** en dichos sistemas, asi como a **promover la implantación de medidas de seguridad de carácter preventivo**. xxxviii. **Reactivas:** Operaciones **orientadas a evaluar y resolver ciberincidentes que pudieran causar un impacto en la organización** asi como a realizar o posteriori, **análisis** de tipo forense **para averiguar que ha ocurrido al objeto** de proponer **acciones correctivas para evitar** la repetición de incidentes similares. y. Las motivaciones de los ataques varían y puede clasificarse según el CERT: xxxix. Gubernamentales y militar xl. Negocios xli. Financieros xlii. Terroristas xliii. Rencor xliv. Diversión z. **Las diferentes vulnerabilidades según el CERT:** xlv. Acceso físico xlvi. Defectos o errores en el software o en los sistemas operativos (bugs) xlvii. Sistemas operativos inseguros xlviii. Malas configuraciones xlix. Vulnerabilidades en las comunicaciones l. Acceso a equipos intermedios. a. **Buffer Overflow:** consiste en que la pila del sistema, donde se almacena las instrucciones a ejecutar pueda saturarse, con lo que se podría afectar a otras zonas de memoria y conseguir la corrupción de datos o la caída del sistema. b. **TCP:** TCP envía fuera de banda (Out-of-Banda Data) paquetes, no forma parte del flujo normal la información y no consume numero de frecuencias. Se utilizan bit de código URG y del campo de las cabeceras Urgente Pointer para poder aprovechar y hacer ataques de Buffer Overflow, confusión de protocolo y negación de servicios DoS. c. **Los sistemas operativos que NO son seguro**s son por si solos una fuente de vulnerabilidades ya que no se han diseñado con la robustez adecuada para ser sistemas operativos seguros (DOS: Windows 3.x y 9.x). Los sistemas operativos se clasifican por sus niéveles de seguridad en: li. D (Menos seguro) lii. C1 liii. C2 liv. B1 lv. B2 lvi. B3 lvii. A (Mas seguro) d. **Los intrusos no atacan una red corporativos de forma directa**, sino que emplean medios o puntos intermedios. Estos medios intermedios pueden ser otras estaciones, otros quipos hardware u otras cuentas de usuarios. La utilización de equipos intermedios permite que un atacante enmascare el acceso, e incluso permite que cifre mediante túneles punto a punto las comunicaciones desde el equipo origen del ataque hasta el equipo intermedio o salto hasta el destino. e. **Algunos de estos ataques que permiten obtener ventajas son:** lviii. **Utilización de IPs de confianza** lix. **Monitorizaron de un segmento de red, modificando dirección MAC.** lx. **Secuestro de terminales TCP** f. **El foot-printing** es una técnica de la que depende del sitio, la red y las herramientas disponibles. g. **Interrogación a los servidores DNS**, son lo que mas información relacionada con TCP/IP pueden proporcionar a los atacantes. La situación mas interesante es conseguir realizar una transferencia secundaria de zona (se obtiene todos los registros correspondientes al dominio correspondiente) h. **Reconocimiento de la RED:** "**TraceRoute"** para **determinar los saltos y routers** atravesados hasta alcanzar el objetivo, tambien permite localizar el **firewall** de entrada a una red corporativa, ya que es el paso previo que separa al intruso del servidor blanco del "TraceRoute" i. **Las técnicas de enumeración:** Utilizan la información previamente obtenida en los dos pasos anteriores (sacnning y Footprinting) y **depende** fundamentalmente **del sistema operativo** de la estacion objetivo. 12. **Ataques de Denegación de Servicio (DoS)** j. **El atacante enmascara la dirección IP origen** para que no se detecte el origen del ataque, envía un paquete tipo "ICMP ECHO\_Request" con un campo de información tan grande que el buffer de entrada **se satura y lleva a la estacion receptora a caer**. **Tras un ataque** es interesante **seguir al atacante**, para ello se puede **utilizar herramientas de tracking como el MCI DoS tracker.** 13. **IP Spoofing, adivinación del numero de secuencia.** k. **El IP spoofing** consiste en la adivinacion de los numeros de secuencia que se utilizan: lxi. **Tienen como objetivo ejecución de comandos de forma remota.** lxii. **Se suele emplear en combinación con TCP SYN flooding.** lxiii. **Se basa en el estudio del mecanismo de establecimiento de la conexión.** l. Los pasos a seguir necesarios para este tipo de ataque son**:** lxiv. **Adivinar el numero de secuencia que utiliza el servidor.** lxv. **Enviar un paquete SYN al servidor, por ejemplo, al puerto TCP RSH utilizando la dirección IP del cliente valido.** lxvi. **Previamente el puerto del cliente debe ser bloqueado con TCP SYN flooding.** lxvii. **El atacante no recibe el paquete SYN+ACK, tampoco el cliente real bloqueado.** lxviii. **El atacante envía un paquete ACK reconociendo el numero de secuencia del servidor.** lxix. **El atacante puede ejecutar comandos, pero sin recibir confirmaciones.** 14. **TCP Hijacking o Secuestro de Terminal:** m. **El objetivo** de este ataque es el de apoderarse de una conexión TCP y una sesión Telnet, para ejecutar comandos no deseados por el verdadero propietario de la sesión. TCP hijacking, requiere que: lxx. **Conexión TCP ya se encuentra establecida.** lxxi. **Utilización de un medio compartido, para poder monitorizar** los paquetes. n. **Herramientas para hacer TCP Hijacking:** lxxii. JUGGERNAUT lxxiii. HUNT lxxiv. ARGUS o. Se aprovecha de la debilidad de la implementación de seguridad de TCP, mediante: lxxv. La **escucha de paquete**, viendo números de secuencias. lxxvi. **Desincroniza** los numero de secuencia **entre cliente y servidor**. lxxvii. Introducción de paquetes con comandos propios lxxviii. El **ataque suele centrarse en sesiones TELNET**, aunque seria perfectamente valido el ataque a otro tipo de servicios que se ejecute sobre TCP. 15. **Ataques sobre el encaminamiento**: p. Los ataques se realizan sobre el encaminamiento, con objetivo de alterar las rutas de los paquetes para alcanzar el destino. Los paquetes que se encaminen desde el origen hasta el nuevo destino seleccionado y controlado por el intruso. La redireccion se emplea para: lxxix. **Man-in-the-middle** lxxx. **Obtencion de informacion (contraseñas)** lxxxi. **DoS, por enrutamiento hacia un black hole.** q. Los intrusos emplean la opción de IP denominada "Source Routing" que consiste en que los paquetes enviados a la red objetivo l**levan como dirección origen una dirección de la misma red**. 16. **Ataque sobre el servidor DNS** r. Los ataques sobre DNS tienen como objetivo alterar la resolución de nombre. 17. **Elementos intermedios** s. Los intrusos **una vez obtenida una cuenta** **en un equipo intermedio utilizan diversos medios para comunicar esta con la maquina propia y no ser detectados:** lxxxii. **Túneles cifrados** lxxxiii. **UDP como transporte** lxxxiv. **ICMP como transporte, ya que la mayor parte de router y firewalls permite el paso de paquetes de este tipo** lxxxv. **Otra técnica de enmascaramiento consiste en el salto de puerto a puerto en una misma estacion.** 18. **Vulnerabilidades mas importantes en Redes corporativas:** t. **Control de acceso al router inadecuado:** (ALCs mal configuradas permiten el flujo de informacion desde el exterior hacia la intranet o la extranet. u. **Control de acceso remoto:** (Puntos de acceso al servicio inseguros y no monitorizados proporcionan uno de los medios mas fáciles para entrar en la red corporativa de una empresa. Este acceso suele estar conectado a servicios de red publica lo que puede permitir el acceso conmutado a uno o mas servicios de red publica. **Jamás debe conectarse al servidor de acceso remoto a una intranet, siempre debe conectarse al firewal o a la DMZ para permitir el control mas adecuado de la seguridad.** v. **Footprinting y Scanning:** El filtrado de información proporciona a los atacantes datos relativos a los sistemas operativos, versiones de las aplicaciones, usuarios, grupos, recursos compartidos, DNS a través de transferencias de zona asi como servicios que se están ejecutando. w. **Servicios innecesarios:** Los **hosts que ejecutan servicios que no se emplean siempre dejan algún punto vulnerable**. Hay que recordad las diferentes vulnerabilidades de los servicios anteriores, asi como los axiomas y teorema de las seguridades, que recomiendan no instalar demasiados servicios en los diferentes servidores, ni servicios con implementaciones demasiados largas, debido a los bugs. x. **Passwords:** Las passwords **débiles, sencillos de averiguar o que se reutilicen de forma frecuente** en las estaciones de trabajo pueden comprometer la seguridad de los servidores. y. **Privilegios** (las cuentas con usuario y de prueba con excesivos privilegios o derechos de usuarios comprometen la seguridad de las redes corporativas y los sistemas). z. **Servidores de Internet** (Los servidores de Internet mal configurados son puntos inseguros sobre todo los servidores WWW con scripsts CGI uy los servidores FTP anónimos. Estos servidores se encuetran en DMZ, pero en muchos casos pueden ser empelados como quipos para saltar al internet corporativo, debido a relaciones de confianza o ACLs de routers del firewall) a. **Firewall (**El firewall o el ACL del router mal configurado pueden permitir el acceso a los sistemas internos de forma directa o cuando la seguridad de uno de los servidores de la DMZ se haya comprometido) b. **Software** (El software sin parches de seguridad, vulnerable, que no esta actulizado o **dejado con configuraciones por defecto** es un riesgo, como ya se estudio en los **axiomas de seguridad, no existe una relación lineal entre líneas de código y vulnerabilidades.** c. **ACLs (Nunca son excesivos los controles de acceso** a los ficheros y a directorios, asi como a compartidos. **Es recomendable utilizar sistemas de almacenamiento seguros**, ya que permiten implementar el servicio de control de acceso. d. **Relaciones de confianza (**un **numero excesivo** como las que se establecen entre Domnio NT y las de UNIX mediante los ficheros ".rhosts" y "hosts.wquiv" pueden proporcionar acceso a puntos sensible. e. **Servicios sin autentificación** (**ejecución en las estaciones clientes servicios que no requieren autentificación** como el caso de X-Windows**).** f. **Monitorización y auditoria (Potenciar las capacidades de monitorización, auditoria y detección de intrusos a nivel de red y sistema).** g. **Políticas de seguridad. (es necesario que se promulguen políticas de seguridad que sean conocidas por todos los usuarios como un estándar.)** 19. **FIREWALLS o Cortafuegos** h. Los firewalls tradicionales protegen dispositivos que se encuentran conectados a una red, actuando como paredes de contención. i. En concreto, los firewalls tradicionales actúan sobre capa 3 y capa 4. j. Las amenazas han evolucionado (APT) y son capaces de **sortear el filtrado de capas 3 y 4.** k. **No resuelven todos los problemas de seguridad, debe formar parte de una defensa en profundidad.** l. **Se clasifican en 3 tipos:** lxxxvi. **Router filtrado de paquetes** lxxxvii. **Pasarelas de nivel de aplicación** lxxxviii. **Pasarelas a nivel de circuito.** m. **Firewall apantallado con host bastión único.** lxxxix. El router de filtrado de paquetes se configura para permitir: 30. Los paquetes IP entrada hacia el host bastión 31. Los paquetes IP salida hacia el host bastión. xc. El host bastión realiza tareas de: 32. Autentificación 33. Servidor Proxy xci. Tiene la **desventaja** de que, **si la seguridad del router se rompe**, es posible **comprometer la seguridad** de todas las estaciones de la intranet, ya que la información pasa por el host bastión solo si el router se la envía, siendo posible **puentearlo**. n. **Firewall apantallado con host bastión de doble puerto** xcii. El router de filtrado de paquetes se configura para permitir: 34. Los paquetes IP entrada hacia el host bastión 35. Los paquetes IP salida hacia el host bastión. xciii. El host bastión realiza tareas de: 36. Autentificación y servidor proxy como la configuración de host bastión único. 37. **La utilización de 2 puertos en el host bastión** previene el compromiso de seguridad del router. El host bastión tiene 2 tarjetas de red que permiten separar la subred en 2 partes y que **todo el trafico pase a través de el.** o. **Configuración de subred apantallada** xciv. Es la **mas segura de las 3 apantalladas**. Se crea una subred aislada denominada DMZ (Zona desmilitarizada) en la que se sitúan los servidores públicos de internet**. El exterior, la intranet y la** **DMZ** (controlada por el propietario de la red corporativa) 38. Existen 3 nieves de defensa frente intrusos 39. El router externo indica solo la existencia de la DMZ 40. El router interno solo permite el acceso a la DMZ a los usuarios internos, con los que no pueden trazar rutas directas a Internet. xcv. Existe una configuración alternativa, **consiste en eliminar el router interno y convertir el host bastión en un equipo con 3 tarjetas de red.** 20. **Arquitectura DMZ** xcvi. **La idea es "aislar" los servicios, que son atacados con frecuencia, de la red de usuarios.** ![](media/image8.png) 21. **Sistemas de detección y de prevención de intrusos** p. **IDS y IPS** permiten monitorizar el trafico analizando **la red, los paquetes y los puertos. Cuando se detecta un patrón anómalo**, nos avisa para poder **reaccionar en una etapa temprana**. Ambos sistemas permiten registrar la información de incidentes previos, facilitando la tarea de realizar posteriores informes. xcvii. **IDS se consideran elementos reactivos** que realizan **análisis continuo del trafico de red y barren los puertos** en busca de patrones sospechosos. Disponen de una gran base de datos de las **firmas de ataques conocidos** y software malicioso. Una vez encuentra un posible riesgo, emite una alerta para que los responsables tomen una decisión. xcviii. **Los IPS (Sistema de Prevención de Intrusos) son un elemento proactivo** que surgió como una extensión de los IDS. Su papel comienza **tras haber detectado una amenaza**, en ese momento **comienza la gestión** del proceso de crisis. IDS actúa sobre puertos y direcciones IPs, IPS actúa en base a los contenidos del trafico. Siendo capaz de tomar decisiones sobre el control de acceso y resolviendo ambigüedades que pudieran dar lugar a un ataque. Tambien permite integrar políticas de seguridad en la toma de decisiones. 41. **Monitorea** a nivel de **capa 3(red) y capa (7) aplicación.** 42. Sistema que **complementa** a otras herramientas de seguridad Firewall y IDS. 43. **Puede tomar decisiones de control de acceso** basado, al igual que un firewall o un IDS. 44. **IPS** se puede clasificar **en su método para realizar detecciones y** basados en la **tecnología que los implementa.** q. **IPS según su método:** xcix. IPS basado en firmas: **Se debe contar con Base de datos con los patrones de ataques en particular, buscando coincidencias con esos patrones**. c. IPS basado en anómalas: **Identifica comportamientos diferentes**. ci. IPS basado en Análisis de protocolo: **Similar al IPS basado en firmas, pero realizando** inspecciones mas profundas en los paquetes. r. **IPS según su tecnología:** cii. Basado en Host: **Monitorea las características de un host particular**, detecta actividades dentro del mismos. Se enfocan en la protección de **servidores, escritorios o laptops o una aplicación de servicios**. ciii. Basado en RED: **Monitorea el trafico de red que fluye a través de segmentos** particulares, y analizan protocolos de red, de transporté y aplicación. **Este IPS se distribulle a lo largo de varios segmentos de red**.

Resumen Examen Final PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue