Академический Документы
Профессиональный Документы
Культура Документы
Informática
Seguridad en Redes:
https://openwebinars.net/blog/que-es-el-pentesting/
Por otro lado, la evaluación interna permite diagnosticar la red dentro del entorno del
cliente, con una conexión directa a la intranet o DMZ.
https://www.welivesecurity.com/la-es/2014/05/20/network-pentesting-protegiendo-redes-
informacion/
Análisis de Botnets
Una botnet, o mejor dicho, una red de bots (también conocida como ejército zombi) es
una red constituida por un gran número de equipos informáticos que han sido
"secuestrados" por malware, de forma que quedan a disposición de un hacker. Al tomar el
control de cientos o miles de equipos, las botnets se suelen utilizar para enviar spam o
virus, para robar información personal o para realizar ataques de denegación de servicio
distribuido (DDoS). A día de hoy, se consideran una de las mayores amenazas en
Internet.
Para que su equipo forme parte de una botnet, primero es necesario que se infecte con
algún tipo de malware que se comunica con un servidor remoto o con otros equipos
infectados de la red. De esta forma, recibe instrucciones de quien controla la botnet,
normalmente hackers y ciberdelincuentes. A pesar de su gran alcance y envergadura, la
infección de malware botnet no es diferente de una infección normal.
https://www.avast.com/es-es/c-botnet
Basadas en host: La detección basada en host que utiliza firmas trata de detectar el
malware presente en un host observando y analizando el estado interno del host, es
decir, sus recursos y su comportamiento. Una característica distintiva podría ser un patrón
o una serie de instrucciones en código máquina que son conocidas por ser maliciosas.
Otro tipo de características podría ser la dirección IP a la que el malware intenta
conectarse. También se podrían detectar características particulares del tipo de ataque
identificando el momento más activo del malware. Es posible detectar malware de dos
formas: mediante la realización de una función de hash4 sobre los binarios o al obtener el
hash de los archivos del sistema, lo que permite saber si estos fueron modificados y
mantener su integridad. Los siguientes comportamientos, entre otros, pueden ser
identificados como firmas: intentos de modificar el registro, elevar permisos, recursos del
sistema asociados, entre otros.
Basadas en DNS: La necesidad de un bot de localizar los recursos constituye una ventaja
para la detección basada en DNS. Si se trata de una arquitectura centralizada de Botnet,
el bot deberá contactar al botmaster para obtener instrucciones. El objetivo es monitorear
el trafico DNS para obtener, si es posible, la dirección IP del botmaster. La desventaja de
esta técnica está en que no funciona en todo tipo de Botnets y la dirección IP del
botmaster puede cambiar frecuentemente.
Análisis de datos: Esta técnica es la más abarcadora de todas. La actividad de los hosts
en una red es monitoreada y registrada. Se examinan todos los archivos de registro
disponibles, relacionando los registros con posibles eventos, como un incremento notorio
en el tráfico de la red, para obtener más información. Este trabajo va a estar enfocado al
monitoreo y análisis de datos como técnica de detección.
IPv6 fue diseñado para ser más seguro que IPv4, por ejemplo, IPsec está integrado de
forma nativa en IPv6 para autenticar y cifrar los paquetes de datos.
https://www.redeszone.net/2011/10/06/seguridad-en-ipv6-lo-que-debes-saber/
IPSec también cuenta con un protocolo de gestión de claves Internet Key Exchange (IKE)
que permite a dos nodos negociar las claves y todos los parámetros necesarios para
establecer una conexión AH o ESP.
Análisis del protocolo IPSec: el estándar de seguridad en IP, Santiago Pérez Iglesias
Telefónica Investigación y Desarrollo, Nov. 2001
Las Aplicaciones Web son de los objetivos más buscados para explotarlos, esto debido a
su amplia utilización y el alto valor de los datos accedidos, el cual incrementa su valor
como objetivo de ataque.
Todo administrador de red y webmaster tiene como prioridad proteger los datos alojados
en una red o servidor; realizando pruebas de penetración permite asegurar de una mejor
manera las bases de datos.
http://sqlmap.org/
Informática Forense:
“Delincuencia informática es todo Acto o conducta ilícita e ilegal que pueda ser considerada
como Criminal, dirigida a alterar, socavar, destruir, o manipular, cualquier sistema informático
o alguna de sus partes componentes, que tenga como finalidad causar una lesión o poner en
peligro un bien jurídico cualquiera”
Con el elemento identificado se procede a realizar una imagen exacta del contenido
de la evidencia asignando un código único correspondiente a una combinación única
de bytes que constituye la totalidad del medio en observación. Este código de
validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la
información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la
autenticidad de la imagen tomada, es decir, crear un código que solamente personal
calificado y legalmente autorizado pueda manipular para proteger el elemento a ser
analizado; esto con el fin de establecer una cadena de custodia consistente. Desde
este momento ya se pueden efectuar copias exactamente iguales de la imagen a los
efectos de que diferentes actores puedan conservar una copia de seguridad.
Cadena de custodia.
Implementación CSIRT
Uno de los principales activos que poseen las empresas es la información que manejan. Un
correcto tratamiento de la información requiere la adopción de las medidas que sean
necesarias para proteger los tres aspectos básicos de la misma: integridad, confidencialidad
y disponibilidad. Un Sistema de Gestión de la Seguridad de la Información o SGSI sería, por
tanto, un conjunto de medidas destinadas a preservar estos tres elementos de la información
que maneja una empresa, independientemente del soporte, tipo, etc., de la misma. Para que
estas medidas sean efectivas, deben llevarse a cabo a través de procesos estandarizados,
documentados, conocidos y aplicados por toda la empresa. Para sistematizar estos
procesos, existe un conjunto de normas conocidas como ISO 27000, encaminadas a la
gestión de la seguridad.
Contenido de un SGSI Las medidas que integran el SGSI deben estar recogidas en una serie
de documentos que, según ISO 27001, están estructurados en los siguientes niveles.
– Nivel 1: este determina las normas fundamentales del sistema, que están recogidas en el
manual de seguridad. Este documento expone los objetivos, políticas, directrices, etc., del
SGSI.
– Nivel 3: los documentos de este nivel son las instrucciones, checklists y formularios. En
ellos se describe la forma de realizar las tareas y las actividades relacionadas con la
seguridad de la información.
– Nivel 4: está integrado por los registros, que son documentos que demuestran que se ha
cumplido lo indicado en los otros tres niveles.
Uno de los aspectos más destacados del ISO 27000 es la descripción del proceso de
implantación de un SGSI. Básicamente se resume en un proceso cíclico continuo que pasa
por las fases Plan-Do-Check-Act y vuelta a empezar.
– Arranque o inicio del proyecto: en esta fase es necesario un compromiso por parte de la
dirección de la empresa u organización, la realización de una buena planificación, así como
la asignación de los responsables del proyecto.
– Planificación (Plan). En esta fase se deberían concretar aspectos como: la definición del
alcance del SGSI, la política y los objetivos en materia de seguridad, la metodología y
enfoque a utilizar para la evaluación de riesgos, el inventario de activos, la identificación de
puntos débiles, la identificación de impactos, etc.