Manua para La Deteccion de Intrusosl

Manual para
c detectar y eliminar intrusos

en la red
ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

barrio Tecomavaca calle Benito Juárez s/n
telefono: 236 107 83 70 - 951 505 50 56 ARI_SERVICE@HOTMAIL.COM
Manual para
en la red
Colegio de Estudios Científicos y

Tecnológicos del Estado de Oaxaca
Plantel 02 Cuicatlán
Módulo IV: Diseña e instala redes LAN de acuerdo a las necesidades de la organización
y estándares oficiales
Submódulo II: Instala y mantiene redes LAN de acuerdo a estándares oficiales
Manual
Equipo: Ivette Galeote Lázaro
Gilberto Rosales Esperón
José Ángel Jiménez Zarault
Antonio Hernández López
Docente: Ing. Luis Gilberto Hernández Bautista
Especialidad: Técnico en Soporte y Mantenimiento de Equipo de Cómputo.
Grupo: 602
Semestre lectivo: 2018-1

Manual para
en la red
Índice:
Tabla de contenido
Capítulo I.-
CAPITULO 1 INTRODUCCION ............................................................................................................... 5
1.1 Introducción .............................................................................................................................. 5
Capitulo 2.- objetivos .......................................................................................................................... 6
2.1Objetivos Generales ................................................................................................................... 6
2.2OBJETIVOS ESPECIFICOS ............................................................................................................. 6
Capítulo 3.- MARCO TEORICO O MARCO REFERENCIAL ..................................................................... 7
3.1 Que es un ataque: ..................................................................................................................... 7
3.2¿Cómo ocurren los Ataques? ..................................................................................................... 8
Ataques remotos........................................................................................................................... 9
Ataques DoS ................................................................................................................................. 9
Envenenamiento de DNS .......................................................................................................... 10
3.3 Como proteger tú equipo ........................................................................................................ 10
4.1 Un hacker: ............................................................................................................................... 11
5.1 Ataque por virus: ..................................................................................................................... 12
5.2Gusano ..................................................................................................................................... 13
5.3Troyano .................................................................................................................................... 13
6.1 Características de IDS .............................................................................................................. 13
7.1 Vulnerar Para Proteger............................................................................................................ 14
8.1 Firewalls .................................................................................................................................. 14
9.1 Wrappers ................................................................................................................................. 15
10.1 Sistemas de Prevención de Intrusos ..................................................................................... 16
Capitulo 3.- Desarrollo: ..................................................................................................................... 17
3.1 FALLAS COMUNES EN UNA RED DE ÁREA LOCAL .................................................................... 17
3.2Equipo no puede acceder a la red............................................................................................ 17
Posibles soluciones.................................................................................................................... 17

Manual para
en la red
3.3Las computadoras en una red no pueden verse entre sí. ........................................................ 18

3.4Fallas en switches o Routers .................................................................................................... 19
3.5Errores DNS .............................................................................................................................. 20
3.6 Malware .................................................................................................................................. 20
3.7 Wireless Network Watcher ..................................................................................................... 21
3.8 Who is on my Wi-Fi ................................................................................................................. 21
3.9 Procedimiento para la detección y eliminación de intrusos ................................................... 22
3.10 Detección de intrusos a partir del mal uso ........................................................................... 24
3.11 Detección basada en anomalías ............................................................................................ 24
3.12 Esquemas de NIDS basados en aprendizaje automático ...................................................... 26
3.13 Taxonomía de los sistemas de detección de anomalías ....................................................... 27
3.14 Atributos de tráfico de red .................................................................................................... 28
3.15 Esquema de clasificación para atributos de conexiones....................................................... 28
3.16 Los pasos más relevantes para NIDS son: ............................................................................. 30
Capítulo 4.- Como detectar fallas con snort...................................................................................... 32
Capitulo 5.-Procedimiento de firewall .............................................................................................. 49
Paso 6 ...................................................................................................................................... 58
Capítulo 6.- CONCLUSION................................................................................................................. 62
Capítulo 7.-Bibliografía ...................................................................................................................... 63

Manual para
en la red
CAPITULO 1 INTRODUCCION
1.1 Introducción
Llamaremos intrusión a un conjunto de acciones que intentan comprometer la

integridad, confidencialidad o disponibilidad de un recurso analizando esta
definición, podemos darnos cuenta de que una intrusión no tiene por qué consistir
en un acceso no autorizado a una máquina sino que también puede ser una
negación de servicio, para esto existen los sistemas utilizados para detectar las
intrusiones o los intentos de intrusión a los cuales se les denomina sistemas de
detección de intrusiones de los cuales cualquier mecanismo de seguridad con este
propósito puede ser considerado un IDS, pero generalmente sólo se aplica esta
denominación a los sistemas automáticos ya sea software o hardware para ello se
les mostrara el siguiente manual para poder entender la manera de cómo detectar
intrusos y como eliminarlos, antes de eso una de las primeras cosas que
deberíamos plantearnos a la hora de hablar de los sistemas de detección de intrusos
es si realmente necesitamos uno de ellos en nuestro entorno de trabajo y o empresa
cual se el caso; a fin de cuentas, es normal que ya se tenga un sistema de protección
perimetral basado en cortafuegos, y por si nuestro firewall fallara, cada sistema
habría de estar configurado de una manera correcta, de forma que incluso sin
cortafuegos cualquier máquina pudiera seguirse considerando relativamente
segura, paya ello lo que se debe tomar en cuenta es que se debe estar prevenido

Manual para
en la red
si se llegara a presentar el caso de que alguien consiguiera romper la seguridad de

nuestros equipos para así poder estar preparado y contrarrestar este ataque
Capitulo 2.- objetivos
2.1Objetivos Generales
Informar a las empresas como pueden diseñar o buscar estrategias para proteger
la red de posibles intrusos, y así poder tener una protección segura, mediante las
recomendaciones de la empresa ARI SERVICIE
2.2OBJETIVOS ESPECIFICOS
 Identificar las fallas de seguridad relacionadas con el protocolo TCP/IP
 Conocer los conceptos relacionados con los Sistemas de Detección de
Intrusos y el Monitoreo de Seguridad
 Identificar los aspectos fundamentales en la implementación de Sistemas de
Detección de Intrusos y monitoreo de Seguridad Informática
 Comprender los requerimientos y responsabilidades corporativas necesarias
para completar exitosamente un proyecto de Detección de Intrusos.
 Ayudar a que el cliente comprenda los riesgos que puede tener si no conoce
las medidas de seguridad en la red

Manual para
en la red
Capítulo 3.- MARCO TEORICO O MARCO REFERENCIAL
3.1 Que es un ataque:

Manipulaciones no deseadas en el sistema, especialmente a través de internet. Las
manipulaciones pueden ser ataques de hackers malintencionados.
Un sistema de detección de intrusos, es usado para detectar tráficos de red y uso

de computadora maliciosos, que no pueden ser detectados por un cortafuego
convencional
Los atacantes
Los atacantes de todas las capacidades y motivaciones son peligrosos a la

seguridad de la red interna, de diversas maneras:
Principiante. La mayoría de los atacantes tienen solamente conocimiento básico de

sistemas pero son inmóviles y peligrosos porque no entienden a menudo
completamente las consecuencias de sus acciones.
Intermedio. Los atacantes con habilidades intermedias generalmente están

intentando ganar respeto en comunidades de atacantes. Típicamente, atacan
blancos prominentes y crean herramientas automatizadas para atacar otras redes.
vanzado. Los atacantes altamente expertos presentan un desafío serio a la

seguridad porque sus métodos de ataque se pueden extender más allá de la
tecnología en intrusión física e ingeniería social, o engaño de un usuario o
administrador para ganar la información. Aunque hay relativamente pocos atacantes
avanzados, sus habilidades y la experiencia los hacen los atacantes más peligrosos
a una red.
Manual para
en la red
3.2¿Cómo ocurren los Ataques?

Intento de ingreso
En esta etapa, el atacante investiga a la organización blanco. Él puede obtener toda

la información pública sobre una organización y sus empleados y realizar
exploraciones completas en todas las computadoras y dispositivos que son
accesibles desde Internet.
Penetración en la red
Después de que el atacante haya localizado vulnerabilidades potenciales, intenta

aprovecharse de una de ellas. Por ejemplo, el atacante explota las vulnerabilidades
en un Servidor Web que carece de la última actualización de seguridad.
Elevación de privilegios
Luego que el atacante ha penetrado con éxito la red, procura obtener los derechos
de Administrador a nivel de sistema. Por ejemplo, mientras que explota el servidor
Web, gana control de un proceso funcionando bajo el contexto LocalSystem. Este
proceso será utilizado para crear una cuenta de administrador. En general, la pobre
seguridad como resultado de usar configuraciones por defecto, permite que un
atacante obtenga el acceso a la red sin mucho esfuerzo.
Explotar vulnerabilidades
Después de que el atacante haya obtenido los derechos necesarios, realiza el

intento de romper la seguridad de la red. Por ejemplo, el atacante elige desfigurar
el sitio Web público de la organización.

Manual para
en la red
Borrado de huellas
La etapa final de un ataque es aquella donde un atacante procura ocultar sus

acciones para escapar a la detección o el procesamiento. Por ejemplo, un atacante
borra entradas relevantes de la intervención en archivos log.
Conflictos con direcciones IP: Los servicios DHCP en general, poseen sistemas
que les ayuda a prevenir que asignen una IP repetida a un equipo en la red. Sin
embargo ocasionalmente puede ocurrir que 2 equipos tengan la misma IP, ya que
uno de ellos puede estar configurado estáticamente. Este hecho se conoce como
IP Duplicada.
Ataque indirecto – ataque indirecto significa un ataque lanzado desde un tercer

equipo del partido, ya que se hace más difícil rastrear el origen del ataque.
Ataques remotos
Técnicas especiales que permiten a los atacantes comprometer sistemas remotos.
Se dividen en varias categorías:
Ataques DoS
DoS, o Denegación de Servicios, es un intento de deshabilitar un equipo o red
para el uso de sus usuarios habituales. Los ataques DoS obstruyen las
comunicaciones entre los usuarios afectados, impidiendo que continúen siendo
funcionales. Un método frecuente de ataque implica la saturación del equipo
vulnerado con solicitudes de comunicaciones externas, de modo que este no
pueda responder al tráfico legítimo o lo haga con tal lentitud que se la considere
no diponible. Estos ataques usualmente conducen a una sobrecarga del servidor.
Los equipos expuestos a ataques suelen requerir el reinicio para así poder
funcionar apropiadamente.
Manual para
en la red
Envenenamiento de DNS
Valiéndose del envenenamiento de DNS (Domain Name Server) los hackers
pueden engañar al servidor DNS de cualquier equipo logrando fingir que la
información falsa es legítima y auténtica.
Análisis de puertos
El análisis de puertos se emplea para determinar cuáles de los puertos del equipo
se encuentran abiertos en un host de red. Se trata de un programa diseñado para
encontrar tales puertos. El puerto de un equipo es un punto virtual que maneja la
información entrante y saliente – esto es crucial desde un punto de vista ligado a la
seguridad.
Desincronización de TCP
La desincronización de TCP es una técnica empleada en ataques de de "secuestro"
de TCP. Se desencadena mediante un proceso en el cual el número secuencial en
los paquetes entrantes difiere del número secuencial esperado. Los paquetes que
tienen un número secuencial diferente son rechazados (o guardados en un búfer de
almacenamiento si se encuentran presentes en la ventana de comunicación actual).
3.3 Como proteger tú equipo

Debe contarse con antivirus y antimalware que sean avalados por la comunidad a
la hora de detectar archivos maliciosos.
Contraseñas fuertes
Ni el nombre de nuestros hijos, ni el de nuestra mascota, ni el equipo de fútbol
favorito. Por supuesto no poner sólo números y que encima estén relacionados
con la contraseña de otro tipo de cuenta como puede ser la bancaria.
Utilizar protocolos de seguridad

Manual para
en la red
Es un paso imprescindible pues de lo contrario las transferencias de archivos a un

servidor pueden volverse completamente vulnerables
Comprobar la autenticidad de enlaces y perfiles

Es muy común sufrir ataques a través de phishing mediante el cual se intenta
adquirir información confidencial de forma fraudulenta, normalmente a través
del email
Evitar dar datos personales

Principalmente en las propias redes sociales y en cualquier tipo de página web
que no sea de fiar
No descargar contenido pirata

En la red son numerosas las opciones para bajar software o archivos multimedia
con la mejor música o películas.
Realizar una copia de seguridad

Es algo fundamental pues si sufrimos algún tipo de ataque o tenemos algún
problema siempre podremos recuperar la información perdida.
Denunciar a las autoridades

Siempre que nos encontremos con un contenido que no sea adecuado o con una
página que pueda suponer un riesgo para el usuario lo mejor es denunciarlo a la
policía o cuerpos encargados de este tipo de procesos.
4.1 Un hacker:
Son intrusos que se dedican a estas tareas como pasa tiempo y como reto técnico,
entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia
y conocimientos de los entresijos de internet pero no pretenden dañar a estos
sistemas, sin embargo estos pueden tener acceso a información confidencial por lo
que se están considerando personas
Manual para
en la red
con capacidades peligrosas en otras palabras hablamos de cometer un delito

federal o hasta mayor.
5.1 Ataque por virus:
Un virus es un programa informático creado para producir algún daño en el equipo

y que posee, además, dos características particulares: pretende actuar de forma
transparente al usuario y tiene la capacidad de reproducirse a sí mismo. Los virus
pueden ingresar en su equipo desde otras computadoras infectadas, a través de
medios extraíbles (CD, DVD, etc.) o por medio de una red (local o internet). Existen
numerosos tipos de virus.
Virus archivos: Atacan programas ejecutables, como aquellos que cuentan con
extensión ".exe" y ".com"
Virus script: Se trata de un subtipo de virus archivos, escritos en una variedad de

lenguajes de scripting (VBS, JavaScript, BAT, PHP, etc.). Además infectan otros
scripts (por ejemplo archivos de servicios y comando de Windows y Linux) o forman
parte de virus con múltiples componentes. Los virus script tienen la capacidad de
infectar archivos con otros formatos como HTML, tal formato permiten la ejecución
de scripts.
Virus Boot: Atacan los sectores de arranque (el sector de arranque de los medios
extraíbles o del disco maestro) y establecen sus propias rutinas de carga en el
arranque.
Virus macro: Atacan documentos en los cuales pueden ser insertados otros
comandos (macros). Estos virus habitualmente se hallan incrustados dentro de
aplicaciones para procesamiento de texto o generación de hojas de cálculo, debido
a que las macros se insertan fácilmente en esta clase de archivos.

Manual para
en la red
5.2Gusano
Un gusano es un programa independiente que se replica a través de una red. A
diferencia de los virus (los cuales necesitan del archivo infectado para ser copiados
y replicarse), el gusano se propaga activamente enviando copias de sí mismo a
través de la red local o Internet, la comunicación por correo electrónico o
aprovechando errores de seguridad del sistema operativo.
5.3Troyano
Un troyano es un código malicioso que, a diferencia de los virus y gusanos, no puede
reproducirse por sí mismo e infectar archivos. Usualmente se encuentra en forma
de archivo ejecutable (.exe, .com) y no contiene ningún elemento más, a excepción
del propio código del troyano. Por esta razón la única solución consiste en
eliminarlo.
6.1 Características de IDS

Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en
que esté basado, debería contar con las siguientes características:
• Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo

suficientemente fiable para poder ser ejecutado en background dentro del equipo
que está siendo observado. Sin embargo, no debe ser una "caja negra" (debe ser
examinable desde el exterior).
•Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una
caída del sistema.
•En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema
puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado.

Manual para
en la red
•Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la

máquina, simplemente no será utilizado.
•Debe observar desviaciones sobre el comportamiento estándar.
•Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un

patrón de funcionamiento diferente y el mecanismo de defensa debe adaptarse de
manera sencilla a esos patrones.
•Debe hacer frente a los cambios de comportamiento del sistema según se añaden
nuevas aplicaciones al mismo.
7.1 Vulnerar Para Proteger

Los intrusos utilizan diversas técnicas para quebrar los sistemas de seguridad de
una red. Básicamente buscan los puntos débiles del sistema para poder colarse en
ella. El trabajo de los Administradores y Testers no difiere mucho de esto. En lo que
sí se diferencia, y por completo, es en los objetivos: mientras que un intruso penetra
en las redes para distintos fines (investigación, daño, robo, etc.) un administrador lo
hace para poder mejorar los sistemas de seguridad.
El software y el Hardware utilizados son una parte importante, pero no la única. A

ella se agrega lo que se denomina "políticas de seguridad internas" que cada
organización (y usuario) debe generar e implementar.
8.1 Firewalls
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce
la una política de seguridad establecida. Es el mecanismo encargado de proteger
una red confiable de una que no lo es (por ejemplo Internet).

Manual para
en la red
9.1 Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El
Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con
esto un más alto nivel de seguridad. Los Wrappers son usados dentro de la
seguridad en sistemas UNIXs. Estos programas nacieron por la necesidad de
modificar el comportamiento del sistema operativo sin tener que modificar su
funcionamiento.
Los Wrappers son ampliamente utilizados, y han llegado a formar parte de

herramientas de seguridad por las siguientes razones:
• Debido a que la seguridad lógica esta concentrada en un solo programa, los

Wrappers son fáciles y simples de validar.
•Debido a que el programa protegido se mantiene como una entidad separada, éste
puede ser actualizado sin necesidad de cambiar el Wrapper.
•Debido a que los Wrappers llaman al programa protegido mediante llamadas

estándar al sistema, se puede usar un solo Wrapper para controlar el acceso a
diversos programas que se necesiten proteger.
•Permite un control de accesos exhaustivo de los servicios de comunicaciones,

además de buena capacidad de Logs y auditorias de peticiones a dichos servicios,
ya sean autorizados o no.
El paquete Wrapper más ampliamente utilizado es el TCP-Wrappers, el cual es un

conjunto de utilidades de distribución libre, escrito por Wietse Venema (co-autor de
SATAN, con Dan Farmer, y considerado el padre de los sistemas Firewalls) en 1990.
Consiste en un programa que es ejecutado cuando llega una petición a un puerto

específico. Este, una vez comprobada la dirección de origen de la petición, la verifica
contra las reglas almacenadas,y en función de ellas, decide o no dar paso al

Manual para
en la red
servicio. Adicionalmente, registra estas actividades del sistema, su petición y su

resolución.
Algunas configuraciones avanzadas de este paquete, permiten también ejecutar

comandos en el propio sistema operativo, en función de la resolución de la petición.
Por ejemplo, es posible que interese detectar una posible máquina atacante, en el
caso de un intento de conexión, para tener más datos a la hora de una posible
investigación. Este tipo de comportamiento raya en la estrategia paranoica, ya vista
cuando se definió la política de seguridad del firewall. Con lo mencionado hasta
aquí, puede pensarse que los Wrappers son Firewall ya que muchos de los servicios
brindados son los mismos o causan los mismos efectos: u sando Wrappers, se
puede controlar el acceso a cada máquina y los servicios accedidos. Así, estos
controles son el complemento perfecto de un Firewall y la instalación de uno no está
supeditada a la del otro.
10.1 Sistemas de Prevención de Intrusos

IPS adopta un enfoque preventivo para la seguridad que se utiliza para identificar
las posibles amenazas y responder a ellas rápidamente.
Un IPS realiza un monitoreo y análisis mas complejo y eficaz, tales como ver y
responder tanto a patrones de trafico como paquetes individuales.
Monitorea el trafico e interviene activamente en caso de ver paquetes malignos.

Examinado robusto de sesiones sospechosas o tomando acciones para una
respuesta inmediata ante un posible ataque.
Resumiendo un IPS:
- Detiene ataques en si mismo
- Cambios en el entorno de seguridad

Manual para
en la red
Capitulo 3.- Desarrollo:
3.1 FALLAS COMUNES EN UNA RED DE ÁREA

LOCAL
Se debe de tener mucho cuidado con esta área
ya que el diseño está en posibilidad de expandir
y de hacer mucho más rentable la red LAN, si no
hay un buen diseño tendrá problemas en la red
y también en la seguridad es la parte primordial
en el diseño ya que una política de seguridad en
la red puede proteger la invención y sus
recursos de información también en el grado de
política de seguridad va a depender de una gran manera.
3.2Equipo no puede acceder a la red.

Posibles soluciones.
Revisa la luz que se encuentra en la parte posterior de la computadora, cerca del
cable de red. Esta luz debe ser verde. Si la luz no está encendida desconectar y
volver a conectar el cable. Si la luz sigue apagada verificar la conexión en el otro
extremo. Asegúrese de que los cables de red estén conectados de forma segura
a un concentrador o enrutador que funcione. Retirar los cables y volver a
conectarlos para esta seguro. Si la conexión es correcta sustituye el cable de red.
Panel de control, doble clic en "Sistema", ir a la pestaña "Hardware" y hacer clic en

el "Administrador de dispositivos" para abrirlo. Buscar los "Adaptadores de red" y
hacer clic en el signo más a un lado de dicha opción. Si ves un signo de exclamación
o una X roja esto indica un problema con tu tarjeta de red.

Manual para
en la red
Apagar la computadora, desconectarla y retirar la conexión al monitor. Abrir la

computadora y volver a instalar la tarjeta de red retirándola y poniéndola de nuevo
en su lugar firmemente. Volver a cerrar la computadora y enciéndela. Si aún
aparece un error con la tarjeta de red, tendrá que reemplazar.
Revisar las configuraciones en TCP/IP. Si tiene establecida una dirección IP

escríbela junto con la máscara de subred y la puerta de enlace. Revisar las
computadoras que estén en funcionamiento en tu hogar para asegurarte de que la
máscara de subred y la puerta de enlace sean las mismas que las que tú tienes. La
dirección IP debe ser diferente de la de otros dispositivos de red.
3.3Las computadoras en una red no pueden verse entre

sí.
Posibles soluciones
Hacer clic en el botón "Inicio" en Windows. Seleccionar "Programas" y luego
"Panel de control". Hacer doble clic en el icono llamado "Sistema" y luego en la
pestaña etiquetada como "Nombre de la computadora".
Escribir el nombre del grupo de trabajo o dominio y revisar el nombre de la

computadora. Si tiene computadoras antiguas en casa evita usar caracteres
extraños o espacios en el nombre del equipo y asegurase de que sea de ocho
caracteres o menos.
Hacer clic con el botón derecho en el

icono "Mis sitios de red" en el escritorio y
luego selecciona "Propiedades". En la
pestaña "General" asegurarse de tener
instalado el "Cliente para Microsoft
Windows", la opción "Compartir archivos e impresoras para redes de Microsoft" y

Manual para
en la red
el "Protocolo de Internet (TCP/IP)". Revisar las propiedades de TCP/IP y tomar

nota de ellas.
Desactiva el firewall del PC temporalmente para asegurarse de que no esté

bloqueando el tráfico de red interno
3.4Fallas en switches o Routers

En algunos casos las fallas en la red no tienen una causa aparente. Por ejemplo,
nuestra máquina puede enviar y recibir correos sin problemas mas no tiene acceso
a internet, o estamos tranquilamente navegando la red cuando de un momento a
otro se pierde el acceso y pasados algunos minutos hay internet de nuevo.
Posible solución
Tenga un plan. Algunos problemas y soluciones son obvios; algunos no son. Los
síntomas que usted ve en su red pueden ser el resultado de los problemas en otra
área o capa. Antes de que usted salte a las conclusiones, intente verificar de una
manera estructurada qué trabaja y qué no lo hace. Puesto que las redes pueden
ser complejas, es útil aislar los dominios del Posible problema. Una manera de
hacer esto es utilizar el modelo de la siete-capa OSI. Por ejemplo: marque las
conexiones físicas implicadas (la capa 1); marque los problemas de conectividad
dentro del VLA N (la capa 2), y marca los problemas de conectividad a través de
diversos VLA N
(capa 3), etc. Si hay una configuración correcta en el Switch, muchos de los
problemas que usted encuentra se relacionan con los problemas de la capa física
(los puertos físicos y cableado). Hoy, el Switches está implicado en el capa tres y
cuatro problemas, que la inteligencia incorporada de conmutar los paquetes
basados en la información derivada del Routers, o realmente tiene el Routers que
vivo dentro del Switch (capa tres o transferencia de la capa-cuatro).

Manual para
en la red
3.5Errores DNS
Básicamente los servidores DNS nos ayudan a resolver nombres, para acceder a
google.com después de escribirlo en nuestro navegador el sistema lo resuelve
y luego vemos la página en nuestro navegador. Puede darse el caso en que
Windows nos informe que tenemos acceso a internet, más al intentar acceder a
alguna Web nos dé error NAME NOT RESOLVED, verifica tus DNS.
Posibles soluciones:
 Intentar arreglar el fallo mediante la desactivación del firewall es una posible

solución. El firewall puede estar configurado para bloquear el acceso de ciertos
usuarios internos. Por lo que una alteración de la configuración puede solucionar
el problema de DNS.
 Probar a utilizar otro navegador puede ser otra de las soluciones más sencillas y
rápidas. Quizás se trate de la configuración del proxy del navegador y
cambiándola se solucione el problema.
3.6 Malware
Malware se refiere a software malintencionado que se están diseñado para dañar o
realizar acciones no deseadas en el sistema. Malware es de muchos tipos como
virus, gusanos, troyanos, etc., que pueden causar estragos en el disco duro de un
ordenador.
Solución
Programas que dicen poder eliminar virus, spyware y adware sin ningún tipo de
problema, pero muchas Para Windows existen muchos veces te decepcionan. Hay
muchos software antivirus que se ofrecen de forma gratuita, de manera que, una
vez instalado, solo ofrece una protección parcial, que es totalmente inútil.
Manual para
en la red
Hitman Pro es un programa creado por la empresa Holandesa SurfRight. Este

programa antimalware tiene todas las funcionalidades para eliminar: virus, troyanos,
spyware e otro malware de tu ordenador. El producto ha ganado varios premios por
su excelente rendimiento. Este producto solo está disponible en inglés.
3.7 Wireless Network Watcher

Una de las herramientas que tenemos a nuestra disposición para saber quién está
conectado a nuestro Wi-Fi es Wireless Network Watcher (WNW), este programa
escanea nuestra red para detectar dispositivos que se hayan “enganchado” sin
permiso. Para ello nos dará tanto su dirección IP como su MAC y además podemos
crear una alerta específica si tenemos identificado un ordenador o móvil no
autorizado que se conecta frecuentemente a la red inalámbrica. Usar este programa
es bastante sencillo y solo se requerirá descargarlo y ejecutarlo incluso sin
instalación, además dado su escaso peso es ideal para llevarlo en una memoria
USB a cualquier parte.
3.8 Who is on my Wi-Fi

Este programa es otra alternativa más para clasificar nuestros propios dispositivos
como conocidos y alertar de la conexión otros equipos no autorizados, incluso
cuando no estamos en casa, gracias a la ejecución en segundo plano. Who is on
my Wi-Fi también ofrece la posibilidad de bloquear el dispositivo para evitar que se
conecte siempre que nuestro router lo permita.

Manual para
en la red
3.9 Procedimiento para la detección y eliminación de

intrusos
Un sistema de detección de intrusos es un componente más dentro del modelo de
seguridad de una organización. Consiste en detectar actividades inapropiadas,
incorrectas o anómala desde el exterior-interior de un sistema informático.
Los sistemas de detección de intrusos pueden clasificarse, según su función y

comportamiento en:
•Host-Based IDS: operan en un host para detectar actividad maliciosa en el mismo.
•Network-Based IDS: operan sobre los flujos de información intercambiados en una

red.
•Knowledge-Based IDS: sistemas basados en Conocimiento.
•Behavior-Based IDS: sistemas basados en Comportamiento. Se asume que una

intrusión puede ser detectada observando una desviación respecto del
comportamiento normal o esperado de un usuario en el sistema.
Manual para
en la red
La idea central de este tipo de detección es el hecho de que la actividad intrusiva

es un conjunto de actividades anómalas. Si alguien consigue entrar de forma ilegal
al sistema, no actuará como un usuario comprometido; su comportamiento se
alejará del de un usuario normal.
Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del
agregado de otras actividades individuales que por sí solas no constituyen un
comportamiento intrusivo de ningún tipo. Así las intrusiones pueden clasificarse en:
•Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema

erróneamente indica ausencia de intrusión). En este caso la actividad es intrusiva
pero como no es anómala no es detectada. No son deseables, porque dan una falsa
sensación de seguridad del sistema.
•No intrusivas pero anómalas:denominados Falsos Positivos (el sistema

erróneamente indica la existencia de intrusión). En este caso la actividad es no
intrusiva, pero como es anómala el sistema "decide" que es intrusiva. Deben intentar
minimizarse, ya que en caso contrario se ignorarán los avisos del sistema, incluso
cuando sean acertados.
•No intrusiva ni anómala:son Negativos Verdaderos, la actividad es no intrusiva y se

indica como tal.
•Intrusiva y anómala:se denominan Positivos Verdaderos, la actividad es intrusiva y

es detectada.

Manual para
en la red
3.10 Detección de intrusos a partir del mal uso

Bajo el enfoque de detección de intrusos a partir del mal uso (Lunt, 1993), las
intrusiones se detectan comparando el comportamiento real registrado con patrones
conocidos como sospechosos. Este enfoque resulta eficaz en el descubrimiento de
ataques conocidos, pero es inútil cuando se enfrentan a variantes de ataques
desconocidas, es decir, variantes de ataques de los cuales no se tiene firma (Idrees
et al., 2013; Kim et al., 2014). Cualquier error en la definición de estas firmas
aumenta la tasa de falsas alarmas y disminuye la eficacia de la técnica de detección.
El mismo consta de cuatro componentes: la colección de datos, el perfil del sistema,
detección de uso indebido y la respuesta. Los datos se recogen de una o varias
fuentes de datos, incluyendo, el tráfico de red, las trazas de llamadas al sistema,
etc., esos datos recogidos se estandarizan a un formato comprensible por los demás
componentes del sistema. Por otra parte el perfil de sistema se utiliza para
caracterizar los comportamientos normales y anormales (Garcia-Teodoro et al.,
2009).
3.11 Detección basada en anomalías

A diferencia de la detección a partir de mal uso, la detección de anomalías se
dedica a establecer los perfiles de actividad normal para el sistema. Se basa en la
suposición de que todas las actividades intrusivas son necesariamente anómalas.
Los estudios de detección de anomalías empiezan definiendo cuales son los
atributos normales de los objetos observados, para determinar cuáles son las
actividades anómalas (Agrawal et al., 2013; DeOrio et al., 2013; Eskin et al.,
2013). Un modelo de detección de anomalías consta de cuatro componentes: la
recopilación de datos, el perfil normal del sistema, detección de anomalías y la
respuesta. Las actividades normales del usuario o de tráfico de datos se obtienen
y se guardan por el componente de recolección de datos. Técnicas específicas de

Manual para
en la red
modelado se utilizan para crear perfiles normales del sistema. El componente de

detección de anomalías determina en qué medida las actividades actuales se
desvían de los perfiles normales del sistema y que porcentaje de estas actividades
debe ser marcado como anormal. Finalmente, el componente de respuesta
informa sobre la intrusión. La principal ventaja de la detección de anomalías es su
capacidad para encontrar nuevos ataques, como tal, se refiere a la limitación más
grande de la detección de mal uso. Sin embargo, debido a los supuestos que
subyacen a los mecanismos de detección de anomalías, sus tasas de falsas
alarmas son en general muy altas. Específicamente, las principales razones para
esta limitación son:
El modelo de comportamiento de usuario normal se basa en datos capturados

durante un período de funcionamiento normal, las actividades intrusivas perdidas
durante este período son susceptibles de ser consideradas como conductas
normales.
Las técnicas de detección de anomalías difícilmente pueden detectar ataques

furtivos, porque este tipo de ataques se encuentra oculto en gran número de casos
de comportamientos normales.
Además, los tipos de parámetros utilizados como entradas de los modelos

normales son generalmente decididos por expertos en seguridad. Cualquier error
que ocurra durante el proceso de definición de estos parámetros aumenta la tasa
de falsas alarmas y por lo tanto disminuye la eficacia del sistema de detección de
anomalías. Como resultado, el diseño de los métodos de detección y la selección
de los atributos del sistema o la red a ser monitoreados son dos de las principales
cuestiones abiertas en la detección de anomalías. Muchas técnicas de detección
de anomalías se han propuesto en la literatura. Estos van desde modelos
estadísticos avanzados para la inteligencia artificial hasta modelos biológicos
Manual para
en la red
sobre la base de los sistemas inmunológicos humanos (Garcia-Teodoro, Diaz-

Verdejo, Maciá-Fernández and Vázquez, 2009). Las técnicas de detección de
anomalías acorde con el tipo de procesamiento para obtener el modelo de
comportamiento de un sistema, pueden ser clasificadas en tres categorías
principales (Lazarevic et al., 2005).
3.12 Esquemas de NIDS basados en aprendizaje

automático
Las técnicas de aprendizaje automático están basadas sobre un modelo explícito
o implícito establecido que posibilita categorizar los patrones analizados. Una
característica singular de estos esquemas es la necesidad de datos etiquetados
para entrenar el modelo de comportamiento, siendo este un procedimiento que
demanda recursos. Muchos esquemas basados en aprendizaje automático han
sido aplicados a NIDS. Algunos de los más importantes son Redes Bayesianas,
Modelos de Markov, Redes Neuronales, Técnicas de lógica difusa, Algoritmos
genéticos, Agrupamiento y detección de outlier (Garcia-Teodoro, Diaz-Verdejo,
Maciá-Fernández and Vázquez, 2009; Kaur, Singh and Minhas, 2013; Patel, Patel
and Patel, 2013).
Además de esas técnicas, existen otras que ayudan en la tarea de tratar con los
grandes volúmenes de información contenidos en los juegos de datos, conocidas
como técnicas de reducción de dimensionalidad (Vishwakarma et al., 2013). Dos
de esas técnicas son: Análisis de Componentes Principales (PCA) (Zhao et al.,
2013) que se basa en la reducción de la dimensionalidad a partir de
transformaciones aplicadas a los datos y la selección de atributos (Ahmed 2014;
Ma et al., 2014; Song et al., 2013), que es la aplicación de técnicas de aprendizaje
automático y de búsqueda, para seleccionar un subconjunto de atributos con el

Manual para
en la red
objetivo de reducir el volumen de datos y aumentar el rendimiento de los

algoritmos aplicados, ganando en velocidad y a partir del cual se obtienen mejores
resultados de clasificación. Los NIDS basados en técnicas de aprendizaje
automático tienen la siguiente taxonomía:
3.13 Taxonomía de los sistemas de detección de

anomalías
La idea de aplicar técnicas de aprendizaje automático para la detección de
intrusos consiste en la construcción automática de modelos basados en el
conjunto de datos de entrenamiento (Kaur, Singh and Minhas, 2013). Este
conjunto de datos contiene una colección de instancias de datos los cuales
pueden ser descritos mediante un conjunto de atributos (características) y las
etiquetas de clasificación asociadas. Los atributos pueden ser de diferentes tipos,
tales como nominales o continuos. La naturaleza de atributos determina la
aplicabilidad de las técnicas de detección de anomalías. Por ejemplo, los métodos
basados en distancia son inicialmente construidos para trabajar con atributos
continuos y por lo general no ofrecen resultados satisfactorios con atributos
nominales. Las etiquetas asociadas a las instancias de datos son generalmente en
forma de valores binarios, es decir, normal (no ataque) y anómala (ataque). Por el
contrario, algunos investigadores han empleado diferentes tipos de ataques, como
DoS, U2R, R2L, Probe en lugar de la etiqueta anómala. De esta manera las
técnicas de aprendizaje son capaces de proporcionar más información acerca de
los tipos de las anomalías. Sin embargo, los resultados experimentales muestran
que las técnicas actuales de aprendizaje no son suficientemente precisas como
para reconocer los tipos de anomalías. Dado que el etiquetado se hace a menudo
manualmente por expertos humanos, la obtención de un correcto conjunto de
datos etiquetados que sea representativo de todos los tipos de comportamientos
es bastante difícil (Garcia-Teodoro, Diaz-Verdejo, Maciá-Fernández and Vázquez,

Manual para
en la red
2009). Las técnicas basadas en aprendizaje automático aprenden a partir de

atributos determinados por el tráfico de red, de ahí la importancia de conocer los
mismos.
3.14 Atributos de tráfico de red

Una de las fases más importantes en el diseño de sistemas de detección de
intrusos es la identificación del conjunto de atributos a utilizar. La selección influye
directamente en el rendimiento del sistema y en los tipos de ataques que el mismo
detectará. Pero existe confusión general entorno a cuáles son los mejores
atributos de red, debido a muchas causas; una de ellas es la carencia de un
esquema de clasificación universalmente aceptado.
3.15 Esquema de clasificación para atributos de

conexiones
En (Onut and Ghorbani, 2007) presentan un esquema de clasificación de atributos
para detección de intrusos en redes. De esta forma se logra un mejor
entendimiento sobre los atributos que pueden ser extraídos de los paquetes de
red. Bajo este esquema se logran agrupar los atributos para detectar tipos de
ataques específicos. La mayoría de los artículos científicos hacen una distinción
entre atributos obtenidos respecto a una conexión TCP simple y los atributos que
son obtenidos considerando múltiples conexiones TCP:
Atributos TCP Básicos: son aquellos atributos que caracterizan una conexión
TCP/IP simple. Los nombres para esta categoría difieren entre los autores. En
(Dokas et al., 2002; Ertoz et al., 2003) usan el nombre de Atributos Básicos; (Lee
et al., 1999) usan Atributos Esenciales; KDD Cup 99 usa Atributos Básicos de una
conexión TCP individual, mientras (Lichodzijewski et al., 2002) propone Atributos
Manual para
en la red
Básicos TCP como nombre para esta categoría. Finalmente (Mahoney and Chan,
2003) usa el nombre Flujos Estadísticos para un super conjunto de esta categoría,
la cual incluye protocolos no orientados a la conexión como UDP, ICMP.
Atributos Derivados: Son aquellos atributos que caracterizan múltiples conexiones

TCP/IP al mismo tiempo (Dokas, Ertoz, Kumar, Lazarevic, Srivastava and Tan,
2002; Ertoz, Eilertson, Lazarevic, Tan, Dokas, Kumar and Srivastava, 2003). En
(Lee, Stolfo and Mok, 1999) son conocidos como Atributos de Tráfico. Por su uso
los sistemas encuentran similitudes que existen en la red entre diferentes
conexiones TCP. Para obtener los Atributos Derivados se usan dos tipos de
ventanas deslizantes. Un primer enfoque usa una ventana de tiempo con un
intervalo de unos pocos segundos (Ej. 5 segundos), mientras que el segundo
enfoque usa una ventana de conexión con un intervalo de varias conexiones (Ej.
100 conexiones). Esta categoría se divide a su vez en: Atributos basados en
Tiempo: Incluyen todos los atributos derivados obtenidos con respecto a los x
segundos pasados (donde x es el tamaño de la ventana de tiempo). Atributos
basados en Conexión: Incluyen todos los atributos derivados obtenidos con
respecto a las últimas k conexiones TCP encontradas en la red. (Dokas, Ertoz,
Kumar, Lazarevic, Srivastava and Tan, 2002; Ertoz, Eilertson, Lazarevic, Tan,
Dokas, Kumar and Srivastava, 2003; Lee, Stolfo and Mok, 1999)
Mientras que la primera categoría de atributos (Atributos TCP Básicos) son usados
para caracterizar y detectar ataques que usan una única conexión, la segunda
categoría es usada para detectar ataques que emplean múltiples conexiones al
mismo tiempo (Ej. Scanning, DDoS, Gusanos). Específicamente los atributos
dentro de la categoría de Atributos basados en Tiempo son utilizados en la
detección de ataques que ocurren en un corto intervalo de tiempo tales como
gusanos y DDoS. Por último Atributos basados en Conexión son usados para la
detección de ataques que ocurren en un largo período de tiempo, usualmente
varios minutos o incluso horas.
Manual para
en la red
3.16 Los pasos más relevantes para NIDS son:

Creación del conjunto de datos: implica identificar el tráfico de red a usar para
entrenamiento y para prueba. Estos conjuntos de datos deben ser etiquetados
indicando si la conexión es normal o es anómala. La tarea de etiquetar las instancias
de tráfico de red tienen asociado un alto costo computacional y de tiempo, siendo
esto una tarea muy complicada.
Construcción de atributo: tiene como propósito crear atributos adicionales con una
mejor capacidad discriminativa que el conjunto inicial de atributos. Esto puede
significar mejoras en los resultados de los algoritmos de aprendizaje automático que
se aplican. Los atributos pueden ser construidos manualmente, o usando métodos
de minería de datos como: análisis de secuencia, minería de asociación.
Reducción: es comúnmente usada para disminuir la dimensión del conjunto de

datos desechando cualquier atributo redundante o irrelevante. Este proceso de
automatización es llamado selección de atributos y es usado para aliviar la
dimensionalidad. La reducción de datos puede ser alcanzada con la extracción de
atributos transformando el conjunto inicial en un reducido número de nuevos
atributos. El Análisis de Componentes Principales (PCA) es un método común
usado para la reducción de datos.
El preprocesamiento convierte el tráfico de red en series de observaciones, donde

cada observación es representada como un vector de atributos. Las observaciones
son opcionalmente etiquetadas según su clase, por ejemplo “normal” o “anómala”.
Entonces estos vectores de atributos son adecuados como entradas para
algoritmos de aprendizaje automático. En (Chandola et al., 2009) se centran en una
revisión de los algoritmos usados por los métodos de detección de anomalías.
Discuten muchas aplicaciones de la detección de anomalías como en fraudes de
tarjetas de crédito, procesamiento de imágenes, sensores de redes, así como
seguridad en computadoras. En
Manual para
en la red
(Garcia-Teodoro, Diaz-Verdejo, Maciá-Fernández and Vázquez, 2009) listan las

técnicas de detección de anomalías usadas por los NIDS disponibles tanto
comerciales como proyectos de investigación. Los autores notan una tendencia
sobre los proyectos de investigación de más de una década desde los primeros
enfoques estadísticos, sistemas basados en conocimiento y más recientemente
técnicas de aprendizaje automático con un particular uso de N-grams y modelos de
Markov. En (Gogoi et al., 2010) comparan algoritmos supervisados y semi-
supervisados de detección de anomalías, y prueban algunas implementaciones en
el juego de datos KDD Cup 99. Ninguna de esas revisiones ha listado o comparado
las técnicas de preprocesamiento de datos usadas en los NIDS basados en la
detección de anomalías, refiriéndose a que atributos de red fueron escogidos como
base para la detección. El preprocesamiento de los datos requiere un esfuerzo
significante e impacta directamente sobre la exactitud y capacidad de los algoritmos
aplicados (Kotsiantis, Kanellopoulos and Pintelas 2006; Lee and Stolfo 2000). Por
lo tanto el preprocesamiento de los datos constituye una cuestión importante de los
NIDS basados en la detección de anomalías. Esto se ve aún más motivado por el
hecho de que ataques basados en contenidos están siendo más relevantes,
mientras que antiguos ataques como DoS, escaneo o sondeo de redes están siendo
atenuados. Un nuevo conjunto de técnicas de preprocesamiento es requerido para
detectar esos ataques basados en contenido.

Manual para
en la red
Capítulo 4.- Como detectar fallas con snort

Lo primero que hicimos fue entrar al disco local (C) esta opción se encuentra del
panel de control, el siguiente paso que realizamos fue entrar a la carpeta llamada
snort la cual se encuentra dentro del disco local (C). Ver imagen 2
Aquí se puede ver que entramos a la subcarpeta llamada etc la cual se encontraba
dentro de la carpeta snort. Aquí se puede ver que dimos clic derecho al archivo
snort.conf para posteriormente seleccionar la opción Edit with Notepad. (Ver
imagen 4)
Aquí se puede abrir que ya se abrió el archivo anterior con Notepad, Aquí se
puede ver ejecutamos el Cmd del
Manual para
en la red
sistema para comprobar que el snort fue instalado. se puede ver que ya está
ejecutado el cmd del sistema, se puede ver que ejecutamos los comandos
siguientes: El primer comando que ejecutamos fue cd, posteriormente ejecutamos
el comando cd/snort, el siguiente comando que ejecutamos fue cd bin, y
finalmente ejecutamos el comando cls. (Ver imagen 8)
Aquí se puede ver lo que nos salió al ejecutar el snort.

Manual para
en la red
Aquí se puede ver que ejecutamos el comando snort –w.
Aquí se puede ver que se escribió lo siguiente SHOME_NET pero con el signo de
admiración invertido y el signo pesos para obtener el root

Manual para
en la red
En el siguiente paso lo que hicimos fue revisar la linea 103 para verificar que no
nos pueda salir un error
Lo que hicimos a continuación fue copiar la dirección de la carpeta para así poder
cambiar las librerías.

Manual para
en la red
Lo que hicimos a continuación fue copiar la dirección de la carpeta que copiamos

anteriormente en donde decía snort dynamicpreprocessor.
Lo que hicimos a continuación fue casi lo mismo que el paso anterior solo que
ahora copiamos la dirección de la carpeta Dynamicengine.

Manual para
en la red
Lo que hicimos a continuación fue pegar la dirrecion de la carpeta copiada en el

paso anterior.
En la siguiente imagen se puede observar que le dejamos comentarios a los

preprocesamientos para que no se utilicen porque son básicos de Linux.

Manual para
en la red
En la siguiente imagen tuvimos que crear el archivo White.list y el black.list para lo

cual nos fuimos a inicio y seleccionamos la opción nuevo.
En la siguiente imagen escribimos un comentario seguido de White lits,

posteriormente escribimos otro comentario seguido de una ip por línea.

Manual para
en la red
En la siguiente imagen procedimos a guardar el archivo para ello seleccionamos la

opción archivo y dimos clic en la opción guardar como.
En la siguiente imagen seleccionamos en donde se va guardar nuestro archivo.

Manual para
en la red
En la siguiente imagen lo que hicimos fue darle el nombre de black lista a nuestro
archivo.
En la siguiente imagen lo que hicimos fue reemplazar la diagonal de la línea 546

por la diagonal invertida para ello seleccionamos la opción buscar y dentro de
esta opción seleccionamos la opción reemplazar.

Manual para
en la red
En la siguiente imagen lo que hicimos fue dentro de la opción reemplazar dar clic
en donde dice reemplazar
En la siguiente imagen lo que hicimos fue agregar un comentario a las tres

opciones que se encontraban en el apartado 8.

Manual para
en la red
En la siguiente imagen lo que hicimos fue ejecutar el cmd para comprobar el snort
funciona correctamente
En la siguiente imagen lo que hicimos fue ejecutar el comando snort para así
comprobar su funcionamiento.

Manual para
en la red
En la siguiente imagen lo que hicimos fue ejecutar el comando cd bin.
En la siguiente imagen lo que hicimos fue ejecutar el comando snort-W para que
así nos muestre el apartado.

Manual para
en la red
En la siguiente imagen lo que hicimos fue ejecutar el siguiente comando
En la siguiente imagen se puede ver que ejecutamos el comando snort –W.

Manual para
en la red
En la siguiente imagen se puede ver que ejecutamos el comando c:\snort\etc\snort.-

t para checar si hay alguien en nuestra red
Aquí se puede ver que ejecutamos el comando snort –I/etc/snort/log.

Manual para
en la red
Aquí se puede ver lo que nos salio con el comando anterior.
Aquí se puede ver que implementamos el comando snort –d.

Manual para
en la red
En la siguiente imagen se puede ver qué fue lo que nos salió con el comando
anterior.
Aquí se puede ver que ejecutamos el comando log-b.

Manual para
en la red
En la siguiente imagen se puede ver lo que nos salió con el comando ejecutado
anteriormente.
Imagen 38
En la siguiente imagen se puede apreciar que ejecutamos el comando snort-dv-
rpacket.log ( ver imagen 39)
En la siguiente imagen se puede ver lo que nos salió con el último comando
ejecutado.

Manual para
en la red
Capitulo 5.-Procedimiento de firewall

© 2013 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento
es información pública de Cisco.
Comparta la carpeta y utilice el nombre predeterminado Cisco.

Manual para
en la red
En la PC 2, haga clic en Inicio > Panel de control > Centro de redes y recursos
compartidos > ícono Red.
Haga doble clic en la PC 1.
¿Puede ver la carpeta compartida Cisco?

Nota: si la respuesta es “no”, solicite ayuda al instructor.
Cierre Red.
Nota: utilice la PC 1 para el resto de la práctica de laboratorio, a menos que se
indique lo contrario.

Manual para
en la red
Paso 2
Navegue hasta el Firewall de Windows 7:

Haga clic en Inicio > Panel de control > Sistema y seguridad > Firewall de
Windows.
El indicador del Firewall muestra el estado del fi
rewall. La configuración normal es Activado.

En el siguiente espacio, indique los beneficios del Firewall de Windows.

Manual para
en la red
Paso 3
Haga clic en Permitir un programa o una característica a través de Firewall de

Windows.

Manual para
en la red
Paso 4
Se abre la ventana Programas permitidos.
Los programas y servicios que el Firewall de Windows no bloquea se indican con

una marca de verificación.
Puede agregar aplicaciones a esta lista. Esto puede ser necesario si el cliente
tiene una aplicación que requiere comunicaciones externas pero, por alguna
razón, el Firewall de Windows no puede realizar la configuración automáticamente.
Para completar este procedimiento, debe iniciar sesión en la PC como
administrador.

Manual para
en la red
Haga clic en ¿Cuáles son los riesgos de permitir que un programa se comunique?
Se abre la ventana Ayuda y soporte técnico de Windows.
La creación de demasiadas excepciones en el archivo Programas y servicios

puede tener consecuencias negativas. Describa una consecuencia negativa de
tener demasiadas excepciones.
Cierre la ventana Ayuda y soporte técnico de Windows.

Manual para
en la red
Paso 5
En la PC 1:
Haga clic en la ventana Programas permitidos para activarla.
Para desactivar una excepción, elimine la marca de verificación de Compartir

archivos e impresoras > Aceptar.

Manual para
en la red
En la PC 2:
Abra la conexión de red a la PC 1.
Haga clic en Inicio > Panel de control > Centro de redes y recursos compartidos >
ícono Red.
¿Puede conectarse a la PC 1?

Manual para
en la red
En la PC 1:
Para activar una excepción, agregue una marca de verificación a Compartir
archivos e impresoras > Aceptar.
En la PC 2:
Actualice la pantalla Red y conéctese a la PC 1.
¿Puede conectarse a la PC 1?
Cierre sesión en la PC 2; utilice la PC 1 para el resto de la práctica de laboratorio.

Manual para
en la red
Paso 6
Haga clic en Inicio > Panel de control > Sistema y seguridad > Herramientas
administrativas > Firewall de Windows con seguridad avanzada > Reglas de
entrada.

Manual para
en la red
Expanda la ventana para ver el nombre completo de todas las reglas de entrada.
Busque Compartir archivos e impresoras (solicitud de eco, ICMPv4 de entrada).
Haga clic con el botón secundario en la regla y seleccione Propiedades; ficha

Opciones avanzadas > Personalizar.
La ficha Opciones avanzadas muestra los perfiles que utiliza la PC, y la

ventana Personalizar tipos de interfaz muestra las distintas conexiones
configuradas para la PC.
Haga clic en Aceptar.
Haga clic en la ficha Programas y servicios.
Se abre la ventana Personalizar configuración de servicios.

Manual para
en la red
En el siguiente espacio, indique el nombre corto de cuatro servicios que estén

disponibles.
Haga clic en Cancelar.

Manual para
en la red
Paso 7
Existen numerosas aplicaciones que los usuarios generalmente no ven y que
también necesitan atravesar el Firewall de Windows para acceder a la PC. Se trata
de los comandos de nivel de red que dirigen el tráfico de la red y de Internet.
Haga clic en la ficha Protocolos y puertos. En la configuración de ICMP, haga clic

en el botón Personalizar. Se observa el menú donde se configuran las
excepciones de ICMP.
En este ejemplo, la opción Permitir solicitud de eco entrante es la que permite que
los usuarios de la red hagan ping a su PC para determinar si está presente en la
red. También le permite ver con qué velocidad se transfiere la información desde
la PC y hacia ella.
En el siguiente espacio, indique los tipos de ICMP específicos.
Cierre todas las ventanas.

Manual para
en la red
Capítulo 6.- CONCLUSION

Con el estudio realizado se logró determinar que el diseño de los métodos de detección
y la selección de los atributos del sistema o la red a ser monitoreados son dos de las
principales cuestiones abiertas en la detección de anomalías. Además de eso se
identifican necesidades que dan lugar a áreas de trabajo como la definición de nuevos
atributos de red basados en contenido para construir modelos de aprendizaje que
permitan detectar los nuevos ataques basados en contenido. La realización de nuevos
experimentos que hibriden algoritmos de inteligencia de enjambre con algoritmos de
aprendizaje automático, para mejorar los índices de detección en ataques basados en
contenido como las variantes de U2R y R2L son cuestiones en las que se trabajan
actualmente, fundamentalmente en experimentos que hibridan Ant Colony
Optimization, debido a que es una metaheurística menos costosa computacionalmente,
con algoritmos de aprendizaje automático.

Manual para
en la red
Capítulo 7.-Bibliografía
http://dspace.ucbscz.edu.bo/dspace/bitstream/123456789/4714/1/8544.pdf
https://www.ecured.cu/Ataque_a_las_redes_de_datos
Chapman, D. Brent, and Elizabeth D. Zwicky. Construya Firewalls para Internet. No. Z699. 5 Ch46e.
McGraw-Hill, 1997.
CHAPMAN, D. Brent; ZWICKY, Elizabeth D. Construya Firewalls para Internet. McGraw-Hill, 1997.
Chapman, D. B., & Zwicky, E. D. (1997). Construya Firewalls para Internet (No. Z699. 5 Ch46e).
McGraw-Hill.
https://www.adslzone.net/2016/.../las-mejores-herramientas-detectar-intrusos-red-wi-fi
https://www.incubaweb.com › velocidad web

1.
https://debian-handbook.info/browse/es-ES/stable/sect.firewall-packet-filtering.html
Aguilera, Purificación. Redes seguras (Seguridad informática). Editex, 2011.
AGUILERA, Purificación. Redes seguras (Seguridad informática). Editex, 2011.
CHOWDHARY, M., S. SURI AND M. BHUTANI Comparative Study of Intrusion Detection

System 2014.
DAVIS, J. J. AND A. J. CLARK Data preprocessing for anomaly based network intrusion
detection: A review. Computers & Security, 2011, 30(6), 353-375.
DEORIO, A., Q. LI, M. BURGESS AND V. BERTACCO. Machine learning-based anomaly

detection for post-silicon bug diagnosis. In Proceedings of the Conference on Design,
Automation and Test in Europe. EDA Consortium, 2013, p. 491-496.
DOKAS, P., L. ERTOZ, V. KUMAR, A. LAZAREVIC, et al., Data mining for network
intrusion detection. In Proc. NSF Workshop on Next Generation Data Mining. 2002, p.
21-30.


Manua para La Deteccion de Intrusosl

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Manua para La Deteccion de Intrusosl

Загружено:

Авторское право:

Доступные форматы

Manual para

c detectar y eliminar intrusos

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

Colegio de Estudios Científicos y

Submódulo II: Instala y mantiene redes LAN de acuerdo a estándares oficiales

Gilberto Rosales Esperón

José Ángel Jiménez Zarault

Antonio Hernández López

Docente: Ing. Luis Gilberto Hernández Bautista

Especialidad: Técnico en Soporte y Mantenimiento de Equipo de Cómputo.

Semestre lectivo: 2018-1

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

3.3Las computadoras en una red no pueden verse entre sí. ........................................................ 18

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

Llamaremos intrusión a un conjunto de acciones que intentan comprometer la

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

si se llegara a presentar el caso de que alguien consiguiera romper la seguridad de

Capitulo 2.- objetivos

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

Capítulo 3.- MARCO TEORICO O MARCO REFERENCIAL

3.1 Que es un ataque:

Un sistema de detección de intrusos, es usado para detectar tráficos de red y uso

Los atacantes de todas las capacidades y motivaciones son peligrosos a la

Principiante. La mayoría de los atacantes tienen solamente conocimiento básico de

Intermedio. Los atacantes con habilidades intermedias generalmente están

vanzado. Los atacantes altamente expertos presentan un desafío serio a la

3.2¿Cómo ocurren los Ataques?

En esta etapa, el atacante investiga a la organización blanco. Él puede obtener toda

Después de que el atacante haya localizado vulnerabilidades potenciales, intenta

Después de que el atacante haya obtenido los derechos necesarios, realiza el

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

La etapa final de un ataque es aquella donde un atacante procura ocultar sus

Ataque indirecto – ataque indirecto significa un ataque lanzado desde un tercer

3.3 Como proteger tú equipo

Utilizar protocolos de seguridad

Es un paso imprescindible pues de lo contrario las transferencias de archivos a un

Comprobar la autenticidad de enlaces y perfiles

Evitar dar datos personales

No descargar contenido pirata

Realizar una copia de seguridad

Denunciar a las autoridades

con capacidades peligrosas en otras palabras hablamos de cometer un delito

5.1 Ataque por virus:

Un virus es un programa informático creado para producir algún daño en el equipo

Virus script: Se trata de un subtipo de virus archivos, escritos en una variedad de

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

6.1 Características de IDS

• Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

•Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la

•Debe observar desviaciones sobre el comportamiento estándar.

•Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un

7.1 Vulnerar Para Proteger

El software y el Hardware utilizados son una parte importante, pero no la única. A

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56

Los Wrappers son ampliamente utilizados, y han llegado a formar parte de

• Debido a que la seguridad lógica esta concentrada en un solo programa, los

•Debido a que los Wrappers llaman al programa protegido mediante llamadas

•Permite un control de accesos exhaustivo de los servicios de comunicaciones,

El paquete Wrapper más ampliamente utilizado es el TCP-Wrappers, el cual es un

Consiste en un programa que es ejecutado cuando llega una petición a un puerto

ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56