DIPLOMADO EN TÉCNICAS

Y OPERACIONES DE
CIBERSEGURIDAD

FACILITADORA:
ING.
Ing. ERGA LASOSÉ
Erga Lasosé
 CONTACTOS

• ergaleonor@gmail.com/@hotmail.com
• W/T 829-697-9748

Ing. Erga Lasosé

 • OBJETIVO:
Analizar el funcionamiento de las infraestructuras de
redes, clasificando los diferentes tipos de ataques,
empleando herramientas de monitoreo para
identificar ataques a servicios y protocolos de red,
mediante el uso métodos que eviten el acceso
malicioso a datos, hosts y redes de computadoras,
según técnicas y procedimientos establecidos.
Duración: 16 Horas

Ing. Erga Lasosé

 a. Seguridad de Red.
b. Defensa Profunda.
c. Seguridad de dispositivos utilizados en la Redes: Hardening de
Conmutadores, enrutadores, Puntos de acceso inalámbricos,
entre otros.
d. Zonas/topologías: DMZ, Extranet, Intranet, Wireless, Guest,
Honeynets, NAT, Ad hoc.
e. Segregación/segmentación/isolación: Physical, Logical (VLAN),
Virtualization, Air gaps.
f. Tunneling/VPN: Site-to-site y Acceso Remoto.
g. Dispositivos de seguridad: Sensores, colectores, motores de
correlación, filtros, servidores proxy, firewalls, concentradores
VPN, aceleradores SSL, balanceadores de carga, mitigador
DDoS, interruptores de agregación, tomas y espejo de puertos.
h. SDN.
i. Analizadores y escáneres de red.

Ing. Erga Lasosé

 k. Detección de sistemas maliciosos.
l. Mapeo de red.
m. Escáneres inalámbricos.
n. Contraseña cracker.
o. Escáner de vulnerabilidades.
p. Escáner de cumplimiento de normas.
q. Plataformas de explotación.
r. Herramientas de saneamiento de datos.
s. Utilidades de copia de seguridad.
t. Agarre de banner.
u. Pasivo vs. Activo.
v. Herramientas de línea de comando.

Ing. Erga Lasosé

 Asegurando la
Infraestructura de Red
• Asegurar la infraestructura de red es fundamental
para la seguridad general de la red. La
infraestructura de red incluye enrutadores,
conmutadores, servidores, puntos finales y otros
dispositivos.
• Para evitar el acceso no autorizado a todos los
dispositivos de infraestructura, se deben
implementar políticas y controles de seguridad
adecuados. Los enrutadores son un objetivo
principal para los ataques porque estos dispositivos
actúan como policías de tráfico, que dirigen el
tráfico hacia dentro, fuera y entre redes.

Ing. Erga Lasosé

Ing. Erga Lasosé
 Seguridad de Red
• La seguridad de la red ahora es una parte integral de
la red informática. La seguridad de la red implica
protocolos, tecnologías, dispositivos, herramientas y
técnicas para proteger los datos y mitigar las
amenazas. Las soluciones de seguridad de red
surgieron en la década de 1960, pero no se
convirtieron en un conjunto integral de soluciones
para redes modernas hasta la década de 2000.
• La seguridad de la red está impulsada en gran
medida por el esfuerzo de mantenerse un paso por
delante de los hackers mal intencionados.

Ing. Erga Lasosé

 Defensa en profundidad
• El riesgo para la ciberseguridad de los activos de las
organizaciones está en las amenazas que atacan las
vulnerabilidades de los sistemas de redes.
• Para proteger los activos, deben identificarse todos los dispositivos,
el software y la información disponibles en la red.
• Deben identificarse las vulnerabilidades de los activos y la gente o
los grupos que podrían aprovecharse de ellas.

 El método de defensa en profundidad se basa en

implementar medidas de seguridad en todas las
capas de la red, desde los dispositivos del
perímetro hasta los hosts.
 La cebolla es una buena analogía para ilustrar la
seguridad por capas.
 La alcachofa es una buena analogía para ilustrar
que un fallo en una capa puede permitir que se
penetre en otras capas.
Ing. Erga Lasosé
 La defensa

Políticas de seguridad
• Las políticas constituyen el pilar de la seguridad de las
redes al definir qué es aceptable.
• Las políticas empresariales son las pautas que desarrollan las
organizaciones para regir sus acciones y las de sus empleados.
• Una política de seguridad define los objetivos de seguridad de
la organización en un documento formal detallado. Una buena
política de seguridad consta de varias partes.
• En las políticas de BYOD se especifica qué dispositivos
personales pueden usar los empleados en la red corporativa.
También se especifican las condiciones para el uso de dichos
dispositivos.
• Según el tipo de organización, a veces se exige respetar
regulaciones establecidas por organizaciones externas.
• El cumplimiento de dichas regulaciones puede ser obligatorio y
podrían aplicarse penas por incumplimiento.
Ing. Erga Lasosé
Hardening de dispositivos
utilizados en la Redes
• Asegurar el enrutador perimetral, que se conecta a la
red externa, es un primer paso importante para
asegurar la red.
• El endurecimiento del dispositivo es una tarea crítica al
proteger la red. Implica utilizar la interfaz de línea de
comandos (CLI)para implementar métodos probados
de asegurar físicamente los dispositivos y proteger el
acceso administrativo del dispositivo
• . Algunos de estos métodos implican asegurar el acceso
administrativo, incluido el mantenimiento de
contraseñas, la configuración de características
mejoradas de inicio de sesión virtual y la
implementación de Secure Shell (SSH).

Ing. Erga Lasosé

 Hardening de Switchs
• La seguridad es tan fuerte como el enlace más
débil del sistema, y ​la capa 2 se considera ese
enlace más débil. Esto se debe a que
tradicionalmente las LAN estaban bajo el control
administrativo de una sola
organización. Inherentemente confiamos en todas
las personas y dispositivos conectados a nuestra
LAN. Hoy, con BYOD y ataques más sofisticados,
nuestras LAN se han vuelto más vulnerables a la
penetración.

Ing. Erga Lasosé

Por lo tanto, se recomiendan las siguientes
estrategias:
• Utilice siempre variantes seguras de estos
protocolos, como SSH, SCP y SSL.
• Considere usar la administración fuera de banda
(OOB).
• Use una VLAN de administración dedicada donde
solo reside el tráfico de administración.
• Use ACL para filtrar el acceso no deseado.

Ing. Erga Lasosé

• Los switches tienen tres interfaces de gestión:
consola local, consola remota sobre telnet/SSH, e
interfaz web sobre HTTP/HTTPS. Por defecto, están
habilitados los protocolos inseguros (telnet, http).
Los protocolos inseguros deben reemplazarse por
sus versiones seguras (SSH, HTTPS).
• En cualquiera de las interfaces de gestión, los
switches reconocen dos roles por defecto:
 Manager: Acceso total. Rol por defecto.
 Operator: Acceso limitado (estado del equipo,
contadores, comandos sencillos de troubleshooting
como ping, tracert, etc)

Ing. Erga Lasosé

• Los dos roles por defecto existen en todos los
switches y no necesitan ni admiten configuración
de permisos (no se pueden modificar los permisos
asociados a cada rol).
• Además de estos roles predefinidos, el switch
soporta hasta 64 grupos configurables. Los grupos
son la base del mecanismo de RBAC (Role Based
Access Control) soportado por estos switches, que
permite limitar los comandos a los que tiene
acceso un usuario.
• Cada grupo permite definir una lista de reglas que
controlan el acceso a diferentes apartados de la
configuración del switch

Ing. Erga Lasosé

• Cuando RBAC está activo, cada usuario (excepto
los predefinidos) tiene asociado uno de estos
grupos, que determina qué está autorizado a
hacer en el switch.
• El switch incluye 16 grupos preconfigurados para
usar con RBAC, Level-0 hasta Level-15. Los permisos
asociados a cada grupo son modificables, y
pueden listarse con el comando show authorization
group.
• Sin embargo, RBAC no está activo por defecto.
Para activarlo usamos el comando:
show running-config | include "authorization
commands" aaa authorization commands auto

Ing. Erga Lasosé

El proceso de control de acceso es:
• Las intentos de inicio de sesión se autentican contra el grupo
de servidores definido para el protocolo correspondiente
(consola, telnet, ssh, web) y el tipo de autenticación login.
Radius devuelve un rol y, opcionalmente, un grupo.
• Si está configurado “Respect Privilege” en el switch, y el
usuario tiene rol manager, accede directamente al shell de
manager. En otro caso, accede al shell de operador.
• Desde el shell de operador, el usuario puede
ejecutar enable para acceder al shell de manager.
• Las credenciales de enable se autentican contra el grupo de
servidores definidos para el protocolo correspondiente
(consola, telnet, ssh, web) y tipo de autenticación enable
• Si el usuario tiene rol manager, accede al shell de manager.
En otro caso, se rechaza el acceso.
• Si está habilitado RBAC (ver ref:roles_grupos), aunque el
usuario tenga rol de manager y esté en la shell de manager,
las acciones que puede ejecutar están limitadas por el grupo
asignado por el Radius.

Ing. Erga Lasosé

 Restricción de acceso a gestión

• Es posible limitar los rangos de direcciones IP desde

los que se podrá acceder a los diferentes servicios
de gestión del switch (ssh, web, snmp...). La
restricción es granular, y para cada rango de IP se
puede especificar:
• El nivel de privilegio (manager u operador) a que se
autoriza a dicho rango de IPs.
• El servicio o servicios a los que aplica: ssh, telnet,
web, snmp, tftp o todos.
• Los rangos autorizados aparecerán en la
configuración activa, y pueden también
consultarse explícitamente con la orden show ip
access-manager.

Ing. Erga Lasosé

 Vulnerabilidades
• En la capa 2, existen varias vulnerabilidades que requieren
técnicas de mitigación especializadas:
• Los ataques de desbordamiento de la tabla CAM se abordan
con seguridad de puerto.
• Los ataques de VLAN se controlan deshabilitando DTP y
siguiendo las pautas básicas para configurar los puertos
troncales.
• Los ataques DHCP se abordan con la inspección DHCP.
• La falsificación de ARP y los ataques de envenenamiento por
ARP se mitigan mediante la inspección dinámica de ARP
(DAI).
• Los ataques de suplantación de direcciones MAC e IP se
mitigan con IP Source Guard.
• Los ataques de manipulación STP son manejados por PortFast,
la protección BPDU, la protección raíz y la protección de
bucle.

Ing. Erga Lasosé

Ing. Erga Lasosé
 VPN
• Una VPN es una red privada
que se crea a través de una
red pública, generalmente
Internet. En lugar de usar una
conexión física dedicada, una
VPN usa conexiones virtuales
enrutadas a través de Internet
desde la organización al sitio
remoto. Las primeras VPN
fueron estrictamente túneles
IP que no incluían
autenticación o cifrado de los
datos.

Ing. Erga Lasosé

• Una VPN es virtual en el • Una VPN es un entorno de
sentido de que comunicaciones en el que
transporta información el acceso está
dentro de una red estrictamente controlado
privada, pero esa para permitir conexiones
información se transporta entre pares dentro de una
realmente a través de comunidad de interés
una red pública. Una definida. La
VPN es privada porque confidencialidad se logra
el tráfico se cifra para encriptando el tráfico
mantener la dentro de la VPN. Hoy, una
confidencialidad de los implementación segura de
datos mientras se VPN con encriptación es lo
transporta a través de la que generalmente se
red pública. equipara con el concepto
de red privada virtual.

Ing. Erga Lasosé

 Dos tipos de VPN
• Acceso Remoto: • Site-to-Site
Se crea una VPN de Se crea una VPN de sitio
acceso remoto cuando a sitio cuando los
la información de VPN no dispositivos en ambos
está configurada
estáticamente, sino que lados de la conexión VPN
permite cambiar conocen de antemano
dinámicamente la la configuración de
información de conexión, VPN. La VPN permanece
que se puede habilitar y estática y los hosts
deshabilitar cuando sea internos no saben que
necesario. existe una VPN.

Ing. Erga Lasosé

• En una VPN de sitio a • La puerta de enlace VPN
es responsable de
sitio, los hosts envían y encapsular y cifrar el tráfico
reciben tráfico TCP / IP saliente de un sitio en
normal a través de una particular y enviarlo a
través de un túnel VPN a
puerta de enlace VPN, través de Internet a una
que puede ser un puerta de enlace VPN en el
otro sitio. Al recibirlo, la
enrutador, firewall, puerta de enlace VPN de
concentrador VPN igual nivel elimina los
encabezados, descifra el
contenido y retransmite el
paquete hacia el host de
destino dentro de su red
privada.

Ing. Erga Lasosé

Ing. Erga Lasosé
 Monitorear los ataques
• Un enfoque para evitar la entrada de malwares en
una red es que un administrador monitoree
continuamente la red y analice los archivos de
registro generados por los dispositivos de la
red. Esta solución no es muy escalable. Analizar
manualmente la información del archivo de
registro es una tarea que requiere mucho tiempo y
proporciona una visión limitada de los ataques que
se lanzan contra una red. Para el momento en que
se analizan los registros, el ataque puede haber
sido exitoso.

Ing. Erga Lasosé

 Firewalls
Un firewall es un sistema o grupo de sistemas que
impone una política de control de acceso entre
redes.
Todos los firewalls comparten algunas propiedades
comunes:
• Los firewalls resisten ataques de red.
• Los firewalls son el único punto de tránsito entre las
redes corporativas internas y las redes externas
porque todo el tráfico circula por ellos.
• Los firewalls aplican la política de control de
acceso.

Ing. Erga Lasosé

• Los firewalls en una red brindan numerosos
beneficios:
• Evitan la exposición de hosts, recursos y
aplicaciones confidenciales a usuarios no
confiables.
• Sanean el flujo de protocolos, lo que evita el
aprovechamiento de las fallas de protocolos.
• Bloquean los datos maliciosos de servidores y
clientes.
• Simplifican la administración de la seguridad, ya
que la mayor parte del control del acceso a redes
se deriva a unos pocos firewalls de la red.

Ing. Erga Lasosé

• Los firewalls también tienen algunas limitaciones:
• Un firewall mal configurado puede tener graves
consecuencias para la red, por ejemplo,
convertirse en un punto único de falla.
• Los datos de muchas aplicaciones no se pueden
transmitir con seguridad mediante firewalls.
• Los usuarios pueden buscar maneras de esquivar el
firewall para recibir material bloqueado, lo que
expone a la red a posibles ataques.
• Puede reducirse la velocidad de la red.
• El tráfico no autorizado se puede tunelizar u ocultar
como tráfico legítimo a través del firewall.

Ing. Erga Lasosé

 Descripciones de tipos de
firewal
• Firewall con filtrado de paquetes (sin estado): comúnmente, es un
router con capacidad para filtrar algunos contenidos del paquete,
como información de capa 3 y, a veces, de capa 4, según un
conjunto configurado de reglas.
• Firewall con detección de estado: un firewall de inspección con
detección de estado permite o bloquea tráfico en función del
estado, del puerto y del protocolo. Monitorea toda la actividad
desde la apertura hasta el cierre de una conexión. Las decisiones
sobre el filtrado se toman según las reglas definidas por el
administrador y el contexto, es decir, el uso de información de
conexiones y paquetes anteriores que pertenezcan a la misma
conexión.
• Firewall de gateway de aplicación (proxy de firewall): filtra la
información en las capas 3, 4, 5 y 7 del modelo de referencia OSI. La
mayor parte del control y filtrado del firewall se realiza en el software.
Cuando un cliente necesita tener acceso a un servidor remoto, se
conecta a un servidor proxy. El servidor proxy se conecta al servidor
remoto en nombre del cliente. Por lo tanto, el servidor solamente ve
una conexión desde el servidor proxy

Ing. Erga Lasosé

Otros métodos de implementación de firewall
incluyen los siguientes:
• Firewall basado en host (servidor y personal): una
computadora o servidor que ejecuta software de
firewall.
• Firewall transparente: filtra el tráfico de IP entre un
par de interfaces conectadas con puente.
• Firewall híbrido: una combinación de los distintos
tipos de firewall. Por ejemplo, un firewall de
inspección de aplicación combina un firewall con
estado y un firewall de gateway de aplicación.

Ing. Erga Lasosé

 IDS
Los sistemas de detección de intrusos
(IDS) se implementaron para
monitorear pasivamente el tráfico en
una red. La figura muestra que un
dispositivo habilitado para IDS copia
el flujo de tráfico y analiza el tráfico
copiado en lugar de los paquetes
reenviados reales. Al trabajar sin
conexión, compara el flujo de tráfico
capturado con firmas maliciosas
conocidas, similar al software que
busca virus.

Ing. Erga Lasosé

Trabajar sin conexión significa varias cosas:
• IDS funciona pasivamente
• El dispositivo IDS se coloca físicamente en la red para que el tráfico se
refleje para llegar a él.
• El tráfico de red no pasa a través del IDS a menos que se refleje
• Aunque el tráfico es monitoreado y tal vez reportado, el IDS no toma
medidas sobre los paquetes. Esta implementación de IDS sin conexión se
conoce como modo promiscuo.
• La ventaja de operar con una copia del tráfico es que el IDS no afecta
negativamente el flujo de paquetes del tráfico reenviado.
• La desventaja de operar en una copia del tráfico es que el IDS no puede
evitar que los ataques maliciosos de paquete único lleguen al objetivo
antes de responder al ataque.
• Un IDS a menudo requiere asistencia de otros dispositivos de red, como
enrutadores y firewalls, para responder a un ataque.

Ing. Erga Lasosé

 IPS
• Un IPS se basa en la
tecnología IDS. Sin
embargo, un dispositivo IPS
se implementa en modo en
línea. Esto significa que
todo el tráfico de entrada y
salida debe fluir a través de
él para su
procesamiento. Como se
muestra en la figura, un IPS
no permite que los
paquetes ingresen al lado
confiable de la red sin ser
analizados primero. Puede
detectar y resolver
inmediatamente un
problema de red.

Ing. Erga Lasosé

• Un IPS monitorea el tráfico de Capa 3 y Capa
4. Analiza el contenido y la carga útil de los
paquetes para ataques embebidos más
sofisticados que pueden incluir datos maliciosos en
las capas 2 a 7.
• La ventaja de operar en modo en línea es que el
IPS puede evitar que los ataques de paquete único
lleguen al sistema de destino. La desventaja es que
un IPS mal configurado, o una solución IPS no
proporcional, puede afectar negativamente el flujo
de paquetes del tráfico reenviado.

Ing. Erga Lasosé

• La mayor diferencia entre IDS e IPS es que un IPS
responde de inmediato y no permite que pase
ningún tráfico malicioso, mientras que un IDS
permite que pase el tráfico malicioso antes de que
se aborde.

Ing. Erga Lasosé

Ing. Erga Lasosé
• El equilibrio de carga implica la distribución del
tráfico entre dispositivos o rutas de redes para no
sobrecargar los recursos de redes con demasiado
tráfico. Si existen recursos redundantes, un
algoritmo o dispositivo de equilibrio de carga se
encargará de distribuir el tráfico entre esos recursos,
como se ve en la figura.
• una manera de hacer esto en Internet es mediante
diversas técnicas que utilizan DNS para enviar
tráfico a los recursos que tienen el mismo nombre
de dominio, pero varias direcciones IP.

Ing. Erga Lasosé

• En algunos casos, la distribución puede realizarse a
servidores distribuidos geográficamente. Esto
puede derivar en que una única transacción de
Internet se represente con múltiples direcciones IP
en los paquetes entrantes. Esto puede hacer que
aparezcan características sospechosas en las
capturas de paquetes. Además, algunos
dispositivos de administración del equilibrio de
carga (LBM, Load Balancing Manager) utilizan
sondas para evaluar el desempeño de diferentes
rutas y la condición de distintos dispositivos.

Ing. Erga Lasosé

Ing. Erga Lasosé
 Puerto espejo
• Un analizador de paquetes puede ser una
herramienta valiosa para ayudar a monitorear y
solucionar problemas de una red. El analizador de
paquetes (también conocido como sniffer de
paquetes o sniffer de tráfico) es típicamente un
software que captura los paquetes que entran y
salen de la tarjeta de interfaz de red (NIC).
• La duplicación de puertos es una función que
permite que un conmutador haga una copia
duplicada de una trama Ethernet entrante y luego
la envíe a un puerto con un analizador de
paquetes conectado para capturarlo. El marco
original se reenvía de la manera habitual.

Ing. Erga Lasosé

 SPAN PORTS
• La funcion del
Switched Port Analyzer
(SPAN) es envíar copias
de la trama que
ingresa a un puerto y
sale a otro puerto en el
mismo switch. Un host
que ejecuta un
analizador de
paquetes o un IDS
podría estar en el otro
extremo de ese
puerto.

Ing. Erga Lasosé

• La terminología SPAN incluye varios elementos
específicos:
• Tráfico de entrada : tráfico que ingresa al
conmutador.
• Tráfico de salida: tráfico que sale del interruptor.
• Puerto de origen (SPAN) - Un puerto que se
supervisa con el uso de la función SPAN.
• Puerto de destino (SPAN) - Un puerto que
monitorea los puertos de origen, generalmente
donde está conectado un analizador de paquetes
o IDS.

Ing. Erga Lasosé

Hay tres cosas importantes a considerar al configurar
un SPAN:
• El puerto de destino no puede ser un puerto de
origen, y el puerto de origen no puede ser un
puerto de destino.
• El número de puertos de destino depende de la
plataforma. Algunas plataformas permiten más de
un puerto de destino

Ing. Erga Lasosé

Ing. Erga Lasosé