0% encontró este documento útil (0 votos)

55 vistas98 páginas

ENSA Module 3

Cargado por

Anthony Sanhueza

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

0% encontró este documento útil (0 votos)

55 vistas98 páginas

ENSA Module 3

Cargado por

Anthony Sanhueza

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

Está en la página 1/ 98

Módulo 3: Conceptos de

Seguridad en Redes
Redes Empresariales, Seguridad y Automatización
v7.0
(ENSA)
Objetivos del módul
Título del Módulo: Conceptos de Seguridad en Redes

Objetivos del Módulo: Explique cómo se pueden mitigar las vulnerabilidades, las amenazas y los
ataques para mejorar la seguridad de la red.
Título del tema Objetivo del tema

Estado Actual de la Ciberseguridad Describa el estado actual de la ciberseguridad y los vectores de pérdida de datos.

Agentes de amenazas Describa las herramientas que utilizan los agentes de amenazas para explotar las redes.

malware Describa los tipos de malware.

Ataques de red habituales Describa los ataques de red habituales.

Vulnerabilidades y amenazas de IP Explique cómo los agentes de amenazas explotan las vulnerabilidades de IP.

Vulnerabilidades de TCP y UDP Explique cómo los agentes de amenazas explotan las vulnerabilidades de TCP y UDP.

Servicios IP Explique cómo los agentes de amenazas explotan los servicios IP.

Mejores prácticas en seguridad de redes Describa las mejores prácticas para proteger una red.

Criptografía Describa los procesos criptográficos comunes utilizados para proteger los datos en tránsito.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 2
Declaración de Hacking Ético
• En este módulo, es posible que se exponga a los estudiantes a herramientas y técnicas en un
"entorno de pruebas", usando una máquina virtual, para demostrarle distintos tipos de
ciberataques. Experimentar con estas herramientas, técnicas y recursos queda a criterio del
instructor y de la institución local. Si el alumno está considerando usar herramientas de ataque con
fines educativos, debe comunicarse con su instructor antes de cualquier experimentación.
• El acceso no autorizado a datos, computadoras y sistemas de redes es un delito en muchas
jurisdicciones y, a menudo, está acompañado por graves consecuencias, independientemente de
qué motive al delincuente. En su carácter de usuario de este material, la responsabilidad del
alumno es conocer y cumplir las leyes de uso de las computadoras.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 3
3.1. Estado Actual de la
Ciberseguridad

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 4
Estado Actual de la Ciberseguridad
Estado actual de los casos
• Los cibercriminales ahora tienen la experiencia y las herramientas necesarias para derribar la
infraestructura y los sistemas críticos. Sus herramientas y técnicas continúan evolucionando.
• Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los intereses
comerciales. Todos los usuarios deben conocer los términos de seguridad en la tabla.

Términos de
Descripción
seguridad
Un activo es cualquier cosa de valor para la organización. Incluye personas, equipos,
Activos
recursos y datos.
Una vulnerabilidad es una debilidad en un sistema, o su diseño, que podría ser explotada
Vulnerabilidad
por una amenaza.
Una amenaza es un peligro potencial para los activos, los datos o la funcionalidad de la
Amenaza
red de una empresa.
Exploit Un exploit es un mecanismo para tomar ventaja de una vulnerabilidad.
La mitigación es la contra-medida que reduce la probabilidad o la severidad de una posible
Mitigación
amenaza o riesgo. La seguridad de Redes consiste en técnicas de mitigación múltiples.
El riesgo es la probabilidad de que una amenaza explote la vulnerabilidad de un activo,
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
Riesgo con el objetivo de afectar negativamente a una organización.
confidencial de CiscoEl riesgo se mide utilizando 5

la probabilidad de ocurrencia de un evento y sus consecuencias.

Estado actual de la ciberseguridad
Vectores de ataques de red
• Un vector de ataque es una ruta por la cual un atacante puede obtener acceso a un servidor, host
o red. Los vectores de ataque se originan dentro o fuera de la red corporativa, como se muestra en
la figura.
• Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas
porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 6
Estado actual de la ciberseguridad
Pérdida de datos
Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos
se pierden con o sin intención, son robados o se filtran fuera de la organización. La
pérdida de datos puede generar:
• Daño de la marca/pérdida de la reputación
• Pérdida de la ventaja competitiva
• Pérdida de clientes
• Pérdida de ingresos
• Acciones legales que generen multas y sanciones civiles
• Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de
la transgresión
Los profesionales de seguridad de red deben proteger los datos de la organización. Se
deben implementar varios controles de prevención de pérdida de datos (DLP) que
combinen medidas estratégicas, operativas y tácticas.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 7
Estado actual de la ciberseguridad
Pérdida de datos

Vectores de pérdida
Descripción
de datos
Correo electrónico / El correo electrónico o los mensajes de mensajería instantánea interceptados podrían
Redes sociales capturarse y descifrar el contenido.
Dispositivos no Si los datos no se almacenan utilizando un algoritmo de cifrado, entonces el ladrón puede
encriptados extraer datos confidenciales de valor.
Dispositivos de
Los datos confidenciales se pueden perder si el acceso a la nube se ve comprometido
almacenamiento en la
debido a ajustes débiles en la seguridad.
nube
Un riesgo es que un empleado pueda realizar una transferencia no autorizada de datos a un
Medios extraíbles dispositivo USB. Otro riesgo es que el dispositivo USB que contiene datos corporativos de
valor se puede extraviar.
Respaldo físico Los datos confidenciales deben triturarse cuando ya no sean necesarios.
Control de Acceso Las contraseñas o contraseñas débiles que se hayan visto comprometidas pueden
Incorrecto proporcionar al atacante un acceso fácil a los datos corporativos.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 8
3.2 Atacantes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 9
atacantes
El Hacker
Un hacker es un término común usado para describir a un atacante.

Tipo de Hacker Descripción

Son hackers éticos que utilizan sus habilidades de programación para fines buenos,
Hackers de Sombrero éticos y legales. Las vulnerabilidades en la seguridad se informan a los
Blanco desarrolladores para que las corrijan antes de que las vulnerabilidades puedan
aprovecharse.
Son personas que cometen delitos y hacen cosas probablemente poco éticas, pero
Hackers de Sombrero no para beneficio personal o ni para causar daños. Un hacker de sombrero gris
Gris puede divulgar una vulnerabilidad de la organización afectada después de haber
puesto en peligro la red.
Hackers de sombrero Son delincuentes poco éticos que violan la seguridad de una computadora y una
negro red para beneficio personal o por motivos maliciosos, como ataques a la red.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 10
Atacantes
La evolución de los Hackers
La tabla muestra los términos de piratería moderna y una breve descripción de cada una.

Término de
Descripción
Piratería
Estos son adolescentes o hackers inexpertos que corren scripts, ejecutan herramientas y
Script kiddies
exploits existentes para ocasionar daño, pero generalmente no para obtener ganancias.
Agentes de Son generalmente hackers de sombrero gris que intentan descubrir los exploits e informarlos
Vulnerabilidad a los proveedores, a veces a cambio de premios o recompensas.
Estos son hackers de sombrero gris que protestan en público contra las organizaciones o
Hacktivistas gobiernos mediante la publicación de artículos, videos, la filtración de información confidencial
y la ejecución de ataques a la red.
Delincuentes Son hackers de sombrero negro que independientes o que trabajan para grandes
cibernéticos organizaciones de delito cibernético.
Son hackers de sombrero blanco o sombrero negro que roban secretos de gobierno, recopilan
Patrocinados por inteligencia y sabotean las redes. Sus objetivos son los gobiernos, los grupos terroristas y las
el estado corporaciones extranjeras. La mayoría de los países del mundo participan en algún tipo de
hacking patrocinado por el estado.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 11
Atacantes
Cibercriminales
Se calcula que, en todo el mundo, los cibercriminales roban miles de millones de dólares
de los consumidores y las empresas cada año. Los cibercriminales operan en una
economía clandestina donde compran, venden e intercambian herramientas de ataque,
código de explotación de día cero, servicios de botnet, troyanos bancarios, keyloggers y
mucho más. También compran y venden la información privada y la propiedad intelectual
que roban de sus víctimas. Los cibercriminales apuntan a pequeñas empresas y
consumidores, así como a grandes empresas e industrias.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 12
Actores de amenazas
Hacktivistas
Dos ejemplos de grupos activistas hackers son Anonymous y el Ejército
Electrónico Sirio. Aunque la mayoría de los grupos hacktivistas no están bien
organizados, pueden causar problemas importantes para los gobiernos y las
empresas. Los hacktivistas tienden a confiar en herramientas bastante básicas
y de libre acceso.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 13
atacantes
Hackers patrocinados por el estado
Los hackers patrocinados por el estado crean un código de ataque avanzado y
personalizado, a menudo utilizando vulnerabilidades de software previamente
no descubiertas llamadas vulnerabilidades de día cero. Un ejemplo de un
ataque patrocinado por el estado involucró el malware de Stuxnet diseñado
para dañar la planta de enriquecimiento nuclear de Irán.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 14
3.3 Herramientas de los
atacantes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 15
Herramientas de los atacantes
Video – Herramientas de los atacantes
Este video cubrirá lo siguiente:
• Explicar las herramientas de pruebas de penetración
• Explicar tipos de ataque

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 16
Herramientas del Atacante
Introducción a las herramientas de Ataque
Para explotar una vulnerabilidad, un atacante debe tener una técnica o
herramienta. Con los años, las herramientas de ataque se han vuelto
más sofisticadas y altamente automatizadas. Estas nuevas
herramientas requieren menos conocimiento técnico para su
implementación.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 17
Herramientas de los atacantes
Evolución de las herramientas de seguridad
La tabla destaca categorías de herramientas comunes de prueba de penetración. Observe cómo
algunas herramientas son utilizadas por hackers de sombrero blanco y de sombrero negro. Tenga en
cuenta que esta lista no es definitiva, ya que se desarrollan nuevas herramientas constantemente.
Herramientas de
pruebas de Descripción
penetración
Las herramientas para descodificar contraseñas a menudo se les conoce como herramientas de
recuperación de contraseña y pueden ser usadas para decodificar o recuperar una contraseñar. Los
Decodificadores de
decodificadores de contraseñas hacen intentos repetidos para averiguar la contraseña. Algunos
contraseñas
ejemplos de herramientas para decodificar contraseñas son: John the Ripper, Ophcrack, L0phtCrack,
THC Hydra, RainbowCrack y Medusa.
Herramientas de Las herramientas de hacking inalámbrico se utilizan para hackear intencionalmente una red inalámbrica
Hacking con el fin de detectar vulnerabilidades en la seguridad. Algunos ejemplos de herramientas de hacking
Inalámbrico inalámbrico son: Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep, and ViStumbler.
Escaneo de redes y Las herramientas de análisis de red se utilizan para sondear dispositivos de red, servidores y hosts para
herramientas de puertos TCP o UDP abiertos. Algunos ejemplos de herramientas de escaneo: Nmap, SuperScan,
hacking Angry IP Scanner y NetScanTools.
Herramientas para Estas herramientas se utilizan para sondear y probar la solidez de un firewall usando paquetes
elaborar paquetes especialmente diseñados. Algunos ejemplos son: Hping, Scapy, Socat, Yersinia, Netcat, Nping y
de prueba Nemesis. © 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 18
Analizadores de Estas herramientas se utilizan para capturar y analizar paquetes dentro de redes tradicionales
protocolos de LAN Ethernet o WLAN. Algunas herramientas son las siguientes: Wireshark, Tcpdump, Ettercap, Dsniff,
Herramientas de los atacantes
Evolución de las Herramientas de Seguridad (Cont.)
Herramientas de
pruebas de Descripción
penetración
Se trata de un comprobador de integridad de archivos y directorios utilizado por hackers de sombrero blanco para
Detectores de rootkits
detectar kits de raíz instalados. Algunos ejemplos de herramientas: AIDE, Netfilter y PF: OpenBSD Packet Filter.
Fuzzers para buscar Los fuzzers son herramientas usadas por los atacantes cuando intentan descubrir las vulnerabilidades de
vulnerabilidades seguridad de una computadora. Algunos ejemplos de fuzzers: Skipfish, Wapiti y W3af.
Herramientas de Estas herramientas son utilizadas por los hackers de sombrero blanco para detectar cualquier rastro de evidencia
Informática Forense existente en una computadora. Algunos ejemplos de herramientas: Sleuth Kit, Helix, Maltego y Encase.
Los hackers de sombrero negro utilizan estas herramientas para aplicar ingeniería inversa en archivos binarios
Depuradores cuando programan ataques. También las utilizan los sombreros blancos cuando analizan malware. Algunas
herramientas de depuración son las siguientes: GDB, WinDbg, IDA Pro e Immunity Debugger.

Sistemas operativos Estos son sistemas operativos especialmente diseñados precargados con herramientas optimizadas para hacking.
para hacking Algunos ejemplos de sistemas operativos especialmente diseñados para hacking son Kali Linux, BackBox Linux.
Las herramientas de encriptación utilizan esquemas de algoritmo para codificar los datos a fin de prevenir el
Herramientas de
acceso no autorizado a los datos encriptados. Algunos ejemplos de estas herramientas son VeraCrypt,
Cifrado
CipherShed, OpenSSH, OpenSSL, Tor, OpenVPN y Stunnel.
Herramientas para Estas herramientas identifican si un host remoto es vulnerable a un ataque de seguridad. Algunos ejemplos de
atacar herramientas de explotación de vulnerabilidades son Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y
vulnerabilidades Netsparker.
Estas herramientas analizan una red o un sistema para identificar puertos abiertos. También pueden utilizarse
Escáneres de
para escanear vulnerabilidades conocidas y explorar máquinas virtuales, dispositivos
© 2021 Cisco BYOD
y/o sus filiales. Todos y bases
los derechos de datos
reservados. de
Información
vulnerabilidades confidencial de Cisco 19
clientes. Algunos ejemplos de herramientas son Nipper, Core Impact, Nessus, SAINT y OpenVAS.
Herramientas de los agentes de ataques
Tipos de ataques
Tipo de Ataque Descripción

Ataque de intercepción Esto sucede cuando un hacker captura y "escucha" el tráfico de red. Este ataque también se conoce como
pasiva (eavesdropping) sniffing o snooping.
Ataque de Modificación de Si los hackers han obtenido tráfico de la empresa, pueden alterar los datos en el paquete sin el conocimiento
Datos del remitente o del receptor.
Ataque de suplantación de
Un atacante crea un paquete IP que parece provenir de una dirección válida dentro de la intranet corporativa.
dirección IP
Si los harckers descubren una cuenta válida de usuario, los hackers tienen los mismos derechos que el usuario
Ataques basados en
real. Los hackers pueden usar una cuenta válida para obtener listas de otros usuarios, información de red,
contraseñas
cambios de servidor y configuraciones de red, y modificar, redirigir o borrar datos.
Un ataque de DoS impide el uso normal de una computadora o red por parte de usuarios válidos. Un ataque de
Ataque de Denegación de DoS también puede saturar una computadora o toda la red con tráfico hasta que se apaguen por sobrecarga.
Servicio Un ataque de DoS también puede bloquear tráfico; eso deriva en la pérdida de acceso a recursos de red por
parte de usuarios autorizados.
Este ataque se produce cuando los hackers se colocan entre un origen y un destino. Entonces ahora pueden
Ataque man-in-the-middle
monitorear, capturar y controlar la comunicación en forma activa y transparente.
Si un atacante obtiene una clave secreta, esa clave se conoce como una clave de riesgo. Una clave
Ataque de Claves
comprometida puede utilizarse para obtener acceso a una comunicación asegurada sin que el emisor ni el
Comprometidas
receptor se enteren del ataque.
Un analizador de protocolos es una aplicación o un dispositivo que puede leer, monitorear y capturar
Ataque de analizador de
intercambios de datos en la red y leer paquetes de red. Si los©confidencial
2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
paquetes no están cifrados, un analizador de
protocolos de Cisco 20
protocolos permite ver por completo los datos que los componen.
3.4 - Malware

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 21
Malware
Descripción General del Malware
• Ahora que conoce las herramientas que usan los hackers, este tema le presenta los
diferentes tipos de malware que utilizan los hackers para obtener acceso a
dispositivos finales.
• Los terminales son especialmente propensos a ataques de malware. Es importante
saber acerca del malware porque los atacantes confían en que los usuarios instalen
malware para explotar las brechas de seguridad.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 22
Malware
Virus y Caballos de Troya
• El primer y el tipo más común de malware informático es un virus. Los virus requieren
una acción humana para propagarse e infectar otras computadoras.
• Se ocultan mediante su unión a código informático, al software o a los documentos
del equipo. Cuando se abre, el virus se ejecuta e infecta el equipo.
• Los virus pueden:
• Modificar, dañar, eliminar archivos o borrar discos duros completos.
• Causar problemas de arranque del equipo y dañar aplicaciones.
• Capturar y enviar información confidencial a los atacantes.
• Acceder a cuentas de correo electrónico y utilizarlas para propagarse.
• Permanecer inactivo hasta que el atacante lo requiera.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 23
Malware
Virus y Caballos de Troya (Cont.)
Los virus modernos se desarrollan con intenciones muy específicas, como las indicadas
en la tabla.
Tipos de virus Descripción
Virus en el sector El virus ataca el sector de arranque, la tabla de particiones de archivos o el
de arranque sistema de archivos.
Virus de firmware El virus ataca el firmware del dispositivo.

Virus de macros El virus utiliza la función de macros de MS Office con fines maliciosos.
Virus del
El virus se introduce en otro programa ejecutable.
programa
Virus de script El virus ataca al intérprete del SO que se utiliza para ejecutar los scripts.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 24
Malware
Virus y Caballos de Troya (Cont.)
Los atacantes usan caballos de Troya para comprometer a los hosts. Un caballo de Troya es un
programa que parece útil pero también transporta código malicioso. Los caballos de Troya a menudo
se proporcionan con programas gratuitos en línea, como los juegos de computadora. Existen varios
tipos de caballos de Troya como se describen en la tabla.
Tipo de troyano Descripción

Acceso remoto El Troyano activa el acceso remoto no autorizado.

Envío de datos El Troyano le proporciona al atacante datos confidenciales, como contraseñas.

Destructivo El Troyano daña o elimina archivos.

El Troyano usará el equipo de la víctima como dispositivo de origen para lanzar ataques y realizar
Proxy
otras actividades ilegales.

FTP El Troyano habilita servicios no autorizados de transferencia de archivos en dispositivos finales.

Desactivador de software
El caballo de Troya detiene el funcionamiento de los programas antivirus o contrafuego.
de seguridad
Denegación de Servicio
El caballo de Troya retarda o detiene la actividad de red.
(DoS)
El Troyano intenta activamente robar información confidencial, como números de tarjetas de crédito,
Keylogger
registrando las pulsaciones de teclas efectuadas en un©confidencial
formulario web.
2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
de Cisco 25
Malware
Otros Tipos de Malware
Malware Descripción

•El adware se suele distribuir en las descargas de software.

•El adware puede mostrar anuncios no solicitados mediante ventanas emergentes del navegador web, nuevas barras de
Adware
herramientas o redireccionamientos inesperados a un sitio web diferente
•Las ventanas emergentes pueden ser difíciles de controlar, ya que las modernas son más rápidas que la mano del usuario.

•El ransomware generalmente cifra los archivos de la PC para que el usuario no pueda acceder a ellos y luego presenta un
mensaje donde se exige un rescate para suministrar la clave de descifrado.
Ransomware
•Los usuarios sin copias de respaldo actualizadas deben pagar el rescate para descifrar sus archivos.
•Por lo general, el pago se hace mediante transferencia bancaria o divisas criptográficas como bitcoines.
•Los atacantes usan los Rootkits para obtener acceso a nivel de cuenta de administrador a una PC.
•Son muy difíciles de detectar porque pueden alterar el firewall, la protección antivirus, los archivos del sistema e incluso los
comandos del SO para ocultar su presencia.
Rootkit
•Pueden proveer una puerta traserá para que los atancantes accedan al equipo, carguen archivos e instalen nuevo software para
utilizarlo en un ataque DDoS.
•Se deben utilizar herramientas especiales para eliminar los rootkits y a veces es necesario reinstalar el sistema completo.

•Es similar al adware, pero se utiliza para recopilar información sobre el usuario y enviarla sin su consentimiento a los atacantes.
Spyware. •El Spyware puede ser una amenaza menor que recopile datos de navegación, o bien, puede ser una amenaza importante que
recopile información personal y financiera.

•Es un programa que se replica a sí mismo y se propaga automáticamente sin participación del usuario, al aprovechar
vulnerabilidades de software legítimo.
Gusano
•Utiliza la red para buscar otras víctimas con la misma vulnerabilidad.
•El objetivo de los gusanos suele ser quitar velocidad o interrumpir las operaciones de redes.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 26
3.5 Ataques de Red
Comunes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 27
Ataques de Red Habituales
Resumen de los Ataques de Red Habituales
• Cuando se entrega e instala malware, la carga útil puede utilizarse para causar una
variedad de ataques relacionados con la red desde el interior.
• Para mitigar los ataques, es útil comprender los tipos de ataques. Al clasificarlos, es
posible abordar los ataques por tipo, en lugar de abordarlos individualmente.
• Las redes son susceptibles a los siguientes tipos de ataques:
• Ataques de reconocimiento
• Ataques de acceso
• Ataques de DoS

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 28
Ataques Comunes a Redes
Video - Resumen de los Ataques a Redes Comunes
Este video explicará las siguientes técnicas empleadas en el ataque de sondeo:
• Realiza una consulta de información a un objetivo
• Inicia un barrido de ping de la red de destino
• Inicia un análisis de puertos de las direcciones IP activas
• Ejecuta escáneres de vulnerabilidades
• Ejecuta herramientas de ataque

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 29
Ataques de Red Habituales
Ataques de Sondeo
• El reconocimiento es la recopilación de información.
• Los atacantes utilizan ataques de reconocimiento para realizar la detección no
autorizada y el mapeo de sistemas, servicios o vulnerabilidades. Los ataques de
sondeo preceden los ataques de acceso o ataques DoS.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 30
Ataques de Red Habituales
Ataques de Sondeo (Cont.)
En la tabla se describen algunas de las técnicas utilizadas por los atacantes para realizar ataques de
sondeo.

Técnica Descripción

El atacante está buscando información inicial sobre un objetivo. Se pueden usar varias
Recopilar información
herramientas, incluida la búsqueda de Google, páginas web de organizaciones, Whois y
de un objetivo
más.
La recopilación de información generalmente revela la dirección de red del objetivo. El
Iniciar un barrido de
atacante ahora puede iniciar un barrido de ping para determinar cuáles direcciónes IP
ping de la red objetivo
están activas.
Iniciar un análisis de Esto se utiliza para determinar qué puertos o servicios están disponibles. Algunos
puertos de las ejemplos de escáneres de puertos incluyen Nmap, SuperScan, Angry IP Scanner y
direcciones IP activas NetScanTools.
Útil para buscar los puertos identificados para determinar el tipo y la versión de la
Ejecutar escáneres de
aplicación y el sistema operativo que el host está ejecutando. Algunos ejemplos de
vulnerabilidades
herramientas son Nipper, Core Impact, Nessus, SAINT y OpenVAS.
Ejecutar herramientas El atacante ahora intenta descubrir servicios vulnerables que pueden ser explotados.
de explotación de Una variedad de herramientas de explotación de vulnerabilidades existen, incluyendo:
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
vulnerabilidades Metasploit, Core Impact, Sqlmap, Social Engineerconfidencial
Toolkitde yCisco Netsparker. 31
Ataques de Red Habituales
Video - Ataques de Acceso e Ingeniería Social
Este video cubrirá lo siguiente:
• Técnicas usadas en los ataques de acceso (ataques de contraseña, ataques de
falsificación, ataque de confianza, desviaciones de puertos, ataques de intermediarios,
ataques de desbordamiento de búfer)
• Técnicas usadas en los ataques de ingeniería social (pretesting, phishing, spear
phishing, spam, something for something, baiting, impersonation, tailgating, shoulder
surfing, dumpster diving)

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 32
Ataques de Red Habituales
Ataques de acceso
• Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de autenticación,
servicios FTP y servicios web. El propósito de este tipo de ataques es obtener acceso a cuentas
web, bases de datos confidenciales y otra información confidencial.
• Los atacantes usan ataques de acceso en dispositivos de red y computadoras para recuperar
datos, obtener acceso o escalar privilegios de acceso al rol de administrador.
• Ataques de contraseña: En un ataque de contraseña, el atacante intenta descubrir contraseñas
críticas del sistema utilizando varios métodos. Los ataques de contraseña son muy comunes y
pueden iniciarse utilizando una variedad de herramientas para descifrar contraseñas.
• Ataque Spoofing o de falsificación: En los ataques de falsificación, el dispositivo del atacante
intenta hacerse pasar por otro dispositivo falsificando datos. Los ataques comunes de suplantación
de identidad incluyen Suplantación de dirección IP, Suplantación de MAC y Suplantación de DHCP.
Estos ataques de suplantación se analizarán con más detalle más adelante en este módulo.
• Otros tipos de ataques de acceso son:
• Explotaciones de confianzas
• Redireccionamiento de puertos
• Ataques Man-in-the-middle
• Ataques de desbordamiento de búfer (buffer overflow) © 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 33
Ataques de Red Habituales
Ataques de Ingeniería Social
• La Ingeniería social es un ataque de acceso que intenta manipular a las personas
para que realicen acciones o divulguen información confidencial. Algunas técnicas de
ingeniería social son presenciales, mientras que otras pueden ser por teléfono o
Internet.
• Los ingenieros sociales, a menudo, confían en la predisposición a ayudar que tienen
las personas. También se aprovechan de las debilidades de los demás.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 34
Ataques de Red Habituales
Ataques de Ingeniería Social
Ataques de ingeniería social Descripción

Pretexto Un atacante finge necesitar datos personales o financieros para confirmar la identidad del destinatario.

El atacante envía un mensaje fraudulento que parece ser de una fuente legítima y confiable, para hacer que la
Phishing
víctima instale malware en su dispositivo o revele información personal o financiera.

Spear phishing El atacante crea un ataque phishing dirigido específicamente a una persona u organización.

También conocido como correo basura, es correo electrónico no solicitado que suele contener enlaces nocivos,
Correo electrónico no deseado
malware o información engañosa.
A veces se denomina "quid pro quo" y es cuando el atacante solicita información personal a cambio de algo
Algo por algo
como un obsequio.
Un atacante deja deliberadamente una unidad de memoria (flash) infectada con malware en un sitio público. Una
Baiting (carnada)
víctima encuentra la unidad, la coloca en su equipo portátil y sin darse cuenta instala malware.
Suplantación de identidad
Este tipo de ataque es donde un atacante finge ser alguien más para ganarse la confianza de la víctima.
(Impersonation)
Es un tipo de ataque presencial en el cual el atacante sigue muy de cerca a una persona autorizada para poder
Tailgating (infiltración)
acceder a un área protegida.
Es un tipo de ataque presencial en el cual el atacante mira con disimulo sobre el hombro de una persona para
Shoulder surfing
robar sus contraseñas u otra información.
Inspección de basura
Tipo de ataque presencial en el cual el atacante hurga en la© 2021
basura en busca de documentos confidenciales.
(Dumpster diving) Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 35
Ataques de Red Habituales
Ataques de Ingeniería Social

• El Kit de herramientas de ingeniería social

(SET, Social Engineering Toolkit) fue
diseñado por TrustedSec para ayudar a los
hackers de sombrero blanco y a otros
profesionales de seguridad de la red a crear
ataques de ingeniería social para poner a
prueba sus propias redes.
• Las empresas deben capacitar y educar a
sus usuarios sobre los riesgos de la
ingeniería social, y desarrollar estrategias
para validar las identidades por teléfono, por
correo electrónico o en persona.
• En la figura, se presentan las prácticas
recomendadas que deben seguir todos los
usuarios.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 36
Ataques Comunes a Redes
Práctica de Laboratorio: Ingeniería Social
En esta práctica de laboratorio, se investigarán ejemplos de ingeniería
social y se identificarán maneras de reconocerla y evitarla.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 37
Ataques de Red Habituales
Video – Ataques por Denegación de Servicio
Este video cubrirá lo siguiente:
• Técnicas usas en los ataques de Denegación de Servicios (cantidad
abrumadora de tráfico, paquetes mal formateados)
• Técnicas usadas en los ataques de Distribución de Denegación de
Servicio (zombies)

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 38
Ataques de Red Habituales
Ataques de DoS y DDoS
• Un ataque de Denegación de Servicios (DoS, siglas en inglés) crea algún tipo de
interrupción de los servicios de red para usuarios, dispositivos o aplicaciones. Existen
dos tipos principales de ataques DoS:
• Cantidad abrumadora de tráfico- el atacante envía una gran cantidad de datos a
una velocidad que la red, el host o la aplicación no puede manejar. Esto hace que los
tiempos de transmisión y respuesta disminuyan. También puede bloquear un
dispositivo o servicio.
• Paquetes Mal Formateados- El atacante envía un paquete malicioso formateado a
un host o una aplicación y el receptor no puede manejarlo. Esto hace que el
dispositivo receptor funcione muy lentamente o se detenga.
• Los ataques DoS son un riesgo importante, porque pueden interrumpir fácilmente la
comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques
son relativamente simples de ejecutar, incluso si lo hace un atacante inexperto.
• Un ataque de Denegación de Servicios Distribuida (DDoS, siglas en inglés) es similar
a un ataque de DoS, pero proviene de múltiples fuentes coordinadas.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 39
3.6 Vulnerabilidades y
Amenazas de IP

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 40
Vulnerabilidades y amenazas de IP
Video – Ataque comunes de IP y ICMP
Este video cubrirá lo siguiente:
• Técnicas usadas en los ataques de IP (ataques ICMP, ataques de amplificación y
reflexión, ataques de intermediarios, robo de sesión)
• Técnicas usadas en ataques ICMP (ICMP "echo request" y "echo reply", ICMP
unreachable, ICMP mask reply, ICMP redirects, ICMP router discovery)

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 41
Vulnerabilidades y Amenazas de IP
IPv4 e IPv6
• El protocolo IP no valida si la dirección IP de origen contenida en un paquete realmente provino de
esa fuente. Por eso, los atacantes pueden enviar paquetes con una dirección IP de origen falsa.
Los analistas de seguridad deben entender los diferentes campos en los encabezados IPv4 e
IPv6.
• Algunos de los ataques relacionados con IP más comunes se muestran en la tabla.
Técnicas de Ataque IP Descripción
Los atacantes utilizan paquetes de echo (pings) del Protocolo de Mensajes de Control de Internet
Ataques de ICMP (ICMP) para detectar subredes y hosts en una red protegida, y luego generar ataques DoS de
saturación y modificar las tablas de enrutamiento de los hosts.
Ataques de Amplificación y Los agentes de amenaza intentan impedir que usuarios legítimos tengan acceso a información o
reflexión servicios.
Ataques de suplantación de Los agentes de amenaza suplantan la dirección IP de origen en un paquete de IP para realizar
direcciones suplantación blind o non-blind.
Los atacantes se posicionan entre un origen y un destino para monitorear, capturar y controlar la
Ataques man-in-the-middle
comunicación en forma transparente. Simplemente pueden escuchar en silencio mediante la
(MITM)
inspección de paquetes capturados o modificar paquetes y reenviarlos a su destino original.
Los atacantes obtienen acceso a la red física y, luego, usan un ataque de MITM para secuestrar una
Secuestros de sesiones
sesión.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 42
Vulnerabilidades y Amenazas de IP
Ataques ICMP
• Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y
análisis. Esto les permite iniciar ataques de recopilación de información para conocer
la disposición de una topología de red, detectar qué hosts están activos (dentro del
alcance), identificar el sistema operativo del host (identificación del SO) y determinar
el estado de un firewall. Los atacantes también usan ICMP para ataques DoS.
• Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a
ataques similares.
• Las redes deben tener filtros estrictos de lista de control de acceso (ACL) en el
perímetro de la red para evitar sondeos de ICMP desde Internet. En el caso de redes
grandes, los dispositivos de seguridad (como firewalls y sistemas de detección de
intrusiones o IDS) deben detectar este tipo de ataques y generar alertas para los
analistas de seguridad.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 43
Vulnerabilidades y Amenazas de IP
Ataques ICMP (Cont.)

Los mensajes comunes de ICMP de interés para los atacantes se enumeran en la tabla.
Mensajes ICMP utilizados por los Hackers Descripción

"Echo request" y "echo reply" de ICMP Esto se utiliza para realizar la verificación del host y los ataques DoS.

Esto se utiliza para realizar ataques de reconocimiento y escaneo de la

"Unreachable" de ICMP
red.

"Mask reply" de ICMP Se utiliza para mapear una red IP interna.

Se utiliza para lograr que un host de destino envíe todo el tráfico a través
"Redirects" de ICMP
de un dispositivo comprometido y crear un ataque de MITM.
Esto se utiliza para inyectar entradas de rutas falsas en la tabla de routing
"Router discovery" de ICMP
de un host objetivo.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 44
Vulnerabilidades y Amenazas de IP
Video – Amplificación, reflexión y Suplantación de identidad
Este video explicará los ataques de amplificación, reflexión y suplantación de identidad.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 45
Vulnerabilidades y amenazas de IP
Ataques de reflejo y amplificación

• Los agentes de amenaza suelen usar

técnicas de amplificación y reflejo para
crear ataques de DoS. En la figura se
ilustra cómo se usa un ataque "Smurf”
para abrumar un host objetivo.
• Nota: Ahora se utilizan nuevas formas de
ataques de amplificación y reflejo, como
ataques de amplificación y reflejo con base
en DNS y ataques de amplificación de NTP.
• Los atacantes también utilizan ataques
de agotamiento de recursos de un host
objetivo a fin de que deje de funcionar
o para consumir los recursos de una
red.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 46
Vulnerabilidades y Amenazas de IP
Ataques de Suplantación de Direcciones
• Los ataques de suplantación de dirección IP se producen cuando un atacante crea paquetes con
información falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse
pasar por otro usuario legítimo. La Suplantación de dirección IP suele formar parte de otro ataque
denominado ataque Smurf.
• Los ataques de Spoofing (suplantación) pueden ser "blind" (a ciegas) o "non-blind" (con
visibilidad):
• Suplantación no ciega (Non-blind spoofing): El atacante puede ver el tráfico que se envía
entre el host y el destino. Esta técnica determina el estado de un Firewall y la predicción del
número de secuencia. También puede secuestrar una sesión autorizada.
• Blind spoofing: El atacante no puede ver el tráfico que se envía entre el host y el objetivo. Este
tipo de ataque se utiliza en ataques DoS.
• Los ataques de suplantación de dirección MAC se utilizan cuando los agentes de amenaza tienen
acceso a la red interna. Los atacantes cambian la dirección MAC de su host para que coincida con
otra dirección MAC conocida de un host de destino.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 47
3.7 Vulnerabilidades de TCP
y UDP

Información confidencial de Cisco 48
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP
• La información de segmento de TCP aparece
inmediatamente después del encabezado de
IP. En la figura se muestran los campos del
segmento TCP y los Flags para el campo de
bits de control.
• Los siguientes son los seis bits de control del
segmento TCP:
• URG: Campo indicador urgente significativo
• ACK - campo de reconocimiento significativo
• PSH: Función de pulsación
• RST: Restablecer la conexión
• SYN: Sincronizar números de secuencia
• FIN: No hay más datos del emisor

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 49
Vulnerabilidades de TCP y UDP
Servicios TCP
El TCP ofrece los siguientes servicios:
• Entrega confiable- TCP incorpora reconocimientos para garantizar la entrega. Si no
se recibe un acuse de recibo oportuno, el emisor retransmite los datos. Requerir
acuses de recibo de los datos recibidos puede causar retardos sustanciales. Algunos
ejemplos de los protocolos de capa de aplicación que hacen uso de la confiabilidad
de TCP incluyen HTTP, SSL/TLS, FTP y transferencias de zona DNS.
• Control de flujo: El TCP implementa el control de flujo para abordar este problema.
En lugar de confirmar la recepción de un segmento a la vez, varios segmentos se
pueden confirmar con un único acuse de recibo.
• Comunicación con estado- la comunicación con estado del TCP entre dos partes
ocurre gracias a la comunicación tridireccional de TCP.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 50
Vulnerabilidades de TCP y UDP
Servicios TCP (Cont.)
Una conexión TCP se establece en tres pasos:
1. El cliente de origen solicita una sesión de comunicación de cliente a servidor con el servidor.
2. El servidor acusa recibo de la sesión de comunicación de cliente a servidor y solicita una sesión
de comunicación de servidor a cliente.
3. El cliente de origen acusa recibo de la sesión de comunicación de servidor a cliente.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 51
Vulnerabilidades de TCP y UDP
Ataques de TCP
Ataque de Inundación SYN a
TCP
1. El atacante envía múltiples
solicitudes SYN a un servidor
web.
2. El servidor web responde con
SYN-ACK para cada solicitud
SYN y espera para completar
el intercambio de señales de
tres vías. El atacante no
responde a los SYN-ACK.
3. Un usuario válido no puede
acceder al servidor web
porque el servidor web tiene
demasiadas conexiones TCP
a medio abrir.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 52
Vulnerabilidades de TCP y UDP
Ataques de TCP (Cont.)
La finalización de una sesión TCP utiliza el
siguiente proceso de intercambio de cuatro vías:
1. Cuando el cliente no tiene más datos para
enviar en la transmisión, envía un segmento
con el Flag "FIN" establecido.
2. El servidor envía un ACK para acusar recibo
del FIN para terminar la sesión de cliente a
servidor.
3. El servidor envía un FIN al cliente para
terminar la sesión de servidor a cliente.
4. El cliente responde con un ACK para dar
acuse de recibo del FIN desde el servidor.
Un atacante podría efectuar un ataque de
restablecimiento de TCP y enviar un paquete
falso con un RST de TCP a uno o ambos
terminales.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 53
Vulnerabilidades de TCP y UDP
Ataques de TCP (Cont.)
Otra vulnerabilidad es el secuestro de sesiones de TCP. Aunque es difícil de realizar,
permite que un atacante tome el control de un host autenticado mientras este se
comunica con el objetivo El atacante tendría que suplantar la dirección IP de un host,
predecir el siguiente número de secuencia y enviar un ACK al otro host. Si tiene éxito, el
atacante puede enviar, pero no recibir, datos desde el dispositivo objetivo.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 54
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP y Funcionamiento
• DNS, TFTP, NFS y SNMP utilizan comúnmente UDP. También lo utilizan aplicaciones en tiempo
real, como la transmisión multimedia o VoIP. UDP es un protocolo de capa de transporte sin
conexión Tiene una sobrecarga mucho menor que TCP ya que no está orientado a la conexión y
no proporciona los mecanismos sofisticados de retransmisión, secuenciación y control del flujo
que ofrecen confiabilidad.
• Significa que estas funciones no las proporciona el protocolo de la capa de transporte, y se deben
implementar aparte si es necesario.
• La baja sobrecarga del UDP es muy deseable para los protocolos que realizan transacciones
simples de solicitud y respuesta.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 55
Vulnerabilidades de TCP y UDP
Ataques de UDP
• UDP no está protegido por ningún tipo de encriptación. Podemos agregar encriptación a UDP,
pero no está disponible de forma predeterminada. La falta de encriptación permite que cualquiera
vea el tráfico, lo modifique y lo envíe a su destino.
• Ataques de UDP Flood: El atacante debe usar una herramienta como UDP Unicorn o Low Orbit
Ion Cannon. Estas herramientas envían una avalancha de paquetes UDP, a menudo desde un
dispositivo suplantado, hacia un servidor en la subred. El programa analiza todos los puertos
conocidos intentando encontrar puertos cerrados. Esto hace que el servidor responda con un
mensaje de "puerto ICMP inaccesible". Debido a que hay muchos puertos cerrados en el servidor,
esto crea mucho tráfico en el segmento, el cual utiliza la mayor parte del ancho de banda. El
resultado es muy similar al de un ataque de DoS.

Información confidencial de Cisco 57
Servicios IP
Vulnerabilidades de ARP
• Los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. El host con
la dirección IP que coincide con la de la solicitud de ARP envía una respuesta de
ARP.
• Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP
gratuito”. Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan
en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
• Esta característica de ARP también significa que cualquier host puede reclamar ser el
propietario de cualquier IP o MAC. Un atacante puede envenenar la caché de ARP de
los dispositivos en la red local y crear un ataque de MITM para redireccionar el
tráfico.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 58
Servicios IP
Envenenamiento de caché de ARP
El envenenamiento de caché ARP se puede usar para lanzar varios ataques de MITM.
1. La PC-A necesita la dirección MAC de su gateway predeterminado (R1) y, por lo
tanto, envía ARP request para obtener la MAC de 192.168.10.1.
2. El R1 actualiza su caché de ARP con la IP y MAC de la PC-A y envía una respuesta
ARP, la cual, a su vez, actualiza su caché de ARP con la IP y MAC del R1.
3. El atacante envía dos gratuitous ARP falsos usando su propia dirección MAC para la
IP de destino indicada. La PC-A actualiza su caché ARP con su Puerta de enlace por
defecto, la cual ahora apunta hacia la MAC del host del atacante. El R1 también
actualiza su caché ARP con la dirección IP de la PC-A y comienza a apuntar a la
dirección MAC del atacante.
El envenenamiento ARP puede ser pasivo o activo: Pasivo: Los atacantes roban
información confidencial. Activo cuando los atacantes modifican datos en tránsito o
inyectan datos maliciosos.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 60
Servicios IP
Ataques de DNS
• El protocolo de Sistema de Nombres de Dominio (DNS) define un servicio
automatizado que empareja los nombres de recursos, como www.cisco.com, con su
respectiva dirección de red numérica, ya sea dirección IPv4 o IPv6. Incluye el formato
para las consultas, respuestas y datos, y usa registros de recursos (RR) para
identificar el tipo de respuesta de DNS.
• La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el
funcionamiento de una red y debe protegerse correctamente.
• Los ataques DNS incluyen los siguientes:
• Ataques de resolución abierta de DNS
• Ataques sigilosos de DNS
• Ataques de domain shadowing de DNS
• Ataques de tunelización de DNS

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 61
Servicios IP
Ataques de DNS (Cont.)
Ataques de resolución abierta de DNS: Responde las consultas de clientes fuera de su
dominio administrativo. Son vulnerables a múltiples actividades maliciosas descritas en la
tabla.
Vulnerabilidades de
Descripción
resolución DNS
Los atacantes envían registros de recursos (RR) falsificados a una "DNS
resolver" para redirigir a los usuarios de sitios legítimos a sitios maliciosos. Estos
Ataque de envenenamiento
ataques se pueden utilizar para informar a la resolución de DNS que utilice un
de caché DNS
servidor de nombre malicioso que proporciona información del RR para
actividades maliciosas.
Los atacantes usan ataque DoS o DDoS para aumentar el volumen de ataques y
para ocultar la verdadera fuente de un ataque. Los atacantes envían mensajes de
Ataque de amplificación y
DNS a las resoluciones abiertas utilizando la dirección IP de un host de destino.
reflexión de DNS
Estos ataques son posibles porque la resolución abierta responde las consultas
de cualquiera que pregunte.
Un ataque DoS consume los servidores de resolución abierta de DNS. Este
ataque de DoS consume todos los recursos disponibles para afectar
Ataques de recursos
negativamente las operaciones de la resolución de DNS abierta. El impacto de
disponibles de DNS
este ataque de DoS puede requerir el reinicio
© 2021 Ciscode lafiliales.
y/o sus
confidencial de Cisco
resolución dereservados.
Todos los derechos DNS abierta
Información o la
62
interrupción y el reinicio de los servicios.
Servicios IP
Ataques de DNS (Cont.)
Ataques de DNS Sigilosas: Para ocultar su identidad, los atacantes también utilizan las
técnicas de DNS sigilosas descritas en la siguiente tabla.

Técnicas
sigilosas de Descripción
DNS
Los atacantes utilizan esta técnica para ocultar sus sitios de entrega de
phishing y malware en una red de hosts DNS atacados que cambia
Fast Flux rápidamente. Las direcciones IP de DNS cambian constantemente en apenas
minutos. A menudo, los botnets emplean técnicas de flujo rápido para ocultar
con eficacia servidores maliciosos y evitar su detección.
Los atacantes utilizan esta técnica para cambiar rápidamente el hostname para
Double IP Flux las asignaciones de dirección IP y también cambiar el servidor de nombres
autorizados. Esto aumenta la dificultad para identificar el origen del ataque.
Algoritmos de Los atacantes utilizan esta técnica en malware para generar aleatoriamente
generación de nombres de dominio que puedan utilizarse como puntos de encuentro de sus
dominio servidores de Mando y control (C&C, siglas©en inglés).
2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 63
Servicios IP
Ataques de DNS (Cont.)
Ataques de Domain Shadowing de DNS: El domain shadowing implica
que el atacante reúna credenciales de la cuenta de dominio para crear
silenciosamente múltiples subdominios para usar durante los ataques.
Estos subdominios generalmente apuntan a servidores maliciosos sin
alertar al propietario real del dominio principal.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 64
Servicios IP
Túnel de DNS
• Los agentes de amenaza que utilizan la tunelización de DNS colocan tráfico que no es DNS en
tráfico DNS. Este método a menudo evita las soluciones de seguridad cuando un atacantes desea
comunicarse con bots dentro de una red protegida, o extraer datos de la organización. Así es
como funciona el túnel DNS para los comandos CnC enviados a una botnet:
1. Los datos se dividen en varias partes codificadas.
2. Cada parte se coloca en una etiqueta de nombre de dominio de nivel inferior de la consulta de DNS.
3. Dado que no hay ninguna respuesta del DNS local o en red para la consulta, la solicitud se envía a los
servidores DNS recursivos del ISP.
4. El servicio de DNS recursivo reenvía la consulta al servidor de nombres autorizado del atacante.
5. El proceso se repite hasta que se envían todas las consultas que contienen las partes.
6. Cuando el servidor de nombre autorizado del atacante recibe las consultas de DNS de los dispositivos
infectados, envía las respuestas para cada consulta de DNS, las cuales contienen los comandos CnC
encapsulados y codificados.
7. El malware en el host atacado vuelve a combinar las partes y ejecuta los comandos ocultos dentro.
• Para detener el túnel DNS, el administrador de la red debe usar un filtro que inspeccione el tráfico
DNS. Preste especial atención a las consultas de DNS que son más largas de lo normal, o las que
tienen un nombre de dominio sospechoso.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 65
Servicios IP
DHCP
• Los servidores DHCP proporcionan de
manera dinámica información de
configuración IP a los clientes.
• En la figura, un cliente transmite un
mensaje de descubrimiento de DHCP.
El servidor DHCP le responde
directamente con una oferta que
incluye información de
direccionamiento que el cliente puede
usar. El cliente transmite una solicitud
DHCP para decirle al servidor que
acepta la oferta. El servidor le
responde mediante unicast con un
acuse de recibo, aceptando la
solicitud.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 66
Servicios IP
Ataques de DHCP
• Un ataque de suplantación de DHCP se produce cuando un servidor DHCP
malicioso se conecta a la red y brinda parámetros de configuración IP falsos a los
clientes legítimos. Un servidor dudoso puede proporcionar una variedad de
información engañosa:
• Gateway predeterminado incorrecto: El atacante proporciona un gateway no
válido o la dirección IP de su host para crear un ataque de MITM. Esto puede pasar
totalmente inadvertido, ya que el intruso intercepta el flujo de datos por la red.
• Servidor DNS incorrecto: El atacante proporciona una dirección del servidor DNS
incorrecta que dirige al usuario a un sitio web malicioso.
• Dirección IP incorrecta: El atacante proporciona una dirección IP no válida, una
dirección IP de puerta de enlace por defecto no válida o ambas. Luego, el atacante
crea un ataque DoS en el cliente DHCP.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 67
Servicios IP
Ataques de DHCP (Cont.)
Supongamos que un agente de amenaza conecta con éxito un servidor DHCP dudoso a
un puerto de switch en la misma subred que los clientes de destino. El objetivo del
servidor dudoso es proporcionarles a los clientes información de configuración de IP
falsa.
1. Por lo tanto, el cliente transmite una solicitud de DHCP Discover en busca de una
respuesta de un servidor DHCP. Ambos servidores recibirán el mensaje.
2. El servidor DHCP malicioso y el legítimo responden ambos con parámetros de
configuración de IP válidos. El cliente responde a la primera oferta recibida.
3. El cliente recibió primero la oferta del servidor malicioso y emite una solicitud de
DHCP aceptando los parámetros. El servidor legítimo y el dudoso recibirán la
solicitud.
4. Solamente el servidor malicioso emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo deja de comunicarse con el cliente porque
la solicitud ya ha sido reconocida.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 68
Servicios IP
Lab – exploración de tráfico
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Capturar tráfico DNS
• Explorar tráfico de consultas DNS
• Explorar tráfico de respuestas DNS

Información confidencial de Cisco 70
Mejores Prácticas en Seguridad de Redes
Confidencialidad, Disponibilidad e Integridad
• La seguridad de la red consiste en proteger la información y los sistemas de
información del acceso, uso, divulgación, interrupción, modificación o destrucción no
autorizados.
• La mayoría de las organizaciones siguen la triada de seguridad de la información
(CIA, por sus siglas en inglés):
• Confidencialidad: Solamente individuos, entidades o procesos autorizados pueden
tener acceso a información confidencial. Puede requerir el uso de algoritmos de
cifrado criptográfico como AES para cifrar y descifrar datos.
• Integridad: Se refiere a proteger los datos de modificaciones no autorizadas.
Requiere el uso de algoritmos de hashing criptográficos como SHA.
• Disponibilidad: Los usuarios autorizados deben tener acceso ininterrumpido a los
recursos y datos importantes. Requiere implementar servicios puertas de enlace y
enlaces redundantes.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 71
Mejores Prácticas en Seguridad de Redes
El Enfoque de Defensa en Profundidad
• Para garantizar comunicaciones seguras en redes públicas y privadas, el primer
objetivo es proteger los dispositivos como routers, switches, servidores y hosts. La
mayoría de las organizaciones emplean un enfoque de defensa en profundidad para
la seguridad. Esto requiere una combinación de dispositivos y servicios de red que
trabajen en conjunto.
• Se implementan varios dispositivos de seguridad y servicios:
• VPN
• Firewall ASA
• IPS
• ESA/WSA
• Servidor AAA
• Todos los dispositivos red incluyendo el router y los switches son fortalecidos.
• Además se deben proteger los datos a medida que viajan a través de varios enlaces.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 72
Mejores Prácticas en Seguridad de Redes
Firewalls
Un firewall es un sistema o grupo de sistemas que impone una política de control de
acceso entre redes.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 73
Mejores Prácticas en Seguridad de Redes
IPS
• Para defenderse de los ataques rápidos y cambiantes, se podrían necesitar sistemas
rentables de detección y prevención integrados en los puntos de entrada y salida de
la red.
• Las tecnologías IDS e IPS comparten varias características. Ambas tecnologías se
implementan como sensores. Un sensor IDS o IPS puede adoptar la forma de varios
dispositivos diferentes:
• Un router configurado con el software IPS de Cisco IOS.
• Un dispositivo diseñado específicamente para proporcionar servicios de IDS o IPS exclusivos.
• Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA, Adaptive Security
Appliance), switch o router.
• IDS e IPS identifican patrones en el tráfico de la red utilizando un conjunto de reglas llamadas
firmas para detectar actividad maliciosa. Las tecnologías IDS e IPS pueden detectar patrones de
firma atómica (paquete individual) o patrones de firma compuesta (varios paquetes).

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 74
Mejores prácticas en seguridad de redes
IPS (Cont.)
La figura muestra cómo un IPS maneja el tráfico
denegado.
1. El atacante envía un paquete destinado a la
computadora portátil objetivo.
2. El IPS intercepta el tráfico y lo evalúa contra
amenazas reconocido y las políticas
configuradas.
3. El IPS envía un mensaje de registro a la
consola de administración.
4. El IPS desecha el paquete.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 75
Mejores Prácticas en Seguridad de Redes
Dispositivos de Seguridad de Contenido
• El dispositivo de seguridad de correo electrónico de Cisco (ESA) es un dispositivo
especial diseñado para monitorear el protocolo simple de transferencia de correo
(SMTP). Cisco ESA se actualiza constantemente por fuentes en tiempo real del Cisco
Talos. Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco
minutos.
• Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas
basadas en la web. Cisco WSA combina protección avanzada contra malware,
visibilidad y control de aplicaciones, controles de políticas de uso aceptable e
informes.
• Cisco WSA proporciona un control total sobre cómo los usuarios acceden a internet.
La WSA puede marcar URLs en lista negra, filtrar URLs, escanear malware,
categorizar URLs, filtrar aplicaciones web y encriptar y desencriptar tráfico web.

Información confidencial de Cisco 77
Criptografía
Video - Criptografía
Este video demostrará la seguridad de datos usando hashing y cifrado.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 78
Criptografía
Comunicaciones Seguras
• Las organizaciones deben proporcionar soporte para proteger los datos a medida que
viajan a través de enlaces. Esto puede incluir el tráfico interno, pero la mayor
preocupación es proteger los datos que viajan fuera de la organización.
• Estos son los cuatro elementos de las comunicaciones seguras:
• Integridad de los datos: Garantiza que el mensaje no se haya modificado. La integridad se garantiza mediante
la aplicación de los algoritmos de generación de hash Message Digest versión 5 (MD5) o Secure Hash (SHA).
• Autenticación de Origen: Garantiza que el mensaje no sea falso y que provenga de quien dice ser. Muchas
redes modernas garantizan la autenticación con protocolos, como el código de autenticación de mensaje hash
(Hash Message Authentication Code (HMAC).
• Confidencialidad de los datos: Garantiza que solamente los usuarios autorizados puedan leer el mensaje. La
confidencialidad de los datos se implementa utilizando algoritmos de encriptación simétrica y asimétrica.
• No repudio de los datos (Data Non-Repudiation) - Garantiza que el remitente no pueda negar ni refutar la
validez de un mensaje enviado. No repudio se basa en el hecho de que solamente el remitente tiene las
características únicas o una firma de cómo tratar ese mensaje.
• La criptografía puede usarse casi en cualquier lugar donde haya comunicación de
datos. De hecho, estamos yendo hacia un mundo donde toda la comunicación se
encriptará.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 79
Criptografía
Integridad de los Datos
• Las funciones de hash se utilizan para garantizar la integridad de un mensaje. Garantizan que los
datos del mensaje no hayan cambiado accidental o intencionalmente.
• En la imagen, el remitente envía una transferencia de $100 a Alex. El emisor quiere asegurarse de
que el mensaje no se modifique en su recorrido hasta el receptor.
1. El dispositivo de envío introduce el mensaje en un algoritmo de hash y calcula un hash de longitud fija de
4ehiDx67NMop9.
2. Luego, este hash se adjunta al mensaje y se envía al receptor. El mensaje y el hash se transmiten en texto sin
formato.
3. El dispositivo receptor elimina el hash del mensaje e introduce el mensaje en el mismo algoritmo de hash. Si el
hash calculado es igual al que se adjunta al mensaje, significa que el mensaje no se modificó durante su
recorrido. Si los hash son no iguales, ya no es posible garantizar la integridad del mensaje.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 80
Criptografía
Funciones Hash
• Existen tres funciones de hash muy conocidas:
• MD5 con una síntesis de 128 bits:MD5 es una función unidireccional que genera un mensaje de
hash de 128 bits. MD5 es un algoritmo heredado que solo debe usarse cuando no hay mejores
alternativas disponibles. Use SHA-2 en su lugar.
• SHA: SHA-1 es muy similar a las funciones de hash MD5. SHA-1 crea un mensaje hash de 160
bits y es un poco más lento que MD5. SHA-1 tiene defectos conocidos y es un algoritmo obsoleto.
Use SHA-2 cuando sea posible.
• SHA-2: Esto incluye SHA-224 (224 bit), SHA-256 (256 bit), SHA-384 (384 bit), and SHA-512 (512
bit). SHA-256, SHA-384 y SHA-512 son algoritmos de última generación y deben utilizarse
siempre que sea posible.
• Mientras que el hash se puede utilizar para detectar modificaciones accidentales, no
brinda protección contra cambios deliberados. Esto significa que cualquier persona
puede calcular un hash para los datos, siempre y cuando tengan la función de hash
correcta.
• Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle y no proporciona
seguridad a los datos transmitidos.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 81
Criptografía
Autenticación de Origen
• Para agregar autenticación al control de
integridad se usa un código de autenticación
de mensajes hash con clave (HMAC).
• Un HMAC se calcula utilizando cualquier
algoritmo criptográfico que combine una
función hash criptográfica con una clave
secreta.
• Solo las personas que tienen acceso a esa
clave secreta pueden calcular la síntesis de
una función de HMAC. Esta característica
derrota los ataques man-in-the-middle y
proporciona autenticación del origen de los
datos.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 82
Criptografía
Confidencialidad de Datos
• Hay dos clases de encriptación utilizadas para brindar confidencialidad de los datos.
Estas dos clases se diferencian en cómo utilizan las claves.
• Los algoritmos de cifrado simétricos como (DES), 3DES y el estándar de cifrado
avanzado (AES) se basan en la premisa de que cada parte que se comunica conoce
la clave precompartida. La confidencialidad también se puede garantizar utilizando
algoritmos asimétricos, como Rivest, Shamir y Adleman (RSA) y la infraestructura de
clave pública (PKI).
• En la figura, se destacan algunas diferencias entre cada método de encriptación.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 83
Criptografía
Cifrado Simétrico
• Los algoritmos simétricos utilizan la misma clave precompartida, también llamada una
clave secreta, para encriptar y desencriptar datos. Antes de que ocurra cualquier
comunicación encriptada, el emisor y el receptor conocen la clave precompartida.
• Los algoritmos simétricos cifrados se usan normalmente con el tráfico de VPN porque
utilizan menos recursos de CPU que los algoritmos de encriptación asimétrica.
• Al utilizar algoritmos de encriptación simétrica, mientras más larga sea la clave, más
tiempo demorará alguien en descubrirla. Para garantizar que la encriptación sea
segura, se recomienda una longitud mínima de clave de 128 bits.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 84
Criptografía
Cifrado simétrico (Cont.)
Algoritmos de encriptación
Descripción
simétrica
Este es un algoritmo de cifrado simétrico heredado. Puede utilizarse en el cifrado
Algoritmo de Cifrado de Datos
de flujo, pero suele funcionar en el cifrado por bloques al encriptar de datos en
(DES)
bloques de 64 bits. Un cifrado de flujo encripta un byte o un bit a la vez.
Esta es una versión más reciente del DES, pero repite el proceso de algoritmo de
3DES
DES tres veces. Se considera muy confiable cuando se implementa con claves de
(triple DES)
duración muy breve.
AES es un algoritmo seguro y más eficiente que 3DES.
Estándar de encriptación Es un algoritmo de cifrado simétrico popular y recomendado. Ofrece nueve
avanzada combinaciones de longitud de clave y bloque, utilizando una longitud de clave
(AES) variable de 128, 192 o 256 bits para encriptar los bloques de datos que son de 128,
192 o 256 bits de largo.
Algoritmo de Cifrado Optimizado SEAL es un algoritmo de cifrado simétrico rápido y alternativo para DES, 3DES y
por Software AES. Usa un llave de cifrado de 160 bit y tiene un menor impacto en la CPU en
(SEAL) comparación con otros algoritmos basados en software.
Este algoritmo fue desarrollado por Ron Rivest. Se han desarrollado numerosas
Rivest ciphers
variantes, pero RC4 es la de uso más frecuente. RC4 es un cifrado de flujo y se
(RC) para flujos
utiliza para proteger el tráfico web de SSL y TLS.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 85
Criptografía
Cifrado Asimétrico
• Los algoritmos asimétricos, también llamados algoritmos de claves públicas, están
diseñados para que la clave de encriptación y la de desencriptación sean diferentes.
• Los algoritmos asimétricos utilizan una clave pública y una privada. La clave
complementaria emparejada es requerida para la desencriptación. Los datos
encriptados con la clave privada requieren la clave pública para desencriptarse. Los
algoritmos asimétricos logran confidencialidad, autenticación e integridad mediante el
uso de este proceso.
• Debido a que ninguno de los participantes comparte un secreto, deben usarse
longitudes de clave muy prolongadas. La encriptación asimétrica puede utilizar
longitudes de claves entre 512 y 4096 bits. Se confía en longitudes de clave
superiores o equivalentes a 1024 bits, y las claves más cortas no se consideran
fiables.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 86
Criptografía
Cifrado Asimétrico (Cont.)
• Entre algunos de los ejemplos de protocolos en los que se utilizan algoritmos de
claves asimétricos se incluyen los siguientes:
• Internet Key Exchange (IKE): Es un componente fundamental de las VPN con IPsec.
• Secure Socket Layer (SSL): Ahora se implementa como un estándar de Seguridad de la capa
de transporte (TLS) de IETF.
• Secure Shell (SSH): Este protocolo proporciona una conexión segura de acceso remoto a
dispositivos de red.
• Pretty Good Privacy (PGP): Este programa de computadora proporciona privacidad y
autenticación criptográfica. A menudo, se utiliza para aumentar la seguridad de las
comunicaciones por correo electrónico.
• Los algoritmos asimétricos son sustancialmente más lentos que los simétricos. Su
diseño se basa en problemas informáticos, como la factorización de números
demasiado grandes o el cálculo de logaritmos discretos de números demasiado
grandes.
• Dado que son lentos, los algoritmos asimétricos se utilizan típicamente en
criptografías de poco volumen, como las firmas digitales y el intercambio de claves.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 87
Criptografía
Cifrado Asimétrico (Cont.)
Longitud de la
Algoritmo de Cifrado Asimétrico Descripción
Clave
El algoritmo Diffie-Hellman permite que dos partes acuerden una clave que pueden
utilizar para encriptar los mensajes que quieren enviarse. La seguridad de este
Diffie-Hellman 512, 1024, 2048,
algoritmo depende de la suposición de que resulta sencillo elevar un número a una
(DH) 3072, 4096
determinada potencia, pero difícil calcular qué potencia se utilizó sabiendo el
número y el resultado.
Estándar de firmas digitales (Digital
DSS especifica DSA como el algoritmo para firmas digitales. DSA es un algoritmo
Signature Standard, DSS)
de clave pública basado en el esquema de firmas ElGamal. La velocidad de
y 512 - 1024
creación es similar a la RSA, pero es de 10 a 40 veces más lenta para la
Algoritmo de firmas digitales
verificación.
(Digital Signature Algorithm, DSA)
RSA es usado para criptografía de clave pública que se basa en la dificultad actual
Algoritmos de cifrado Rivest, de factorización de números muy grandes. Es el primer algoritmo apto tanto para
Shamir y Adleman Entre 512 y 2048 firmas como para cifrados. Es ampliamente utilizado en protocolos de comercio
(RSA) electrónico y se considera seguro si se utilizan claves suficientemente prolongadas
e implementaciones actualizadas.
Un algoritmo de cifrado de claves asimétrico para criptografía de claves públicas
basado en el acuerdo de claves Diffie-Hellman. Una desventaja del sistema
EIGamal 512 - 1024 ElGamal es que el mensaje cifrado se vuelve muy grande (aproximadamente el
doble del tamaño del mensaje original y, por este motivo, solo se utiliza con
mensajes pequeños como claves secretas).
Se puede utilizar para adaptar© 2021
muchos
Cisco y/oalgoritmos
sus filiales. Todoscriptográficos, como
los derechos reservados. los de Diffie-
Información
Técnicas de curvas elípticas 160 Hellman o ElGamal. La principal ventaja
confidencial es que las claves pueden ser mucho más 88
de Cisco

pequeñas.
Criptografía
Diffie-Hellman
• Algoritmo matemático asimétrico que permite que dos computadoras generen una clave secreta
idéntica compartida sin antes haberse comunicado. El emisor y el receptor nunca intercambian
realmente la nueva clave compartida.
• Estos son tres ejemplos de casos en los que el algoritmo de DH suele utilizarse:
• Se intercambian datos en una VPN con IPsec
• Se encriptan datos en Internet usando SSL o TLS
• Se intercambian datos de SSH
• La seguridad de DH utiliza números increíblemente grandes en sus cálculos.
• Desafortunadamente, los sistemas de clave asimétrica son extremadamente lentos para cualquier
tipo de encriptación masiva. Por esto, es común encriptar la mayor parte del tráfico utilizando un
algoritmo simétrico (como 3DES o AES) y dejar el algoritmo de DH para crear claves que serán
utilizadas por el algoritmo de encriptación.

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 89
Cryptography
Diffie-Hellman (Cont.)
• Los colores en la figura se utilizarán en lugar de números para
simplificar el proceso de acuerdo de claves del algoritmo de DH. El
intercambio de claves del algoritmo de DH comienza con Alice y
Bob eligiendo arbitrariamente un color en común que no tienen
que mantener en secreto. El color acordado en nuestro ejemplo es
el amarillo.
• Luego, Alice y Bob seleccionan un color secreto cada uno. Alice
eligió rojo y Bob, azul. Nunca compartirán estos colores secretos
con nadie. El color secreto representa la clave privada secreta que
cada participante eligió.
• Ahora, Alice y Bob mezclan el color común compartido (amarillo)
con su color secreto respectivo para generar un color privado. Por
lo tanto, Alice mezcla el amarillo con el rojo para obtener el
anaranjado como color privado. Bob mezcla el amarillo y el azul
para obtener verde como color privado.
• Alice envía su color privado (anaranjado) a Bob y Bob le envía el
suyo (verde) a Alice.
• Alice y Bob mezclan cada uno el color que recibieron con su propio
color secreto original (rojo para Alice y azul para Bob). El resultado
es una mezcla final de color marrón que es idéntica a la mezcla
final del otro participante. El color marrón representa la clave © 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco
secreta que comparten Bob y Alice. 90
3.11 Módulo de Práctica y
Cuestionario

Información confidencial de Cisco 91
Práctica del módulo y quiz
Packet Tracer — Escenario de seguridad de red — Modo físico

En esta actividad de Packet Tracer Modo Físico, completará los siguientes objetivos:

• Parte 1: Explore las Redes

• Parte 2: Implementar medidas de seguridad

© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 92
Práctica del Módulo y Cuestionario
¿Qué aprendí en este módulo?
• Las Transgresiones de seguridad en la red pueden interrumpir el comercio electrónico, causar la pérdida
de datos comerciales, amenazar la privacidad de las personas y comprometer la integridad de la
información.
• Las vulnerabilidades deben abordarse antes de que se conviertan en una amenaza y sean explotadas. Se
requieren técnicas de mitigación antes, durante y después de un ataque.
• Un vector de ataque es una ruta por la cual un actor de amenaza puede obtener acceso a un servidor,
host o red. Los vectores de ataque se originan dentro o fuera de la red corporativa.
• El término "atacante" incluye piratas informáticos y cualquier dispositivo, persona, grupo o estado nacional
que sea, intencionalmente o no, la fuente de un ataque.
• Con los años, las herramientas de ataque se han vuelto más sofisticadas y altamente automatizadas.
Estas nuevas herramientas requieren menos conocimiento técnico para su implementación.
• Los tipos comunes de ataques son: espionaje, modificación de datos, suplantación de direcciones IP,
basados en contraseña, denegación de servicio, man-in-the-middle, clave comprometida y sniffer.
• Los tres tipos más comunes de malware son los virus, los gusanos y los Caballos de Troya.
• Las redes son susceptibles a los siguientes tipos de ataques: sondeo, acceso y DoS.
• Los tipos de ataques de acceso son: contraseña, suplantación de identidad, explotación de confianza,
redireccionamiento de puertos, man-in-the-middle y desbordamiento de búfer.
• Las técnicas de ataque IP incluyen: ICMP, amplificación y reflexión, suplantación de direcciones, MITM y
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
secuestro de sesión. confidencial de Cisco 93
Práctica del Módulo y Cuestionario
¿Qué aprendí en este módulo?
• Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis. Lanzan ataques
de recopilación de información para trazar una topología de red, descubrir qué hosts están activos
(accesibles), identificar el sistema operativo del host (huellas digitales del sistema operativo) y determinar
el estado de un firewall. Los atacantes suelen usar técnicas de amplificación y reflejo para crear ataques
de DoS.
• Los ataques TCP incluyen: ataque de inundación TCPSYN, ataque de reinicio de TCP y secuestro de
sesión TCP. Los ataques UDP envían una avalancha de paquetes UDP, a menudo desde un host
falsificado, a un servidor en la subred. El resultado es muy similar al de un ataque de DoS.
• Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP gratuito”. Esto significa
que cualquier host puede reclamar ser el propietario de cualquier IP o MAC. Un agente de amenaza puede
envenenar la caché de ARP de los dispositivos en la red local y crear un ataque de MITM para
redireccionar el tráfico.
• Los ataques DNS incluyen: ataques de resolución abierta, ataques de sigilo, ataques de sombreado de
dominio y ataques de túnel. Para detener el túnel DNS, el administrador de la red debe usar un filtro que
inspeccione el tráfico DNS.
• Un ataque de suplantación de DHCP se produce cuando un servidor DHCP malicioso se conecta a la red
y brinda parámetros de configuración IP falsos a los clientes legítimos.
• La mayoría de las organizaciones siguen la tríada de seguridad de la información de la CIA:
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencialidad, integridad y disponibilidad. confidencial de Cisco 94

• Para garantizar comunicaciones seguras en redes públicas y privadas, el primer objetivo es proteger los
Práctica del Módulo y Cuestionario
¿Qué aprendí en este módulo?
• Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes.
• Para defenderse contra ataques rápidos y en evolución, es posible que necesite un sistema de detección
de intrusos (IDS) o sistemas de prevención de intrusos (IPS) más escalables.
• Los cuatro elementos de las comunicaciones seguras son integridad de datos, autenticación de origen,
confidencialidad de datos y no repudio de datos.
• Las funciones hash garantizan que los datos del mensaje no hayan cambiado accidental o
intencionalmente.
• Tres funciones hash conocidas son MD5 con resumen de 128 bits, algoritmo de hash SHA y SHA-2.
• Para agregar autenticación al control de integridad, se usa un código de autenticación de mensajes hash
con clave (HMAC). HMAC se calcula utilizando cualquier algoritmo criptográfico que combine una función
hash criptográfica con una clave secreta.
• Los algoritmos de cifrado simétrico que utilizan DES, 3DES, AES, SEAL y RC se basan en la premisa de
que cada parte que se comunica conoce la clave previamente compartida.
• La confidencialidad de los datos también se puede garantizar utilizando algoritmos asimétricos, incluidos
Rivest, Shamir y Adleman (RSA) y la infraestructura de clave pública (PKI). Diffie-Hellman (DH) es un
algoritmo matemático asimétrico que permite que dos computadoras generen una clave secreta idéntica
compartida sin antes haberse comunicado.
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco 95
Módulo 3: Conceptos de seguridad de red
Nuevos Términos y Comandos
• Activos • Adware
• Vulnerabilidad • Ransomware
• Amenaza • Spyware.
• Explotar vulnerabilidades • Falsificación de identidad
• Mitigación • Suplantación de identidad
• Riesgo focalizada
• Vector de ataque • Algo por algo
• Denegación de servicio • Hostigamiento
(DoS) • Tailgaiting
• Denegación de servicio • Espiar por encima del
distribuida (DDoS, hombro
Distributed Denial of Service) • Hurgar en la basura
• Actor malicioso • Ataque de amplificación
• Hackers de sombrero blanco • Ataques de redirección
(White Hat Hacker) • Ataque Smurf
• Hackers de sombrero gris • Suplantación non-blind
(Gray Hat Hacker) • Suplantación blind
• Hackers de sombrero negro • Inundación SYN de TCP
© 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
(Black Hat Hacker) Ataque
• confidencial de
de Cisco 96

• Agentes de vulnerabilidad restablecimiento a TCP

Módulo 3: Conceptos de seguridad de red
Nuevos Términos y Comandos
• Inundación de UDP (UDP Flooding)
• ARP gratuito • Cifrado simétrico
• Envenenamiento del caché de ARP • Cifrado asimétrico
• Envenenamiento de caché DNS • Clave pública
• Fast Flux • Diffie-Hellman
• Double IP Flux • DES
• Tunelización de DNS • 3DES
• Suplantación de identidad de DHCP • Advanced Encryption Standard (AES)
• Confidencialidad, integridad y • Algoritmo de Encriptación Optimizado por Software
disponibilidad. (CIA) (Software-Optimized Encryption Algorithm SEAL)
• Sistema de prevención de • Cifrados de Rivest (RC)
intrusiones (IPS) • Estándar de firmas digitales (DSS)
• Sistema de detección de intrusiones • Algoritmo de firmas digitales (DSA)
(IDS) • Cifrado RSA (Rivest, Shamir, and Adleman
• Firma IDS/IPS encryption (RSA))
• Algoritmos de hash • ElGamal
• Código de autenticación de • Criptografía de curva elíptica
mensajes de hash con clave © 2021 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco
(HMAC) 97

También podría gustarte

Cap3 - Seguridad en Redes
Aún no hay calificaciones
Cap3 - Seguridad en Redes
102 páginas
Módulo 3: Conceptos de Seguridad en Redes: Redes Empresariales, Seguridad y Automatización v7.0 (ENSA)
Aún no hay calificaciones
Módulo 3: Conceptos de Seguridad en Redes: Redes Empresariales, Seguridad y Automatización v7.0 (ENSA)
98 páginas
Módulo 3 Conceptos de Seguridad en Redes
Aún no hay calificaciones
Módulo 3 Conceptos de Seguridad en Redes
98 páginas
ENSA Module 3
Aún no hay calificaciones
ENSA Module 3
94 páginas
ENSA Module 3
Aún no hay calificaciones
ENSA Module 3
98 páginas
ENSA Module 3
Aún no hay calificaciones
ENSA Module 3
98 páginas
Ciberseguridad Cisco
100% (2)
Ciberseguridad Cisco
87 páginas
ENSA - Module - 3
Aún no hay calificaciones
ENSA - Module - 3
80 páginas
Diapositivas Cap. 03 ENSA
Aún no hay calificaciones
Diapositivas Cap. 03 ENSA
89 páginas
Presentación Capitulo 3
Aún no hay calificaciones
Presentación Capitulo 3
74 páginas
Cybersecurity Essentials Version 3.0 Module 02
Aún no hay calificaciones
Cybersecurity Essentials Version 3.0 Module 02
22 páginas
Presentación Capitulo 3
Aún no hay calificaciones
Presentación Capitulo 3
74 páginas
Network Security v1.0 - Module 2 ES
Aún no hay calificaciones
Network Security v1.0 - Module 2 ES
62 páginas
Seguridad de Redes: Amenazas y Ataques
Aún no hay calificaciones
Seguridad de Redes: Amenazas y Ataques
46 páginas
CyOps1.1 Chp06 Instructor Supplemental Materials PDF
Aún no hay calificaciones
CyOps1.1 Chp06 Instructor Supplemental Materials PDF
57 páginas
CyOps1.1 Chp06 Instructor Supplemental Materials
100% (1)
CyOps1.1 Chp06 Instructor Supplemental Materials
50 páginas
Módulo 1: EL PELIGRO
Aún no hay calificaciones
Módulo 1: EL PELIGRO
19 páginas
Conceptos - Seguridad - de - Red - En.es
Aún no hay calificaciones
Conceptos - Seguridad - de - Red - En.es
79 páginas
CA Module 1
Aún no hay calificaciones
CA Module 1
17 páginas
Capitulo 3
Aún no hay calificaciones
Capitulo 3
80 páginas
Network Security v1.0 - Module 1
Aún no hay calificaciones
Network Security v1.0 - Module 1
28 páginas
Ciberseguridad: Amenazas y Actores
Aún no hay calificaciones
Ciberseguridad: Amenazas y Actores
22 páginas
CA Module 1
Aún no hay calificaciones
CA Module 1
21 páginas
NetEss Instructor Materials Chapter7
Aún no hay calificaciones
NetEss Instructor Materials Chapter7
30 páginas
Fundamentos de Ciberseguridad 1
Aún no hay calificaciones
Fundamentos de Ciberseguridad 1
37 páginas
Módulo 2 Resumen
100% (2)
Módulo 2 Resumen
7 páginas
CSE Instructor Materials Chapter1
Aún no hay calificaciones
CSE Instructor Materials Chapter1
38 páginas
Seguridad en La Red
Aún no hay calificaciones
Seguridad en La Red
37 páginas
Marco Teorico Ciberseguridad
100% (4)
Marco Teorico Ciberseguridad
13 páginas
CSE Instructor Materials Chapter1
Aún no hay calificaciones
CSE Instructor Materials Chapter1
37 páginas
Todo Debe Protegerse
Aún no hay calificaciones
Todo Debe Protegerse
33 páginas
Ccna Security Cap1
Aún no hay calificaciones
Ccna Security Cap1
27 páginas
S1-CA - Module - 1-El Peligro
Aún no hay calificaciones
S1-CA - Module - 1-El Peligro
29 páginas
Modulo 5
Aún no hay calificaciones
Modulo 5
71 páginas
CyOps1 InstructorPPT Ch01
Aún no hay calificaciones
CyOps1 InstructorPPT Ch01
25 páginas
Cibergames - Cisco UNA2
Aún no hay calificaciones
Cibergames - Cisco UNA2
31 páginas
Desafiodeintegraodehabilidadesospf 170317233231
Aún no hay calificaciones
Desafiodeintegraodehabilidadesospf 170317233231
29 páginas
Ciberseguridad
Aún no hay calificaciones
Ciberseguridad
6 páginas
Fundamentos de Seguridad de Red
100% (1)
Fundamentos de Seguridad de Red
63 páginas
Security1 en Es
Aún no hay calificaciones
Security1 en Es
96 páginas
Guía Básica de Ciberseguridad
Aún no hay calificaciones
Guía Básica de Ciberseguridad
21 páginas
Paper 02
Aún no hay calificaciones
Paper 02
7 páginas
Cybersecurity Essentials Version 3.0 Module 01
Aún no hay calificaciones
Cybersecurity Essentials Version 3.0 Module 01
58 páginas
S03.s1 Material
Aún no hay calificaciones
S03.s1 Material
48 páginas
Diapositivas Capítulo 16
50% (2)
Diapositivas Capítulo 16
36 páginas
Modulo 3 PDF
Aún no hay calificaciones
Modulo 3 PDF
44 páginas
Un Mundo de Defensores, Héroes YDelincuentes
Aún no hay calificaciones
Un Mundo de Defensores, Héroes YDelincuentes
27 páginas
Clase01 - Proteccion - de - La - Red
Aún no hay calificaciones
Clase01 - Proteccion - de - La - Red
12 páginas
Guía de Ciberseguridad Esencial
Aún no hay calificaciones
Guía de Ciberseguridad Esencial
11 páginas
CyOps1.1 Chp01 Instructor Supplemental Material
Aún no hay calificaciones
CyOps1.1 Chp01 Instructor Supplemental Material
45 páginas
Amenazas, Vulnerabilidades y Ataques A La Ciberseguridad
Aún no hay calificaciones
Amenazas, Vulnerabilidades y Ataques A La Ciberseguridad
59 páginas
Ensayo Módulo 3 Conceptos de Seguridad en Redes
Aún no hay calificaciones
Ensayo Módulo 3 Conceptos de Seguridad en Redes
9 páginas
Ciberseguridad Proyecto de CD..
Aún no hay calificaciones
Ciberseguridad Proyecto de CD..
4 páginas
Introducción a la Ciberseguridad
Aún no hay calificaciones
Introducción a la Ciberseguridad
11 páginas
Análisis y Técnicas de Ciberataques
Aún no hay calificaciones
Análisis y Técnicas de Ciberataques
24 páginas
IntroCyberv2.1 - Chp2 - Ataques, Concepto y Tecnicas
Aún no hay calificaciones
IntroCyberv2.1 - Chp2 - Ataques, Concepto y Tecnicas
26 páginas
RC Capitulo 7 - Seguridad de Redes
Aún no hay calificaciones
RC Capitulo 7 - Seguridad de Redes
132 páginas
Anexo 1 - Banco de Problemas - Paso 3
Aún no hay calificaciones
Anexo 1 - Banco de Problemas - Paso 3
5 páginas
Quiz 3 Programacion Orientada A Objetos
Aún no hay calificaciones
Quiz 3 Programacion Orientada A Objetos
5 páginas
Guia Pseint
Aún no hay calificaciones
Guia Pseint
12 páginas
Resumen Informatica
100% (1)
Resumen Informatica
15 páginas
Siemens Profibus 314C TIA Portal
Aún no hay calificaciones
Siemens Profibus 314C TIA Portal
8 páginas
Formato de Solicitud de Servicio Tecnico
100% (2)
Formato de Solicitud de Servicio Tecnico
4 páginas
Visopsys: SO para Entusiastas y Estudiantes
Aún no hay calificaciones
Visopsys: SO para Entusiastas y Estudiantes
23 páginas
Introduccion HTML CSS
Aún no hay calificaciones
Introduccion HTML CSS
22 páginas
5030 QuickSet PF00075 Traducido Español
Aún no hay calificaciones
5030 QuickSet PF00075 Traducido Español
8 páginas
Informe Pid
Aún no hay calificaciones
Informe Pid
17 páginas
Taller Discos Duros
Aún no hay calificaciones
Taller Discos Duros
9 páginas
Checklist Visitas
Aún no hay calificaciones
Checklist Visitas
4 páginas
Autorización de Trabajo
Aún no hay calificaciones
Autorización de Trabajo
17 páginas
Informe N°003-Cist-2022 - Abril
Aún no hay calificaciones
Informe N°003-Cist-2022 - Abril
8 páginas
Creación de Informes Con Imágenes Dinámicas en Crystal Reports Con C
100% (1)
Creación de Informes Con Imágenes Dinámicas en Crystal Reports Con C
27 páginas
KX Tda Manual de Programacion Del PC Centrales Hibridas IP Panasonic KX TDA30 KX TDA100 KX TDA200 KX TDA600
Aún no hay calificaciones
KX Tda Manual de Programacion Del PC Centrales Hibridas IP Panasonic KX TDA30 KX TDA100 KX TDA200 KX TDA600
467 páginas
DMX Operator Espanol 1
Aún no hay calificaciones
DMX Operator Espanol 1
14 páginas
Ejercicios Examen 1600
Aún no hay calificaciones
Ejercicios Examen 1600
4 páginas
Resumen de La Notebook Asus PDF
Aún no hay calificaciones
Resumen de La Notebook Asus PDF
172 páginas
Catalogo OD
Aún no hay calificaciones
Catalogo OD
10 páginas
LabVIEW Core 2 Curso PDF
75% (8)
LabVIEW Core 2 Curso PDF
0 páginas
Taller 2 Cisco
100% (1)
Taller 2 Cisco
5 páginas
El Microprocesador
Aún no hay calificaciones
El Microprocesador
14 páginas
Ebook Reparar Es Fácil
Aún no hay calificaciones
Ebook Reparar Es Fácil
200 páginas
Dictamen Final
100% (2)
Dictamen Final
8 páginas
Timbre Automático para Estudiantes en Grados de Primaria
Aún no hay calificaciones
Timbre Automático para Estudiantes en Grados de Primaria
7 páginas
Taller 4 Simulación Con Datos Estadísticos
Aún no hay calificaciones
Taller 4 Simulación Con Datos Estadísticos
5 páginas
Práctica 3. Mensajes de Alerta
Aún no hay calificaciones
Práctica 3. Mensajes de Alerta
3 páginas
Sistema de Información de Recursos Humanos SIRH
Aún no hay calificaciones
Sistema de Información de Recursos Humanos SIRH
7 páginas
1-Elementos Básicos Del Lenguajes
Aún no hay calificaciones
1-Elementos Básicos Del Lenguajes
26 páginas