Capítulo 3: Conceptos de

seguridad de red
Enterprise Networking, Security, and Automation
v7.0
(ENSA)
Objetivos del Capítulo
Título del Capítulo: Conceptos de seguridad de red

Objetivo del Capítulo: Explicar cómo se pueden mitigar las amenazas y las vulnerabilidades para mejorar la
seguridad de la red.

Título del tema Objetivo del tema

Estado actual de ciberseguridad:
Actores de amenaza
Malware
Ataques de red comunes
Vulnerabilidades y amenazas de IP
Vulnerabilidades de TCP y UDP
Servicios de IP
Mejores prácticas de seguridad de red Describa las mejores prácticas para proteger una red.
Criptografía
Describa el estado actual de la ciberseguridad y los vectores de pérdida de datos.
Describa las herramientas utilizadas por los actores de amenazas para explotar las
redes.
Describe los tipos de malware.
Describa los ataques de red comunes.
Explicar cómo los agentes de amenazas explotan las vulnerabilidades de IP.
Explicar cómo los actores de amenazas explotan las vulnerabilidades TCP y UDP.
Explicar cómo los servicios de IP son explotados por los actores de amenazas.
Describa los procesos criptográficos comunes utilizados para proteger los datos en
tránsito.
Declaración de hackeo ético
• En este Capítulo, los alumnos pueden estar expuestos a herramientas y técnicas en un entorno de
máquina virtual "sandboxed" para demostrar varios tipos de ataques cibernéticos. La
experimentación con estas herramientas, técnicas y recursos queda a discreción del instructor y de
la institución local. Si el alumno está considerando el uso de herramientas de ataque con fines
educativos, debe ponerse en contacto con su instructor antes de cualquier experimentación.

• El acceso no autorizado a los datos, computadoras y sistemas de red es un delito en muchas

jurisdicciones y a menudo va acompañado de graves consecuencias, independientemente de las
motivaciones del perpetrador. Es responsabilidad del alumno, como usuario de este material, ser
consciente y cumplir con las leyes de uso de la computadora.
3.1 Estado actual de la
ciberseguridad

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Current State of Cybersecurity
Estado actual de la situación
• Los ciberdelincuentes ahora tienen la experiencia y las herramientas necesarias para
acabar con la infraestructura y los sistemas críticos. Sus herramientas y técnicas siguen
evolucionando.
• El mantenimiento de una red segura garantiza la seguridad de los usuarios de la red y
protege los intereses comerciales. Todos los usuarios deben tener en cuenta los términos
de seguridad de la tabla.
Términos de
Descripción
seguridad
Un activo es cualquier cosa de valor para la organización. Incluye personas, equipos,
Bienes
recursos y datos.
Una vulnerabilidad es una debilidad en un sistema, o su diseño, que podría ser explotada
Vulnerabilidad
por una amenaza.
Una amenaza es un peligro potencial para los activos, los datos o la funcionalidad de la red
Amenaza
de una empresa.
Explotar Un exploit es un mecanismo que aprovecha una vulnerabilidad.
La mitigación es la contramedida que reduce la probabilidad o la gravedad de una amenaza
Mitigación
o riesgo potencial. La seguridad de la red implica múltiples técnicas de mitigación.
El riesgo es la probabilidad de que una amenaza explote la vulnerabilidad de un activo, con
Riesgo el objetivo de afectar negativamente a una organización. El riesgo se mide utilizando la
probabilidad de ocurrencia de un evento y sus consecuencias.
Current State of Cybersecurity
Vectores de ataques de red
• Un vector de ataque es una ruta de acceso mediante la cual un actor de amenazas puede
obtener acceso a un servidor, host o red. Los vectores de ataque se originan dentro o fuera
de la red corporativa, como se muestra en la figura.
• Las amenazas internas tienen el potencial de causar mayores daños que las amenazas
externas porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de
infraestructura.
Current State of Cybersecurity
Pérdida de datos
La pérdida de datos o la exfiltración de datos es cuando los datos se pierden, roban
o filtran intencionalmente o involuntariamente al mundo exterior. La pérdida de
datos puede:
• Daño a la marca y pérdida de reputación
• Pérdida de ventaja competitiva
• Pérdida de clientes
• Pérdida de ingresos
• Litigios/acciones legales que resulten en multas y sanciones civiles
• Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse
de la violación
Los profesionales de seguridad de red deben proteger los datos de la organización.
Se deben implementar varios controles de prevención de pérdida de datos (DLP)
que combinen medidas estratégicas, operativas y tácticas.
Current State of Cybersecurity
Pérdida de datos (Cont.)
Vectores de pérdida
Descripción
de datos
Correo electrónico / El correo electrónico o los mensajes de mensajería instantánea interceptados
Redes sociales podrían capturarse y revelar información confidencial.
Dispositivos no Si los datos no se almacenan utilizando un algoritmo de cifrado, el ladrón puede
encriptados recuperar datos confidenciales valiosos.
Dispositivos de
Se pueden perder datos confidenciales si el acceso a la nube se ve comprometido
almacenamiento en
debido a una configuración de seguridad débil.
la nube
Un riesgo es que un empleado pueda realizar una transferencia no autorizada de
Medios removible datos a una unidad USB. Otro riesgo es que una unidad USB que contiene datos
corporativos valiosos podría perderse.
Copia fuerte Los datos confidenciales deben triturarse cuando ya no sean necesarios.
Las contraseñas o las contraseñas débiles que se han visto comprometidas
Control de acceso
pueden proporcionar un actor de amenazas con fácil acceso a los datos
incorrecto
corporativos.
3.2 Actores de amenazas

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Threat Actors
EL Hacker
Hacker es un término común utilizado para describir a un actor de amenaza

Tipo de hacker Descripción

Estos son hackers éticos que usan sus habilidades de programación para
Hackers de sombrero fines buenos, éticos y legales. Las vulnerabilidades de seguridad se
blanco informan a los desarrolladores para que las reparen antes de que las
vulnerabilidades puedan ser explotadas.
Estas son personas que cometen crímenes y hacen cosas posiblemente
Hackers sombrero poco éticas, pero no para beneficio personal o para causar daños. Los
gris hackers de sombrero gris pueden revelar una vulnerabilidad a la
organización afectada después de haber comprometido su red.
Estos son delincuentes poco éticos que comprometen la seguridad de la
Hackers de sombrero
computadora y la red para beneficio personal o por razones maliciosas,
negro
como atacar redes.
Threat Actors
La evolución de los hackers
La tabla muestra los términos modernos de piratería y una breve descripción de
cada uno.
Término de
Descripción
piratería
Estos son adolescentes o piratas informáticos sin experiencia que ejecutan scripts,
Script Kiddies herramientas y exploits existentes, para causar daño, pero generalmente sin fines
de lucro.
Agente de Por lo general, son piratas informáticos de sombrero gris que intentan descubrir
vulnerabilidad exploits y reportarlos a los vendedores, a veces por premios o recompensas.
Estos son hackers de sombrero gris que protestan públicamente contra
Hacktivistas organizaciones o gobiernos publicando artículos, videos, filtrando información
confidencial y realizando ataques a la red.
Delincuentes Estos son hackers de sombrero negro que trabajan por cuenta propia o trabajan
cibernéticos para grandes organizaciones de delitos informáticos.
Estos son piratas informáticos de sombrero blanco o de sombrero negro que roban
Patrocinado por secretos del gobierno, recopilan inteligencia y sabotean redes. Sus objetivos son
el estado gobiernos extranjeros, grupos terroristas y corporaciones. La mayoría de los países
del mundo participan hasta cierto punto en piratería patrocinada por el estado
Threat Actors
Ciberdelincuentes
Se estima que los delincuentes cibernéticos roban miles de millones de dólares de
los consumidores y las empresas. Los ciberdelincuentes operan en una economía
subterránea donde compran, venden y comercian con kits de herramientas de
ataque, código de explotación de día cero, servicios de botnet, troyanos bancarios,
keyloggers, y mucho más. También compran y venden la información privada y la
propiedad intelectual que roban. Los ciberdelincuentes se dirigen a las pequeñas
empresas y los consumidores, así como a las grandes empresas y a industrias
enteras.
Threat Actors
Hacktivistas
Dos ejemplos de grupos hacktivistas son Anonymous y el Ejército
Electrónico Sirio. Aunque la mayoría de los grupos hacktivistas no están
bien organizados, pueden causar problemas significativos para los
gobiernos y las empresas. Los hacktivistas tienden a confiar en
herramientas bastante básicas y de libre disposición.
Threat Actors
Hackers patrocinados por el estado
Los piratas informáticos patrocinados por el estado crean código de
ataque avanzado y personalizado, a menudo utilizando vulnerabilidades
de software no descubiertas llamadas vulnerabilidades de día cero. Un
ejemplo de un ataque patrocinado por el Estado involucra el malware
Stuxnet que fue creado para dañar las capacidades de enriquecimiento
nuclear de Irán.
3.3 Herramientas de actor de
amenazas

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Threat Actor Tools
Introducción a las herramientas de ataque
Para explotar una vulnerabilidad, un actor de amenazas debe tener
una técnica o herramienta. Con los años, las herramientas de
ataque se han vuelto más sofisticadas y altamente automatizadas.
Estas nuevas herramientas requieren menos conocimientos
técnicos para implementar.
Threat Actor Tools
Evolución de las herramientas de seguridad
La tabla destaca las categorías de herramientas de prueba de penetración comunes. Observe cómo algunas
herramientas son utilizadas por sombreros blancos y sombreros negros. Tenga en cuenta que la lista no es
exhaustiva, ya que siempre se están desarrollando nuevas herramientas.

Herramienta de
prueba de Descripción
penetración
Las herramientas para descifrar contraseñas a menudo se denominan herramientas de recuperación de
Galletas de contraseñas y se pueden usar para descifrar o recuperar una contraseña. Los descifradores de
contraseña(Pass contraseñas hacen suposiciones repetidamente para descifrar la contraseña. Entre los ejemplos de
Cookies) herramientas para descifrar contraseñas se incluyen John the Ripper, Ophcrack, L0phtCrack, THC Hydra,
Rainbow Crack y Medusa.
Las herramientas de piratería inalámbrica se utilizan para piratear intencionalmente una red inalámbrica
Herramientas de
para detectar vulnerabilidades de seguridad. Los ejemplos de herramientas de piratería inalámbrica
piratería inalámbrica
incluyen Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep y ViStumbler.
Herramientas de Las herramientas de escaneo de red se utilizan para sondear dispositivos de red, servidores y hosts en
escaneo y pirateo de busca de puertos TCP o UDP abiertos. Ejemplos de herramientas de escaneo incluyen Nmap, SuperScan,
redes Angry IP Scanner y NetScanTools.
Herramientas de
Estas herramientas se utilizan para probar y probar la solidez de un firewall utilizando paquetes falsificados
elaboración de
especialmente diseñados. Los ejemplos incluyen Hping, Scapy, Socat, Yersinia, Netcat, Nping y Nemesis.
paquetes
Estas herramientas se utilizan para capturar y analizar paquetes dentro de LAN o WLAN Ethernet
Sniffers de paquetes tradicionales. Las herramientas incluyen Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler,
Ratproxy y SSLstrip.
Threat Actor Tools
Evolución de las herramientas de seguridad(Cont.)
Herramienta de
prueba de Descripción
penetración
Este es un verificador de integridad de archivos y directorios utilizado por los sombreros blancos para detectar los
Detectores de rootkits
kits raíz instalados. Las herramientas de ejemplo incluyen AIDE, Netfilter y PF: OpenBSD Packet Filter.
Fuzzers para buscar Los fuzzers son herramientas utilizadas por los actores de amenazas para descubrir las vulnerabilidades de
vulnerabilidades seguridad de una computadora. Ejemplos de fuzzers incluyen Skipfish, Wapiti y W3af.
Los hackers de sombrero blanco utilizan estas herramientas para detectar cualquier rastro de evidencia existente en
Herramientas forenses
una computadora. Ejemplos de herramientas incluyen Sleuth Kit, Helix, Maltego y Encase.
Los sombreros negros utilizan estas herramientas para realizar ingeniería inversa de archivos binarios al escribir
Depuradores exploits. También son utilizados por los sombreros blancos cuando analizan malware. Las herramientas de
depuración incluyen GDB, WinDbg, IDA Pro y Immunity Debugger.
Hackear sistemas Estos son sistemas operativos especialmente diseñados precargados con herramientas optimizadas para
operativos hackear. Ejemplos de sistemas operativos de piratería especialmente diseñados incluyen Kali Linux, BackBox Linux.
Las herramientas de cifrado utilizan esquemas de algoritmos para codificar los datos para evitar el acceso no
Herramientas de
autorizado a los datos cifrados. Ejemplos de estas herramientas incluyen VeraCrypt, CipherShed, OpenSSH,
cifrado
OpenSSL, Tor, OpenVPN y Stunnel.
Herramientas de
Estas herramientas identifican si un host remoto es vulnerable a un ataque de seguridad. Ejemplos de herramientas
explotación de
de explotación de vulnerabilidades incluyen Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.
vulnerabilidades
Estas herramientas escanean una red o sistema para identificar puertos abiertos. También se pueden usar para
Escáneres de
escanear vulnerabilidades conocidas y escanear máquinas virtuales, dispositivos BYOD y bases de datos de
vulnerabilidad
clientes. Ejemplos de herramientas incluyen Nipper, Core Impact, Nessus, SAINT y OpenVAS
Threat Actor Tools
Tipos de ataques
Tipo de ataque Descripción
Esto es cuando un actor de amenazas captura y "escucha" el tráfico de la red. Este ataque también se conoce
Ataque de espionaje
como sniffing o snooping.
Ataque de modificación de Si los actores de la amenaza han capturado el tráfico empresarial, pueden alterar los datos en el paquete sin el
datos conocimiento del remitente o receptor.
Ataque de suplantación de Un actor de amenazas construye un paquete IP que parece originarse en una dirección válida dentro de la
dirección IP intranet corporativa.
Si los actores de la amenaza descubren una cuenta de usuario válida, los actores de la amenaza tienen los
Ataques basados en mismos derechos que el usuario real. Los actores de amenazas podrían usar esa cuenta válida para obtener
contraseña listas de otros usuarios, información de red, cambiar configuraciones de servidor y red, y modificar, redirigir o
eliminar datos.
Un ataque DoS impide el uso normal de una computadora o red por parte de usuarios válidos. Un ataque DoS
Ataque de denegación de puede inundar una computadora o toda la red con tráfico hasta que se produzca un apagado debido a la
servicio sobrecarga. Un ataque DoS también puede bloquear el tráfico, lo que resulta en una pérdida de acceso a los
recursos de la red por parte de usuarios autorizados.
Ataque de hombre en el Este ataque ocurre cuando los actores de la amenaza se han posicionado entre una fuente y un destino. Ahora
medio pueden monitorear, capturar y controlar activamente la comunicación de manera transparente.
Si un actor de amenaza obtiene una clave secreta, esa clave se conoce como clave comprometida. Se puede
Ataque clave comprometido usar una clave comprometida para obtener acceso a una comunicación segura sin que el remitente o el
receptor sean conscientes del ataque.
Un sniffer es una aplicación o dispositivo que puede leer, monitorear y capturar intercambios de datos de red y
Sniffer Attack leer paquetes de red. Si los paquetes no están encriptados, un sniffer proporciona una vista completa de los
datos dentro del paquete
3.4 Malware

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Malware
Descripción general de Malware
• Ahora que conoces las herramientas que usan los hackers, este tema te
presenta diferentes tipos de malware que los hackers usan para obtener acceso
a los dispositivos finales.
• Los dispositivos finales son particularmente propensos a ataques de malware.
Es importante saber sobre el malware porque los actores de amenazas
dependen de los usuarios para instalar malware para ayudar a explotar las
brechas de seguridad.
Malware
Virus y caballos de Troya
• El primer y más común tipo de malware informático es un virus. Los virus
requieren acción humana para propagar e infectar otros ordenadores.
• El virus se esconde adjunándose a código informático, software o documentos
en el equipo. Cuando se abre, el virus ejecuta e infecta el equipo.
• Los virus pueden:
• Altere, corrompa, elimine archivos o borre unidades enteras.
• Causar problemas de arranque del equipo y aplicaciones dañadas.
• Capturar y enviar información confidencial a los actores de amenazas.
• Acceda y use cuentas de correo electrónico para difundir.
• Permanecer inactivo hasta que sea convocado por el actor de la amenaza.
Malware
Virus y caballos de Troya (Cont.)
Los virus modernos se desarrollan para una intención específica, como los que se
enumeran en la tabla.
Tipos de virus Descripción
Virus del sector de El virus ataca el sector de arranque, la tabla de partición de archivos o el sistema
arranque de archivos.
Virus de firmware El virus ataca el firmware del dispositivo.

Virus macro Virus utiliza la función de macro de MS Office de forma maliciosa.

Virus de programa El virus se inserta en otro programa ejecutable.

El virus ataca al intérprete del sistema operativo que se utiliza para ejecutar
Virus de script
scripts.
Malware
Virus y caballos de Troya (Cont.)
Los actores de amenazas utilizan caballos de Troya para comprometer a los anfitriones. Un
caballo de Troya es un programa que parece útil, pero también lleva código malicioso. Los
caballos de Troya a menudo se proporcionan con programas en línea gratuitos como juegos de
ordenador. Hay varios tipos de caballos de Troya como se describe en la tabla.
Tipo de caballo de Troya Descripción

Acceso remoto El caballo de Troya permite el acceso remoto no autorizado.

Envío de datos El caballo de Troya proporciona al actor de la amenaza datos confidenciales, como contraseñas.

Destructivo El caballo de Troya corrompe o elimina archivos.

El caballo de Troya utilizará la computadora de la víctima como dispositivo fuente para lanzar
Apoderado
ataques y realizar otras actividades ilegales.
FTP Trojan horse habilita servicios de transferencia de archivos no autorizados en dispositivos finales.
Deshabilitador de software
El caballo de Troya impide que funcionen los programas antivirus o los firewalls.
de seguridad
Denegación de servicio
El caballo de Troya ralentiza o detiene la actividad de la red.
(DoS)
Trojan horse intenta activamente robar información confidencial, como números de tarjetas de
Keylogger
crédito, registrando las pulsaciones de teclas ingresadas en un formulario web.
Malware
Otros tipos de malware
Malware Descripción
 El adware generalmente se distribuye descargando software en línea.
 El adware puede mostrar publicidad no solicitada mediante ventanas emergentes de navegador web, nuevas barras de
Adware herramientas o redirigir inesperadamente una página web a un sitio web diferente.
 Las ventanas emergentes pueden ser difíciles de controlar ya que las ventanas nuevas pueden aparecer más rápido de lo que el
usuario puede cerrarlas.
 El ransomware normalmente niega el acceso de un usuario a sus archivos cifrando los archivos y luego mostrando un mensaje que
Secuestro de exige un rescate por la clave de descifrado.
datos  Los usuarios sin copias de seguridad actualizadas deben pagar el rescate para descifrar sus archivos.
 El pago generalmente se realiza mediante transferencia bancaria o criptomonedas como Bitcoin.
 Los actores de amenazas utilizan los rootkits para obtener acceso de administrador a nivel de cuenta a una computadora.
 Son muy difíciles de detectar porque pueden alterar el firewall, la protección antivirus, los archivos del sistema e incluso los
comandos del sistema operativo para ocultar su presencia.
Rootkit  Pueden proporcionar una puerta trasera a los actores de amenazas dándoles acceso a la PC, y permitiéndoles cargar archivos e
instalar nuevo software para ser utilizado en un ataque DDoS.
 Deben usarse herramientas especiales de eliminación de rootkit para eliminarlos, o puede ser necesaria una reinstalación
completa del sistema operativo.
 Como el adware, pero se utiliza para recopilar información sobre el usuario y enviarlo a los actores de la amenaza sin el
consentimiento del usuario.
Spyware
 El spyware puede ser una amenaza baja, recopilar datos de navegación, o puede ser una amenaza alta capturar información
personal y financiera.
 Un gusano es un programa autorreplicante que se propaga automáticamente sin las acciones del usuario explotando
vulnerabilidades en software legítimo.
Gusano
 Utiliza la red para buscar otras víctimas con la misma vulnerabilidad.
 La intención de un gusano suele ser ralentizar o interrumpir las operaciones de red.
3.5 Ataques de red comunes

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Common Network Attacks
Descripción general de los ataques comunes de red
• Cuando el malware se entrega e instala, la carga útil se puede utilizar para
causar una variedad de ataques relacionados con la red.
• Para mitigar los ataques, es útil comprender los tipos de ataques. Mediante la
categorización de los ataques de red, es posible abordar tipos de ataques en
lugar de ataques individuales.
• Las redes son susceptibles a los siguientes tipos de ataques:
• Ataques de reconocimiento
• Ataques de acceso
• Ataques DoS
Common Network Attacks
Ataques de reconocimiento
• El reconocimiento es la recopilación de información.
• Los actores de amenazas utilizan ataques de reconocimiento (o reconocimiento)
para realizar desacciones y mapeo no autorizados de sistemas, servicios o
vulnerabilidades. Los ataques de reconocimiento preceden a ataques de acceso
o ataques DoS.
Common Network Attacks
Ataques de reconocimiento (Cont.)
Algunas de las técnicas utilizadas por los actores de amenazas maliciosas para llevar a cabo
ataques de reconocimiento se describen en la tabla.

Técnica Descripción
Realizar una consulta de El actor de la amenaza está buscando información inicial sobre un objetivo. Se pueden usar
información de un varias herramientas, incluida la búsqueda de Google, el sitio web de la organización, whois y
objetivo más.
La consulta de información generalmente revela la dirección de red del objetivo. El actor de la
Iniciar un barrido de ping
amenaza ahora puede iniciar un barrido de ping para determinar qué direcciones IP están
de la red objetivo
activas.
Iniciar un escaneo de
Esto se utiliza para determinar qué puertos o servicios están disponibles. Los ejemplos de
puertos de direcciones IP
escáneres de puertos incluyen Nmap, SuperScan, Angry IP Scanner y NetScanTools.
activas
Esto es para consultar los puertos identificados para determinar el tipo y la versión de la
Ejecuta escáneres de
aplicación y el sistema operativo que se ejecuta en el host. Ejemplos de herramientas incluyen
vulnerabilidades
Nipper, Core Impact, Nessus, SAINT y Open VAS.
El actor de la amenaza ahora intenta descubrir servicios vulnerables que puedan ser
Ejecute herramientas de
explotados. Existe una variedad de herramientas de explotación de vulnerabilidades que
explotación
incluyen Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.
Common Network Attacks
Ataques de acceso
• Los ataques de acceso explotan vulnerabilidades conocidas en servicios de autenticación, servicios FTP y
servicios web. El propósito de estos tipos de ataques es obtener entrada a cuentas web, bases de datos
confidenciales y otra información confidencial.
• Los actores de amenazas utilizan ataques de acceso en dispositivos de red y equipos para recuperar datos,
obtener acceso o escalar los privilegios de acceso al estado de administrador.
• Ataques de contraseña: En un ataque de contraseña, el actor de la amenaza intenta descubrir
contraseñas críticas del sistema utilizando varios métodos. Los ataques de contraseña son muy comunes y
se pueden iniciar utilizando una variedad de herramientas de descifrado de contraseñas.
• Ataques de suplantación: Al suplantar ataques, el dispositivo actor de amenaza intenta hacerse pasar por
otro dispositivo falsificando datos. Los ataques de suplantación de spoofing comunes incluyen suplantación
de IP, suplantación de MAC y suplantación de DHCP. Estos ataques de suplantación de estado serán
discutidos con más detalle más adelante en este Capítulo
• Otros ataques de acceso incluyen:
• Operaciones de confianza
• Redirecciones de puertos
• Ataques de hombre en el medio
• Ataques de desbordamiento de búfer
Common Network Attacks
Ataques de ingeniería social
• La ingeniería social es un ataque de acceso que intenta manipular a individuos
para realizar acciones o divulgar información confidencial. Algunas técnicas de
ingeniería social se realizan en persona, mientras que otras pueden utilizar el
teléfono o Internet.
• Los ingenieros sociales a menudo confían en la disposición de las personas a
ser útiles. También se aprovechan de las debilidades de la gente.
Common Network Attacks
Ataques de ingeniería social (Cont.)
Ataque de ingeniería
Descripción
social
Un actor de amenazas finge necesitar datos personales o financieros para confirmar la identidad del
Pretexting
destinatario.
Un actor de amenazas envía un correo electrónico fraudulento que se disfraza de una fuente legítima y
Phishing confiable para engañar al destinatario para que instale malware en su dispositivo o para compartir
información personal o financiera.
Spear phishing Un actor de amenazas crea un ataque de phishing dirigido a una persona u organización específica.
También conocido como correo basura, este es un correo electrónico no solicitado que a menudo
Spam
contiene enlaces dañinos, malware o contenido engañoso.
A veces llamado "Quid pro quo", esto es cuando un actor de amenaza solicita información personal de
Something for Something
una parte a cambio de algo como un regalo.
Un actor de amenaza deja una unidad flash infectada con malware en una ubicación pública. Una
Baiting víctima encuentra el disco y lo inserta desprevenido en su computadora portátil, instalando
involuntariamente malware.
Este tipo de ataque es donde un actor de amenaza finge ser alguien que no es para ganarse la
Impersonation
confianza de una víctima.
Aquí es donde un actor de amenazas sigue rápidamente a una persona autorizada a una ubicación
Tailgating
segura para obtener acceso a un área segura.
Aquí es donde un actor de amenazas mira discretamente sobre el hombro de alguien para robar sus
Shoulder surfing
contraseñas u otra información.
Aquí es donde un actor de amenaza hurga en los contenedores de basura para descubrir documentos
Dumpster diving
confidenciales.
Common Network Attacks
Ataques de ingeniería social (Cont.)
• El Social Engineering Toolkit (SET) fue
diseñado para ayudar a los hackers de
sombrero blanco y otros profesionales de la
seguridad de la red a crear ataques de
ingeniería social para probar sus propias
redes.
• Las empresas deben educar a sus usuarios
sobre los riesgos de la ingeniería social, y
desarrollar estrategias para validar
identidades por teléfono, por correo
electrónico o en persona.
• La figura muestra las prácticas
recomendadas que deben seguir todos los
usuarios.
Common Network Attacks
Lab - Ingeniería Social
En este laboratorio, investigará ejemplos de ingeniería social e
identificará maneras de reconocerla y prevenirla.
Common Network Attacks
Ataques DoS y DDoS
• Un ataque de denegación de servicio (DoS) crea algún tipo de interrupción de los servicios
de red a usuarios, dispositivos o aplicaciones. Hay dos tipos principales de ataques DoS:
• Cantidad abrumadora de tráfico - El actor de la amenaza envía una enorme cantidad de
datos a una velocidad que la red, el host o la aplicación no pueden manejar. Esto hace que
los tiempos de transmisión y respuesta se ralentien. También puede bloquear un dispositivo
o servicio.
• Paquetes con formato malintencionado - El actor de amenaza envía un paquete con
formato malintencionado a un host o aplicación y el receptor no puede manejarlo. Esto hace
que el dispositivo receptor se ejecute muy lentamente o se bloquee.
• Los ataques DoS son un riesgo importante porque interrumpen la comunicación y causan
una pérdida significativa de tiempo y dinero. Estos ataques son relativamente fáciles de
llevar a cabo, incluso por un actor de amenaza no calificado.
• Un ataque DoS distribuido (DDoS) es similar a un ataque DoS, pero se origina a partir de
varios orígenes coordinados.
3.6 IP Vulnerabilidades y
amenazas

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
IP Vulnerabilities and Threats
IPv4 e IPv6
• Ip no valida si la dirección IP de origen contenida en un paquete vino realmente de esa
fuente. Por esta razón, los actores de amenazas pueden enviar paquetes utilizando una
dirección IP de origen suplantada. Los analistas de seguridad deben comprender los
diferentes campos de los encabezados IPv4 e IPv6.
• Algunos de los ataques más comunes relacionados con la IP se muestran en la tabla

Técnicas de ataque IP Descripción

Los actores de amenazas utilizan paquetes de eco (pings) del Protocolo de mensajes de
Ataques ICMP control de Internet (ICMP) para descubrir subredes y hosts en una red protegida, generar
ataques de inundación DoS y alterar las tablas de enrutamiento de host.
Amplificación y Los actores de amenazas intentan evitar que usuarios legítimos accedan a información o
ataques de reflexión servicios mediante ataques DoS y DDoS.
Abordar los ataques de Los actores de amenazas falsifican la dirección IP de origen en un paquete de IP para realizar
suplantación de identidad suplantación ciega o suplantación no ciega.
Los actores de amenazas se posicionan entre una fuente y un destino para monitorear,
Ataque de hombre en el capturar y controlar de manera transparente la comunicación. Podrían escuchar a escondidas
medio (MITM) inspeccionando los paquetes capturados, o alterar los paquetes y reenviarlos a su destino
original.
Los actores de amenazas obtienen acceso a la red física y luego usan un ataque MITM para
Secuestro de sesión
secuestrar una sesión
IP Vulnerabilities and Threats
Ataques ICMP
• Los actores de amenazas utilizan ICMP para ataques de reconocimiento y
exploración. Pueden iniciar ataques de recopilación de información para trazar
una topología de red, descubrir qué hosts están activos (accesibles), identificar
el sistema operativo host (huellas dactilares del SISTEMA operativo) y
determinar el estado de un firewall. Los actores de amenazas también usan
ICMP para ataques DoS.
• Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a
tipos similares de ataques.
• Las redes deben tener un filtrado estricto de la lista de control de acceso ICMP
(ACL) en el borde de la red para evitar el sondeo ICMP de Internet. En el caso
de las redes grandes, los dispositivos de seguridad como firewalls y sistemas de
detección de intrusiones (IDS) detectan este tipo de ataques y generan alertas a
los analistas de seguridad.
IP Vulnerabilities and Threats
Ataques ICMP (Cont.)
Los mensajes ICMP comunes de interés para los actores de amenazas se enumeran en la
tabla.

Mensajes ICMP utilizados por

hackers
Solicitud de eco ICMP y respuesta
de eco
ICMP inalcanzable
Respuesta de máscara ICMP
Redirecciones ICMP
Descubrimiento de enrutador ICMP
Descripción
Esto se utiliza para realizar la verificación del host y los
ataques DoS.
Esto se utiliza para realizar ataques de exploración y
exploración de red.
Esto se usa para mapear una red IP interna.
Esto se utiliza para atraer a un host de destino a enviar todo el
tráfico a través de un dispositivo comprometido y crear un
ataque MITM.
Esto se utiliza para inyectar entradas de ruta falsas en la tabla
de enrutamiento de un host de destino.
IP Vulnerabilities and Threats
Amplificación y ataques de reflexión
• Los actores de amenazas a menudo utilizan
técnicas de amplificación y reflexión para
crear ataques DoS. El ejemplo de la figura
ilustra un ataque Pitufo que se utiliza para
abrumar a un host objetivo.
• Nota: Las nuevas formas de amplificación y
ataques de reflexión, como ataques de
reflexión y amplificación basados en DNS y
ataques de amplificación del Protocolo de
tiempo de red (NTP), se están utilizando
ahora.
• Los actores de amenazas también usan
ataques de agotamiento de recursos para
bloquear un host de destino o para consumir
los recursos de una red.
IP Vulnerabilities and Threats
Abordar ataques de suplantación
• Los ataques de suplantación de direcciones IP se producen cuando un actor de amenazas
crea paquetes con información de dirección IP de origen falsa para ocultar la identidad del
remitente o para hacerse pasar por otro usuario legítimo. La suplantación de estado
generalmente se incorpora a otro ataque, como un ataque de pitufo.
• Los ataques de suplantación de aire pueden ser no ciegos o ciegos:
• Suplantación no ciega - El actor de la amenaza puede ver el tráfico que se envía entre el host y el
destino. La suplantación no ciega determina el estado de un firewall y la predicción de número de
secuencia. También puede secuestrar una sesión autorizada.
• Suplantación ciega - El actor de la amenaza no puede ver el tráfico que se envía entre el host y el
destino. La suplantación de spoofing ciega se utiliza en los ataques DoS.
• Los ataques de suplantación de direcciones MAC se utilizan cuando los actores de
amenazas tienen acceso a la red interna. Los actores de amenazas alteran la dirección
MAC de su host para que coincida con otra dirección MAC conocida de un host de destino.
3.7 Vulnerabilidades TCP y
UDP

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
TCP and UDP Vulnerabilities
Encabezado de segmento TCP
• La información del segmento TCP
aparece inmediatamente después del
encabezado IP. Los campos del
segmento TCP y los indicadores para el
campo Bits de control se muestran en la
figura.
• Los siguientes son los seis bits de control
del segmento TCP:
• URG - Campo de puntero urgente significativo
• ACK - Campo de reconocimiento significativo
• PSH - Función Push
• RST- Restablecer la conexión
• SYN - Sincronizar números de secuencia
• FIN - No más datos del remitente
TCP and UDP Vulnerabilities
Servicios TCP
TCP proporciona estos servicios:
• Entrega fiable - TCP incorpora confirmaciones para garantizar la entrega. Si no
se recibe una confirmación oportuna, el remitente retransmite los datos.
Requerir confirmaciones de los datos recibidos puede causar retrasos
sustanciales. Ejemplos de protocolos de capa de aplicación que hacen uso de la
confiabilidad TCP incluyen HTTP, SSL/TLS, FTP, transferencias de zona DNS y
otros.
• Control de flujo - TCP implementa el control de flujo para solucionar este
problema. En lugar de reconocer un segmento a la vez, se pueden reconocer
varios segmentos con un único segmento de confirmación.
• Comunicación con estado - La comunicación con estado TCP entre dos partes
se produce durante el apretón de manos de tres vías TCP.
TCP and UDP Vulnerabilities
Servicios TCP (Cont.)
Se establece una conexión TCP en tres pasos:
1. El cliente que inicia solicita una sesión de comunicación de cliente a servidor con el servidor.
2. El servidor reconoce la sesión de comunicación de cliente a servidor y solicita una sesión de comunicación
de servidor a cliente.
3. El cliente que inicia reconoce la sesión de comunicación de servidor a cliente.
TCP and UDP Vulnerabilities
Ataques TCP
Ataque de inundación TCP SYN
El actor de amenazas envía varias
solicitudes SYN a un servidor web.
1. El servidor web responde con
SYN-ACKs para cada solicitud
SYN y espera para completar el
protocolo de enlace de tres vías.
El actor de la amenaza no
responde a los SYN-ACKs.
2. Un usuario válido no puede
acceder al servidor web porque el
servidor web tiene demasiadas
conexiones TCP semes la mitad
abiertas.
TCP and UDP Vulnerabilities
Ataques TCP (Cont.)
La terminación de una sesión TCP utiliza el
siguiente proceso de intercambio de cuatro vías:
1. Cuando el cliente no tiene más datos para
enviar en la secuencia, envía un segmento
con el indicador FIN establecido.
2. El servidor envía una confirmación para
confirmar la recepción de la FIN para
terminar la sesión de cliente a servidor.
3. El servidor envía un FIN al cliente para
terminar la sesión de servidor a cliente.
4. El cliente responde con una confirmación
para reconocer el FIN del servidor.
Un actor de amenaza podría hacer un ataque de
restablecimiento TCP y enviar un paquete
falsificado que contenga un TCP RST a uno o
ambos puntos finales.
TCP and UDP Vulnerabilities
Ataques TCP (Cont.)
El secuestro de sesión TCP es otra vulnerabilidad TCP. Aunque es difícil de llevar a
cabo, un actor de amenazas se hace cargo de un host ya autenticado mientras se
comunica con el destino. El actor de amenazas debe suplantar la dirección IP de un
host, predecir el siguiente número de secuencia y enviar una confirmación al otro
host. Si tiene éxito, el actor de la amenaza podría enviar, pero no recibir, datos
desde el dispositivo de destino.
TCP and UDP Vulnerabilities
Encabezado y operación del segmento UDP
• El UDP es comúnmente utilizado por el DNS, TFTP, NFS, y SNMP. También se utiliza con
aplicaciones en tiempo real como streaming multimedia o VoIP. UDP es un protocolo de
capa de transporte sin conexión. Tiene una sobrecarga mucho menor que TCP porque no
está orientado a la conexión y no ofrece los sofisticados mecanismos de retransmisión,
secuenciación y control de flujo que proporcionan confiabilidad.
• Estas funciones de confiabilidad no son proporcionadas por el protocolo de capa de
transporte y deben implementarse en otro lugar si es necesario.
• La baja sobrecarga de UDP lo hace muy deseable para los protocolos que hacen
transacciones simples de solicitud y respuesta.
TCP and UDP Vulnerabilities
Ataques UDP
• UDP no está protegido por ningún cifrado. Puede agregar cifrado a UDP, pero no está
disponible de forma predeterminada. La falta de cifrado significa que cualquiera puede ver
el tráfico, cambiarlo y enviarlo a su destino.
• Ataques a inundaciones UDP: El actor de la amenaza utiliza una herramienta como UDP
Unicorn o Low Orbit Ion Cannon. Estas herramientas envían una avalancha de paquetes
UDP, a menudo desde un host falsificado, a un servidor en la subred. El programa barrerá
todos los puertos conocidos tratando de encontrar puertos cerrados. Esto hará que el
servidor responda con un mensaje de puerto ICMP inalcanzable. Porque hay muchos
puertos cerrados en el servidor, esto crea una gran cantidad de tráfico en el segmento, que
utiliza la mayor parte del ancho de banda. El resultado es muy similar a un ataque DoS.
3.8 Servicios de IP

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
IP Services
Vulnerabilidades ARP
• Los host transmiten una petición ARP a otros host en el segmento para
determinar la dirección MAC de un host con una dirección IP determinada. El
host con la dirección IP coincidente en la solicitud ARP envía una respuesta
ARP.
• Cualquier cliente puede enviar una respuesta ARP no solicitada llamada "ARP
gratuito." Cuando un host envía un ARP gratuito, otros host en la subred
almacenan la dirección MAC y la dirección IP contenidas en el ARP gratuito en
sus tablas ARP.
• Esta característica del ARP también significa que cualquier host puede afirmar
ser el propietario de cualquier IP o MAC. Un actor de amenazas puede
envenenar la caché ARP de los dispositivos en la red local, creando un ataque
MITM para redirigir el tráfico.
IP Services
Intoxicación por caché ARP
La intoxicación por caché ARP se puede utilizar para lanzar varios ataques de tipo "man-in-the-
middle".
1. El PC-A requiere la dirección MAC de su default gateway (R1); por lo tanto, envía una
petición ARP para la dirección MAC de 192.168.10.1.
2. El R1 actualiza su caché ARP con las direcciones IP y MAC del PC-A. El R1 envía una
respuesta ARP al PC-A, que después pone al día su memoria caché ARP con el IP y las
direcciones MAC del R1.
3. El actor de la amenaza envía dos respuestas ARP gratuitas falsificadas utilizando su propia
dirección MAC para las direcciones IP de destino indicadas. PC-A actualiza su caché ARP
con su puerta de enlace predeterminada que ahora apunta a la dirección MAC del host del
actor de amenazas. R1 también actualiza su caché ARP con la dirección IP de PC-A que
apunta a la dirección MAC del actor de la amenaza.
El ataque de envenenamiento de ARP puede ser pasivo o activo. El envenenamiento pasivo de
ARP es donde los actores de amenazas roban información confidencial. Intoxicación activa por
ARP es donde los actores de amenazas modifican los datos en tránsito o inyectan datos
malintencionados.
IP Services
Ataques DNS
• El protocolo dns (Servicio de nombres de dominio) define un servicio
automatizado que coincide con los nombres de recursos, como www.cisco.com,
con la dirección de red numérica necesaria, como la dirección IPv4 o IPv6.
Incluye el formato de consultas, respuestas y datos y usa registros de recursos
(RR) para identificar el tipo de respuesta DNS.
• La protección de DNS a menudo se pasa por alto. Sin embargo, es crucial para
el funcionamiento de una red y debe protegerse en consecuencia.
• Los ataques DNS incluyen los siguientes:
• Ataques de resolución abierta de DNS
• Ataques sigilosos DNS
• Ataques de sombreado de dominio DNS
• Ataques de tunelización DNS
•
IP Services
Ataques DNS (Cont.)
ATAQUES DE RESOLUCIÓN abierta de DNS: un solucionador abierto de DNS
responde a las consultas de clientes fuera de su dominio administrativo. Los
solucionadores abiertos de DNS son vulnerables a múltiples actividades maliciosas
descritas en la tabla.
Vulnerabilidades de resolución
Descripción
de DNS
Los actores de amenazas envían información de recursos de registros (RR) falsificada y
falsificada a un solucionador de DNS para redirigir a los usuarios de sitios legítimos a
Ataques de envenenamiento de
sitios maliciosos. Los ataques de envenenamiento de caché de DNS se pueden usar
caché de DNS
para informar al solucionador de DNS que use un servidor de nombres malicioso que
proporciona información de RR para actividades maliciosas.
Los actores de amenazas usan ataques DoS o DDoS en los servidores de resolución
abiertos de DNS para aumentar el volumen de los ataques y ocultar la verdadera fuente
Amplificación de DNS y ataques
de un ataque. Los actores de amenazas envían mensajes DNS a los resolvers abiertos
de reflexión
utilizando la dirección IP de un host de destino. Estos ataques son posibles porque el
solucionador abierto responderá a las consultas de cualquiera que haga una pregunta.
Un ataque DoS que consume los recursos de los resolvers abiertos de DNS. Este
ataque DoS consume todos los recursos disponibles para afectar negativamente las
Ataques de utilización de
operaciones del solucionador abierto DNS. El impacto de este ataque DoS puede
recursos DNS
requerir que se reinicie el solucionador abierto DNS o que se detengan y reinicien los
servicios.
IP Services
Ataques DNS (Cont.)
Ataques sigilosos DNS: Para ocultar su identidad, los actores de amenazas también
utilizan las técnicas de sigilo DNS descritas en la tabla para llevar a cabo sus
ataques.
Técnicas de sigilo
Descripción
de DNS
Los actores de amenazas usan esta técnica para ocultar sus sitios de entrega de phishing y
malware detrás de una red de hosts DNS comprometidos que cambia rápidamente. Las
Flujo rápido direcciones IP de DNS se cambian continuamente en minutos. Las botnets a menudo
emplean técnicas Fast Flux para ocultar efectivamente la detección de servidores
maliciosos.
Los actores de amenazas utilizan esta técnica para cambiar rápidamente el nombre de host
Doble flujo de IP a las asignaciones de direcciones IP y también para cambiar el servidor de nombres
autorizado. Esto aumenta la dificultad de identificar la fuente del ataque.
Algoritmos de Los actores de amenazas usan esta técnica en malware para generar aleatoriamente
Generación de nombres de dominio que luego pueden usarse como puntos de encuentro para sus
Dominio servidores de comando y control (C&C).
IP Services
Ataques DNS (Cont.)
Ataques de sombreado de dominio DNS: el sombreado de dominio
implica que el actor de amenazas recopila credenciales de cuenta de
dominio para crear en silencio varios subdominios que se usarán
durante los ataques. Estos subdominios suelen apuntar a servidores
malintencionados sin alertar al propietario real del dominio principal.
IP Services
Túnel DNS
• Los actores de amenazas que utilizan la tunelización DNS colocan el tráfico no DNS dentro
del tráfico DNS. Este método a menudo elude las soluciones de seguridad cuando un actor
de amenazas desea comunicarse con bots dentro de una red protegida o exfiltrar datos de
la organización. Así es como funciona la tunelización DNS para los comandos CnC enviados
a una botnet:
1. Los datos del comando se dividen en varios fragmentos codificados.
2. Cada fragmento se coloca en una etiqueta de nombre de dominio de nivel inferior de la consulta DNS.
3. Dado que no hay respuesta del DNS local o en red para la consulta, la solicitud se envía a los servidores DNS recursivos
del ISP.
4. El servicio DNS recursivo reenviará la consulta al servidor de nombres autorizado del actor de amenazas.
5. El proceso se repite hasta que se envían todas las consultas que contienen los fragmentos de.
6. Cuando el servidor de nombres autorizado del actor de amenazas recibe las consultas DNS de los dispositivos
infectados, envía respuestas para cada consulta DNS, que contienen los comandos CnC encapsulados y codificados.
7. El malware en el host comprometido recombina los fragmentos y ejecuta los comandos ocultos dentro del registro DNS.

• Para detener la tunelización DNS, el administrador de red debe utilizar un filtro que
inspeccione el tráfico DNS. Preste mucha atención a las consultas DNS que son más largas
que el promedio, o a aquellas que tienen un nombre de dominio sospechoso.
IP Services
DHCP
• Los servidores DHCP proporcionan
dinámicamente información de
configuración IP a los clientes.
• En la figura, un cliente difunde un
mensaje de detección DHCP. El
DHCP responde con una oferta de
unidifusión que incluya la
información de direccionamiento que
el cliente puede utilizar. El cliente
difunde una solicitud DHCP para
indicar al servidor que el cliente
acepta la oferta. El servidor
responde con una confirmación de
unidifusión que acepta la solicitud.
IP Services
Ataques DHCP
• Un DHCP spoofing attack ocurre cuando un servidor DHCP rogue está
conectado a la red y proporciona los parámetros de configuración IP falsos a los
clientes legítimos. Un servidor no autorizado puede proporcionar una variedad
de información engañosa:
• Puerta de enlace predeterminada incorrecta - El actor de amenazas
proporciona una puerta de enlace no válida o la dirección IP de su host para
crear un ataque MITM. Esto puede pasar completamente sin ser detectado ya
que el intruso intercepta el flujo de datos a través de la red.
• Servidor DNS incorrecto - El actor de amenazas proporciona una dirección de
servidor DNS incorrecta que señala al usuario a un sitio web malintencionado.
• Dirección IP incorrecta - El actor de amenazas proporciona una dirección IP
no válida, una dirección IP de puerta de enlace predeterminada no válida o
ambas. A continuación, el actor de amenazas crea un ataque DoS al cliente
DHCP.
IP Services
Ataques DHCP (Cont.)
Suponga que un actor de amenaza ha conectado correctamente un servidor DHCP
no autorizado a un puerto de conmutador en la misma subred que los clientes de
destino. El objetivo del servidor no autorizado es proporcionar a los clientes
información falsa de configuración IP.
1. El cliente difunde una solicitud DHCP Discover buscando una respuesta de un
servidor DHCP. Ambos servidores reciben el mensaje.
2. Los servidores DHCP legítimos y no fiables responden cada uno con los
parámetros de configuración IP válidos. El cliente responde a la primera oferta
recibida
3. El cliente recibió la oferta rogue primero. Difunde una solicitud DHCP que
acepta los parámetros del servidor no autorizado. El servidor legítimo y rogue
recibe cada uno la petición.
4. Solamente el servidor rogue unidifusión una respuesta al cliente para reconocer
su petición. El servidor legítimo deja de comunicarse con el cliente porque la
solicitud ya ha sido reconocida.
IP Services
Lab – Explorar el tráfico DNS
En este laboratorio, completará los siguientes objetivos:
• Capturar tráfico DNS
• Explorar el tráfico de consultas DNS
• Explore el tráfico de respuesta DNS
3.9 Prácticas recomendadas
de seguridad de red

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
Network Security Best Practices
Confidencialidad, Disponibilidad e Integridad
• La seguridad de la red consiste en proteger la información y los sistemas de
información contra el acceso, uso, divulgación, interrupción, modificación o
destrucción no autorizados.
• La mayoría de las organizaciones siguen la tríada de seguridad de la
información de la CIA:
• Confidencialidad - Solo las personas, entidades o procesos autorizados
pueden acceder a información confidencial. Puede requerir el uso de algoritmos
de cifrado criptográficos como AES para cifrar y descifrar datos.
• Integridad - Se refiere a la protección de datos de alteraciones no autorizadas.
Requiere el uso de algoritmos de hash criptográficos como SHA.
• Disponibilidad - Los usuarios autorizados deben tener acceso ininterrumpido a
recursos y datos importantes. Requiere implementar servicios redundantes,
puertas de enlace y vínculos.
Network Security Best Practices
El enfoque de defensa en profundidad
• Para garantizar comunicaciones seguras a través de redes públicas y privadas, debe
proteger los dispositivos, incluidos enrutadores, conmutadores, servidores y hosts. La
mayoría de las organizaciones emplean un enfoque de defensa en profundidad para la
seguridad. Requiere una combinación de dispositivos de red y servicios que trabajan juntos.
• Se implementan varios dispositivos y servicios de seguridad.
• VPN
• ASA Firewall
• IPS
• ESA/WSA
• AAA Server
• Todos los dispositivos de red, incluidos el router y los conmutadores, están endurecidos.
• También debe proteger los datos a medida que viajan a través de varios enlaces.
Network Security Best Practices
Firewalls
Un firewall es un sistema, o grupo de sistemas, que aplica una política de control de
acceso entre redes.
Network Security Best Practices
IPS
• Para defenderse de ataques de rápido movimiento y evolución, es posible que
necesite sistemas de detección y prevención rentables integrados en los puntos
de entrada y salida de la red.
• Las tecnologías IDS e IPS comparten varias características. Las tecnologías
IDS e IPS se despliegan como sensores. Un sensor IDS o IPS puede ser en
forma de varios dispositivos diferentes:
• Un router configurado con el software IPS del Cisco IOS
• Un dispositivo diseñado específicamente para proporcionar servicios dedicados IDS o IPS
• Un Capítulo de red instalado en un dispositivo de seguridad adaptable (ASA), conmutador o enrutador
• Las tecnologías IDS e IPS detectan patrones en el tráfico de red mediante firmas, que es un conjunto de
reglas que se utilizan para detectar actividad malintencionada. Las tecnologías IDS e IPS pueden detectar
patrones de firma atómica (paquete único) o patrones de firma compuesta (multi-paquete).
Network Security Best Practices
IPS (Cont.)
La figura muestra cómo un IPS maneja el tráfico
denegado.
1. El actor de la amenaza envía un paquete
destinado al portátil de destino.
2. El IPS intercepta el tráfico y lo evalúa contra
las amenazas conocidas y las directivas
configuradas.
3. El IPS envía un mensaje de registro a la
consola de administración.
4. El IPS desecha el paquete.
Network Security Best Practices
Dispositivos de seguridad de contenido
• El dispositivo de seguridad del correo electrónico de Cisco (ESA) es un
dispositivo especial diseñado para monitorear el Simple Mail Transfer Protocol
(SMTP). Cisco ESA se actualiza constantemente por las alimentaciones en
tiempo real de Cisco Talos. Estos datos de inteligencia de amenazas son
extraídos por Cisco ESA cada tres a cinco minutos.
• El dispositivo de seguridad de la red de Cisco (WSA) es una tecnología de
mitigación para las amenazas basadas en la web. Cisco WSA combina la
protección avanzada contra malware, la visibilidad y el control de la aplicación,
los controles aceptables de la política del uso, y la información.
• Cisco WSA proporciona el control completo sobre cómo los usuarios acceden a
Internet. El WSA puede realizar la lista negra de direcciones URL, filtrado de
URL, análisis de malware, categorización de URL, filtrado de aplicaciones web y
cifrado y descifrado del tráfico web.
3.10 Criptografía

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
Cryptography
Protección de las comunicaciones
• Las organizaciones deben proporcionar soporte para proteger los datos a
medida que viajan a través de enlaces. Esto puede incluir tráfico interno, pero
es aún más importante proteger los datos que viajan fuera de la organización.
• Estos son los cuatro elementos de las comunicaciones seguras:
• Integridad de los datos - Garantiza que el mensaje no se modificó. La integridad se garantiza mediante la
implementación de algoritmos de generación de hash de Message Digest versión 5 (MD5) o Secure Hash
Algorithm (SHA).
• Autenticación de origen - Garantiza que el mensaje no es una falsificación y proviene de quien dice.
Muchas redes modernas garantizan la autenticación con protocolos, como el código de autenticación de
mensajes hash (HMAC).
• Confidencialidad de los datos - Garantiza que solo los usuarios autorizados pueden leer el mensaje. La
confidencialidad de los datos se implementa mediante algoritmos de cifrado simétricos y asimétricos.
• Datos sin repudio - Garantiza que el remitente no puede repudiar o refutar la validez de un mensaje
enviado. La no repudio se basa en el hecho de que sólo el remitente tiene las características únicas o la
firma de cómo se trata ese mensaje.

• La criptografía se puede utilizar casi en cualquier lugar que haya comunicación

de datos. De hecho, la tendencia es hacia todas las comunicaciones que se
cifran.
Cryptography
Integridad de los datos
• Las funciones hash se utilizan para garantizar la integridad de un mensaje. Garantizan que
los datos del mensaje no han cambiado accidentalmente o intencionadamente.
• En la figura, el remitente está enviando una transferencia de $100 a Alex. El remitente
quiere asegurarse de que el mensaje no se altera en su camino al receptor.
1. El dispositivo de envío introduce el mensaje en un algoritmo hash y calcula su hash de longitud fija de
4ehiDx67NMop9.
2. Este hash se adjunta al mensaje y se envía al receptor. Tanto el mensaje como el hash están en texto sin
formato.
3. El dispositivo receptor quita el hash del mensaje e introduce el mensaje en el mismo algoritmo hash. Si el
hash calculado es igual al que está asociado al mensaje, el mensaje no se ha modificado durante el
tránsito. Si los hashes no son iguales, entonces la integridad del mensaje ya no se puede confiar.
Cryptography
Funciones hash
• Hay tres funciones hash bien conocidas.
 MD5 with 128-bit Digest: MD5 es una función unidireccional que produce un mensaje hash de 128 bits.
MD5 es un algoritmo heredado que solo se debe utilizar cuando no hay mejores alternativas disponibles.
Utilice SHA-2 en su lugar.
 SHA Hashing Algorithm: SHA-1 es muy similar a las funciones hash MD5. SHA-1 crea un mensaje hash
de 160 bits y es ligeramente más lento que MD5. SHA-1 tiene defectos conocidos y es un algoritmo
heredado. Utilice SHA-2 cuando sea posible.
 SHA-2: Esto incluye SHA-224 (224 bits), SHA-256 (256 bits), SHA-384 (384 bits) y SHA-512 (512 bits).
SHA-256, SHA-384 y SHA-512 son algoritmos de próxima generación y deben utilizarse siempre que sea
posible.

• Aunque el hash se puede utilizar para detectar cambios accidentales, no se

puede utilizar para protegerse contra cambios deliberados. Esto significa que
cualquier persona puede calcular un hash para cualquier dato, si tiene la función
hash correcta.
• Por lo tanto, el hash es vulnerable a los ataques de tipo "man-in-the-middle" y no
proporciona seguridad a los datos transmitidos.
Cryptography
Autenticación de origen
• Para agregar autenticación a la garantía de
integridad, utilice un código de autenticación
de mensajes hash con clave (HMAC).
• Un HMAC se calcula utilizando cualquier
algoritmo criptográfico que combina una
función hash criptográfica con una clave
secreta.
• Solo las partes que tienen acceso a esa
clave secreta pueden calcular el resumen de
una función HMAC. Esto derrota los ataques
de tipo "man-in-the-middle" y proporciona
autenticación del origen de los datos.
Cryptography
Confidencialidad de los datos
• Hay dos clases de cifrado que se utilizan para proporcionar confidencialidad de
los datos. Estas dos clases difieren en la forma en que usan las claves.
• Los algoritmos de cifrado simétrico como (DES), 3DES y Advanced Encryption
Standard (AES) se basan en la premisa de que cada parte comunicante conoce
la clave previamente compartida. La confidencialidad de los datos también se
puede garantizar mediante algoritmos asimétricos, como Rivest, Shamir y
Adleman (RSA) y la infraestructura de clave pública (PKI).
• La figura resalta algunas diferencias entre cada método de algoritmo de cifrado.
Cryptography
Cifrado simétrico
• Los algoritmos simétricos utilizan la misma clave previamente compartida, también
denominada clave secreta, para cifrar y descifrar datos. El remitente y el receptor conocen
una clave previamente compartida antes de que puedan tener lugar las comunicaciones
cifradas.
• Los algoritmos de cifrado simétricos se utilizan comúnmente con el tráfico VPN porque
utilizan menos recursos de CPU que los algoritmos de cifrado asimétricos.
• Cuando se utilizan algoritmos de cifrado simétricos, cuanto más larga sea la clave, más
tiempo tardará alguien en descubrir la clave. Para asegurarse de que el cifrado es seguro,
utilice una longitud de clave mínima de 128 bits.
Cryptography
Cifrado simétrico (Cont.)
Algoritmos de cifrado simétrico Descripción
Algoritmo de cifrado de datos
(DES)
3DES (Triple DES)
Estándar de cifrado avanzado
(AES)
Algoritmo de cifrado optimizado
por software (SEAL)
Algoritmos de la serie de cifrado
Rivest (RC)
Este es un algoritmo de cifrado simétrico heredado. Se puede usar en modo de
cifrado de flujo, pero generalmente opera en modo de bloque encriptando datos
en un tamaño de bloque de 64 bits. Un cifrado de flujo encripta un byte o un bit a
la vez.
Esta es una versión más nueva de DES, pero repite el proceso del algoritmo
DES tres veces. Se considera muy confiable cuando se implementa usando
vidas clave muy cortas.
AES es un algoritmo seguro y más eficiente que 3DES.
Es un algoritmo de cifrado simétrico popular y recomendado. Ofrece nueve
combinaciones de clave y longitud de bloque mediante el uso de una longitud de
clave variable de 128, 192 o 256 bits para cifrar bloques de datos de 128, 192 o
256 bits de longitud.
SEAL es un algoritmo de cifrado simétrico alternativo más rápido para DES,
3DES y AES. Utiliza una clave de cifrado de 160 bits y tiene un impacto menor
en la CPU en comparación con otros algoritmos basados en software.
Este algoritmo fue desarrollado por Ron Rivest. Se han desarrollado varias
variaciones, pero RC4 es el más frecuente en uso. RC4 es un cifrado de flujo y
se utiliza para proteger el tráfico web en SSL y TLS.
Cryptography
Cifrado asimétrico
• Los algoritmos asimétricos, también llamados algoritmos de clave pública, están
diseñados para que la clave que se utiliza para el cifrado sea diferente de la
clave que se utiliza para el descifrado.
• Los algoritmos asimétricos utilizan una clave pública y una clave privada. La
clave emparejada complementaria es necesaria para el descifrado. Los datos
cifrados con la clave pública requieren la clave privada para descifrar. Los
algoritmos asimétricos logran confidencialidad, autenticación e integridad
mediante este proceso.
• Debido a que ninguna de las partes tiene un secreto compartido, se deben usar
longitudes de clave muy largas. El cifrado asimétrico puede utilizar longitudes de
clave entre 512 y 4.096 bits. Se puede confiar en longitudes de clave mayores o
iguales a 1.024 bits, mientras que las longitudes de clave más cortas se
consideran poco fiables.
Cryptography
Cifrado asimétrico (Cont.)
• Ejemplos de protocolos que utilizan algoritmos de clave asimétrica incluyen:
• Internet Key Exchange (IKE) - Este es un componente fundamental de las VPN IPsec.
• Secure Socket Layer (SSL) - Esto se implementa ahora como seguridad de capa de transporte estándar
de IETF (TLS).
• Secure Shell (SSH) - Este protocolo proporciona una conexión de acceso remoto seguro a los dispositivos
de red.
• Pretty Good Privacy (PGP) - Este programa informático proporciona privacidad criptográfica y
autenticación. A menudo se utiliza para aumentar la seguridad de las comunicaciones por correo
electrónico.

• Los algoritmos asimétricos son sustancialmente más lentos que los algoritmos
simétricos. Su diseño se basa en problemas computacionales, como factorizar
números extremadamente grandes o calcular logaritmos discretos de números
extremadamente grandes.
• Debido a que son lentos, los algoritmos asimétricos se utilizan normalmente en
mecanismos criptográficos de bajo volumen, como firmas digitales e intercambio
de claves.
Cryptography
Cifrado asimétrico (Cont.)
Algoritmo de cifrado asimétrico
Diffie-Hellman (DH)
Estándar de firma digital (DSS) y
Algoritmo de firma digital (DSA)
Algoritmos de cifrado Rivest,
Shamir y Adleman (RSA)
EIGamal
Técnicas de curva elíptica
Longitud clave Descripción
El algoritmo Diffie-Hellman permite a dos partes acordar una clave que pueden
usar para cifrar los mensajes que desean enviarse entre sí. La seguridad de este
512, 1024, 2048,
algoritmo depende de la suposición de que es fácil elevar un número a una
3072, 4096
determinada potencia, pero difícil de calcular qué potencia se utilizó dado el
número y el resultado.
DSS especifica DSA como el algoritmo para firmas digitales. DSA es un algoritmo
de clave pública basado en el esquema de firma ElGamal. La velocidad de
512 - 1024
creación de firma es similar a RSA pero es de 10 a 40 veces más lenta para la
verificación.
RSA es para criptografía de clave pública que se basa en la dificultad actual de
factorizar números muy grandes. Es el primer algoritmo que se sabe que es
512 a 2048 adecuado tanto para la firma como para el cifrado. Es ampliamente utilizado en
protocolos de comercio electrónico y se cree que es seguro si se utilizan claves
suficientemente largas y el uso de implementaciones actualizadas.
Un algoritmo de cifrado de clave asimétrica para criptografía de clave pública que
se basa en el acuerdo de clave Diffie-Hellman. Una desventaja del sistema
512 - 1024 ElGamal es que el mensaje cifrado se vuelve muy grande, aproximadamente el
doble del tamaño del mensaje original y por esta razón solo se usa para mensajes
pequeños como claves secretas.
La criptografía de curva elíptica se puede utilizar para adaptar muchos algoritmos
160 criptográficos, como Diffie-Hellman o ElGamal. La principal ventaja de la
criptografía de curva elíptica es que las claves pueden ser mucho más pequeñas.
Cryptography
Diffie-Hellman
• Diffie-Hellman (DH) es un algoritmo matemático asimétrico donde dos computadoras
generan una clave secreta compartida idéntica sin haberse comunicado antes. La nueva
clave compartida nunca se intercambia realmente entre el remitente y el receptor.
• Estos son tres ejemplos de casos en los que se utiliza:
• Los datos se intercambian mediante una VPN IPsec.
• Los datos se cifran en Internet mediante SSL o TLS.
• Los datos SSH se intercambian.
• La seguridad DH utiliza números increíblemente grandes en sus cálculos.
• Desafortunadamente, los sistemas de claves asimétricas son extremadamente lentos para
cualquier tipo de cifrado a granel. Por lo tanto, es común cifrar la mayor parte del tráfico
utilizando un algoritmo simétrico, como 3DES o AES y luego utilizar el algoritmo DH para
crear claves que serán utilizadas por el algoritmo de cifrado.
Cryptography
Diffie-Hellman (Cont.)
• Los colores de la figura se utilizarán en lugar de números para
simplificar el proceso de acuerdo de clave DH. El intercambio de
claves DH comienza con Alice y Bob de acuerdo en un color común
arbitrario que no necesita ser mantenido en secreto. El color
acordado en nuestro ejemplo es amarillo.
• A continuación, Alice y Bob seleccionarán cada uno un color
secreto. Alice eligió el rojo, mientras que Bob eligió el azul. Estos
colores secretos nunca se compartirán con nadie. El color secreto
representa la clave privada secreta elegida de cada parte.
• Alice y Bob ahora mezclan el color común compartido (amarillo)
con su color secreto respectivo para producir un color privado. Por
lo tanto, Alice mezclará el amarillo con su color rojo para producir
un color privado de naranja. Bob mezclará el amarillo y el azul para
producir un color privado de verde.
• Alice envía su color privado (naranja) a Bob y Bob envía su color
privado (verde) a Alice.
• Alice y Bob mezclan cada uno el color que recibieron con su propio
color secreto original (Rojo para Alicia y azul para Bob.). El
resultado es una mezcla final de color marrón que es idéntica a la
mezcla de color final del otro. El color marrón representa la clave
secreta compartida resultante entre Bob y Alice.
3.11 Práctica y Cuestionario

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83
Module Practice and Quiz
¿Qué aprendí en este Capítulo?
• Las brechas de seguridad de la red pueden interrumpir el comercio electrónico, causar la pérdida de datos
empresariales, amenazar la privacidad de las personas y comprometer la integridad de la información.
• Las vulnerabilidades deben abordarse antes de que se conviertan en una amenaza y sean explotadas. Las
técnicas de mitigación son necesarias antes, durante y después de un ataque.
• Un vector de ataque es una ruta de acceso mediante la cual un actor de amenazas puede obtener acceso a un
servidor, host o red. Los vectores de ataque se originan dentro o fuera de la red corporativa.
• El término "actor de amenaza" incluye hackers y cualquier dispositivo, persona, grupo o estado nación que sea,
intencional o involuntariamente, la fuente de un ataque.
• Las herramientas de ataque se han vuelto más sofisticadas y altamente automatizadas. Estas nuevas
herramientas requieren menos conocimientos técnicos para implementar.
• Los tipos comunes de ataques son: espionaje, modificación de datos, suplantación de direcciones IP, basada en
contraseña, denegación de servicio, hombre en el medio, clave comprometida y sniffer.
• Los tres tipos más comunes de malware son gusanos, virus y caballos de Troya.
• Las redes son susceptibles a los siguientes tipos de ataques: reconocimiento, acceso y DoS.
• Los tipos de ataques de acceso son: contraseña, suplantación de imagen, explotación de confianza,
redirecciones de puertos, man-in-the-middle y desbordamiento de búfer.
• Las técnicas de ataque IP incluyen: ICMP, amplificación y reflexión, suplantación de direcciones, MITM y
secuestro de sesiones.
Module Practice and Quiz
¿Qué aprendí en este Capítulo?
• Los actores de amenazas utilizan ICMP para ataques de reconocimiento y exploración. Inician ataques de
recopilación de información para trazar una topología de red, descubrir qué hosts están activos (accesibles),
identificar el sistema operativo host (huellas dactilares del SISTEMA operativo) y determinar el estado de un
firewall. Los actores de amenazas a menudo utilizan técnicas de amplificación y reflexión para crear ataques
DoS.
• Los ataques TCP incluyen: ataque de inundación TCPSYN, ataque de restablecimiento TCP y secuestro de
sesión TCP. Los ataques UDP Flood envían una avalancha de paquetes UDP, a menudo desde un host
falsificado, a un servidor de la subred. El resultado es muy similar a un ataque DoS.
• Cualquier cliente puede enviar una respuesta ARP no solicitada llamada "ARP gratuito." Esto significa que
cualquier host puede afirmar ser el propietario de cualquier IP o MAC. Un actor de amenaza puede envenenar la
caché ARP de los dispositivos en la red local, creando un ataque MITM para redirigir el tráfico.
• Los ataques DNS incluyen: ataques de resolución abiertos, ataques sigilosos, ataques de sombra de dominio y
ataques de tunelización. Para detener la tunelización DNS, el administrador de red debe utilizar un filtro que
inspeccione el tráfico DNS.
• Un ataque de suplantación DHCP ocurre cuando un servidor DHCP rogue está conectado a la red y proporciona
parámetros de configuración IP falsos a los clientes legítimos.
• La mayoría de las organizaciones siguen la tríada de seguridad de la información de la CIA: confidencialidad,
integridad y disponibilidad.
• Para garantizar comunicaciones seguras a través de redes públicas y privadas, debe proteger los dispositivos,
incluidos enrutadores, conmutadores, servidores y hosts. Esto se conoce como defensa en profundidad.
Module Practice and Quiz
¿Qué aprendí en este Capítulo?
• Un firewall es un sistema o grupo de sistemas que aplica una directiva de control de acceso entre redes.
• Para defenderse de ataques de movimiento rápido y en evolución, es posible que necesite un sistema de
detección de intrusiones (IDS) o los sistemas de prevención de intrusiones (IPS) más escalables.
• Los cuatro elementos de las comunicaciones seguras son la integridad de los datos, la autenticación de origen, la
confidencialidad de los datos y la no repudio de los datos.
• Las funciones hash garantizan que los datos del mensaje no han cambiado accidentalmente o
intencionadamente.
• Tres funciones hash conocidas son MD5 con resumen de 128 bits, algoritmo hash SHA y SHA-2.
• Para agregar autenticación a la garantía de integridad, utilice un código de autenticación de mensajes hash con
clave (HMAC). HMAC se calcula utilizando cualquier algoritmo criptográfico que combina una función hash
criptográfica con una clave secreta.
• Los algoritmos de cifrado simétricos que usan DES, 3DES, AES, SEAL y RC se basan en la premisa de que cada
parte comunicante conoce la clave previamente compartida.
• La confidencialidad de los datos también se puede garantizar mediante algoritmos asimétricos, como Rivest,
Shamir y Adleman (RSA) y la infraestructura de clave pública (PKI). Diffie-Hellman (DH) es un algoritmo
matemático asimétrico donde dos computadoras generan una clave secreta compartida idéntica sin haberse
comunicado antes.
Module 3: Network Security Concepts
New Terms and Commands
• Assets • Adware
• Vulnerability • Ransomware
• Threat • Spyware
• Exploit • Phishing
• Mitigation • Spear Phishing
• Risk • Something for Something
• Attack Vector • Baiting
• Denial of Service (DoS) • Tailgaiting
• Distributed Denial of Service • Shoulder Surfing
(DDoS) • Dumpster Diving
• Threat Actor • Amplification Attacks
• White Hat Hacker • Redirection Attacks
• Gray Hat Hacker • SMURF Attack
• Black Hat Hacker • Non-blind spoofing
• Vulnerability Broker • Blind spoofing
• Hacktivist • TCP SYN Flood
• Cyber Criminal • TCP Reset Attack
• Rootkit • TCP Session Hijacking
• Fuzzer
Module 3: Network Security Concepts
New Terms and Commands
• UDP Flooding
• Gratuitous ARP • Symmetric Encryption
• ARP Cache Poisoning • Asymmetric Encryption
• DNS Cache Poisoning • Public Key
• Fast Flux • Diffie-Hellman
• Double IP Flux • DES
• DNS Tunneling • 3DES
• DHCP Spoofing • Advanced Encryption Standard (AES)
• Confidentiality, Integrity, Availability • Software-Optimize Encryption Algorithm (SEAL)
(CIA) • Rivest Ciphers (RC)
• Intrusion Prevention System (IPS • Digital Signature Standard (DSS)
• Intrusion Detection System (IDS) • Digital Signature Algorithm (DSA)
• IDS/IPS Signature • Rivest, Shamir, and Adleman encryption (RSA)
• Hash Algorithms • ElGamal
• Keyed-Hash Message • Elliptical Curve Cryptography
Authentication Code (HMAC)