Please enable JavaScript.
Coggle requires JavaScript to display documents.
Conceptos de Seguridad en Redes - Coggle Diagram
Conceptos de Seguridad en Redes
Estado Actual de la Ciberseguridad
Estado Actual de los Asuntos
Activos
Es cualquier cosa de valor para la organización. Incluye personas, equipos, recursos y datos
Vulnerabilidad
Es una debilidad en un sistema, o su diseño, que podría ser explotado por una amenaza.
Amenaza
Es un peligro potencial para los activos, los datos o la red de una empresa funcionalidad de enrutamiento
Explotar
Es un mecanismo para tomar ventaja de una vulnerabilidad
Mitigación
Es la contra-medida que reduce la probabilidad o gravedad de una posible amenaza o riesgo. La seguridad de la red implica técnicas de mitigación múltiple.
Riesgo
Es la probabilidad de que una amenaza explote la vulnerabilidad de un activo, con el objetivo de afectar negativamente a una organización. Riesgo es medido utilizando la probabilidad de ocurrencia de un evento y sus consecuencias
Vectores de Ataques de Red
Es una ruta por el cual un actor de amenaza puede obtener acceso a un servidor, host o red. Los vectores de ataque se originan dentro o fuera de la red corporativa
Un usuario interno, como un empleado o un consultor, puede de manera accidental o intencional:
Robar y copiar datos confidenciales a dispositivos de almacenaje, correos electrónicos, software de mensajería y otros medios.
Comprometer servidores internos o dispositivos de infraestructura de red.
Desconecte una conexión de red crítica y provoque una interrupción de la red.
Conecte una unidad USB infectada a un sistema informático corporativo.
Pérdida de datos
Los datos de la organización pueden tener que ver con investigación y desarrollo, ventas, finanzas, recursos humanos, asuntos legales, empleados, contratistas y clientes
La pérdida de datos puede generar:
Daño de la marca / pérdida de la reputación
Pérdida de la ventaja competitiva
Pérdida de clientes
Pérdida de ingresos
Acciones legales que generen multas y sanciones civiles
Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la transgresión
Vectores de pérdida de datos
Correo electrónico / Redes sociales
Dispositivos no encriptados
Dispositivos de almacenamiento en la nube
Medios Extraíbles
Respaldo físico
Control de acceso incorrecto
Agentes de Amenazas
El pirata informático
Tipo de Hacker
Hackers de Sombrero Blanco
Son hackers éticos que utilizan sus habilidades de programación para fines buenos, éticos y legales
Hackers de Sombrero Gris
Estas son personas que cometen crímenes y que posiblemente sean poco éticas cosas, pero no para beneficio personal o para daños daños
Hackers de Sombrero Negro
Estos son delincuentes poco éticos que comprometen la computadora y la red. seguridad para beneficio personal o por razones maliciosas, como atacar redes.
Delincuentes Cibernéticos
Los cibercriminales operan en una economía clandestina donde compran, venden e intercambian grupos de herramientas de ataque, código de explotación de día cero, servicios de botnet, troyanos bancarios, registradores de teclas y mucho más.
Herramientas de los Agentes de Amenaza
Introducción a las Herramientas de Ataque
Para explotar una vulnerabilidad, un actor de amenazas debe tener una técnica o herramienta. Con los años, las herramientas de ataque se han vuelto más sofisticadas y altamente automatizadas.
Evolución de las Herramientas de Seguridad
Herramientas de Pruebas de Penetración
Decodificadores de Contraseñas
Herramientas de Hacking Inalámbrico
Escaneo de redes y
Herramientas de Hacking
Herramientas para Elaborar Paquetes de Prueba
Analizadores de protocolos de paquetes
Detectores de rootkits
Fuzzers para Buscar Vulnerabilidades
Herramientas de Informática Forense
Depuradores
Sistemas Operativos para Hacking
Herramientas de Cifrado
Herramientas para Atacar Vulnerabilidades
Escáneres de Vulnerabilidades
Tipo de Ataque
Ataque de intercepción pasiva (escuchas)
Ataque de Modificación de Datos
Ataque de suplantación de dirección & nbsp; IP
Ataques Basados en Contraseñas
Ataque por Denegación de Servicio
Ataque man-in-the-middle
Ataque de Claves Comprometidas
Ataque de analizador de protocolos
Software malicioso
Virus y Troyanos
Los virus requieren una acción humana para propagarse e infectar otros equipos. Por ejemplo, un virus puede infectar un equipo cuando la víctima abre un adjunto de correo electrónico, abre un archivo de una unidad USB o descarga un archivo.
Los virus pueden:
Modificar, dañar, eliminar archivos o borrar discos duros completos en una PC.
Causar problemas de arranque del equipo, dañar aplicaciones
Capturar y enviar información confidencial a los atacantes.
Acceder a cuentas de correo electrónico y utilizarlas para propagarse.
Permanecer inactivo hasta que el atacante lo requiera.
Tipos de virus
Virus en el sector de arranque
Virus de firmware
Virus de macros
Virus del Programa
Virus de Script
Un troyano es un programa que parece útil pero también transporta código malicioso. Los troyanos a menudo se ofrecen con programas gratuitos en línea, como los juegos de equipo. Los usuarios desprevenidos descargan e instalan el juego, junto con el caballo de Troya.
Tipo de caballo de Troya
Acceso remoto
Envío de datos
Destructivo
Apoderado
FTP
Desactivador de software de seguridad
Denegación de Servicio (DoS)
Registrador de teclas
Otros tipos de malware
Software malicioso
Adware
Secuestro de datos
Rootkit
Software espía
Gusano
Ataques de Red Habituales
Descripción General de los Ataques de Red
Las redes son susceptibles a los siguientes tipos de ataques:
Ataques de Reconocimiento
Ataques de Acceso
Ataques de DoS
Ataques de Reconocimiento
Realice una consulta de información de un objetivo
Inicie un barrido de ping de la red de destino
Inicie un análisis de puertos de las direcciones IP activas
Ejecute escáneres de vulnerabilidades
Ejecute Herramientas de Ataque
Ataques de Acceso
Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de autenticación, servicios FTP y servicios web. El propósito de este tipo de ataques es obtener acceso a cuentas web, bases de datos confidenciales y otra información confidencial.
Ataques de Contraseña
El actor de la amenaza intenta descubrir contraseñas críticas del sistema utilizando varios métodos. Los ataques de contraseña son muy comunes y pueden iniciarse utilizando una variedad de herramientas para descifrar contraseñas.
Ataques de Suplantación de Identidad
En los ataques de falsificación, el dispositivo del actor de amenaza intenta hacerse pasar por otro dispositivo falsificando datos. Los ataques comunes de suplantación de identidad incluyen suplantación de IP, suplantación de MAC y suplantación de DHCP.
Ataques de ingeniería social
Pretexto
Suplantación de identidad (phishing)
Suplantación de identidad focalizada
Correo electrónico no deseado
Algo por algo
Carnada
Simulación de identidad
Infiltración (tailgating)
Espiar por encima del hombro
Inspección de basura
Ataques de DoS y DDoS
crea algún tipo de interrupción de los servicios de red para usuarios, dispositivos o aplicaciones.
Sobrecarga de tráfico: El atacante envía una inmensa cantidad de datos a una velocidad que la red, el host o la aplicación no puede manejar. Esto hace que los tiempos de transmisión y respuesta disminuyan. También puede detener un dispositivo o servicio.
Paquetes Maliciosos Formateados: Esto sucede cuando se envía un paquete malicioso formateado a un host o una aplicación y el receptor no puede manejarlo. Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.
Vulnerabilidades y Amenazas de IP
IPv4 e IPv6
El protocolo IP no hace ningún esfuerzo para validar si la dirección IP de origen que figura en un paquete realmente proviene de ese origen. Por eso, los agentes de amenaza pueden enviar paquetes con una dirección IP de origen falsa
Técnicas de Ataque IP
Ataques ICMP
Ataques de reflejo y amplificación
Ataques de suplantación de direcciones
Ataques man-in-the-middle (MITM)
Secuestros de sesiones
Ataques ICMP
Esto les permite iniciar ataques de recopilación de información para conocer la disposición de una topología de red, detectar qué hosts están activos (dentro del alcance), identificar el sistema operativo del host (identificación del SO) y determinar el estado de un firewall
Mensajes ICMP utilizados por Hackers
Solicitud de echo ICMP y respuesta de echo
ICMP inalcanzable
Respuesta de máscara ICMP
Redireccionamientos ICMP
Descubrimiento de enrutador ICMP
Ataques de reflexión y amplificación
Amplificación: El atacante reenvía mensajes de "echo request" de ICMP a muchos hosts. Estos mensajes contienen la dirección IP de origen de la víctima
Reflexión: Todos estos objetivos responden a la dirección IP suplantada de la víctima para saturarla (sobrecargarla)
Ataques de suplantación de dirección
Los ataques de suplantación de dirección IP se producen cuando un agente de amenaza crea paquetes con información falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse pasar por otro usuario legítimo.
Suplantación non-blind (non-blind spoofing): el agente de amenaza puede ver el tráfico que se envía entre el host y el destino. El agente de amenaza usa este tipo de suplantación para inspeccionar el paquete de respuesta de la víctima.
Suplantación blind (blind spoofing): el agente de amenaza no puede ver el tráfico que se envía entre el host y el destino. Este tipo de suplantación se utiliza en ataques de DoS.
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP
URG: Campo indicador urgente significativo
ACK: Campo de reconocimiento significativo
PSH: Función de pulsación
RST: Restablecer la conexión
SYN: Sincronizar números de secuencia
FIN: No hay más datos del emisor
Servicios TCP
Entrega confiable El TCP incorpora acuses de recibo para garantizar la entrega, en lugar de confiar en los protocolos de capa superior para detectar y resolver errores
Control de flujo - el TCP implementa el control de flujo para abordar este problema. En lugar de acusar recibo de un segmento a la vez, es posible hacerlo con varios segmentos acusando recibo de un único segmento individual
Comunicación con estado -la comunicación con estado del TCP entre dos partes ocurre gracias a la comunicación tridireccional del TCP
Ataques de UDP
UDP no está protegido por ningún tipo de encriptación. Puede agregar cifrado a UDP, pero no está disponible de forma predeterminada. La falta de encriptación permite que cualquiera vea el tráfico, lo modifique y lo envíe a su destino.
Servicios IP
Vulnerabilidades de ARP
Los servicios que utiliza IP para direccionar funciones como ARP, DNS y DHCP tampoco son seguros
Los hosts transmiten una solicitud de ARP a otros hosts del segmento para determinar la dirección MAC de un host con una dirección IP específica. Todos los hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP que coincide con la de la solicitud de ARP envía una respuesta de ARP.
Ataques DNS
Los ataques DNS incluyen lo siguiente:
Ataques de resolución abiertos de DNS
Ataques sigilosos de DNS
Ataques de concurrencia de DNS
Ataques de tunelización de DNS
Vulnerabilidades de Resolución de DNS
Los ataques de envenenamiento de caché DNS
Amplificación de DNS y ataques de reflexión
Ataques de recursos disponibles de DNS
Ataques Sigilosos de DNS
Flujo Rápido
Flujo IP Doble
Algoritmos de Generación de Dominio
Ataques de DHCP
Un servidor dudoso puede proporcionar una variedad de información engañosa:
Gateway predeterminado incorrecto - el agente de amenaza proporciona un gateway no válido o la dirección IP de su host para crear un ataque de MITM. Esto puede pasar totalmente inadvertido, ya que el intruso intercepta el flujo de datos por la red.
Servidor DNS incorrecto - el agente de amenaza proporciona una dirección del servidor DNS incorrecta que dirige al usuario a un sitio web malicioso
Dirección IP incorrecta -El actor de amenazas proporciona una dirección IP no válida, una dirección IP de puerta de enlace predeterminada no válida o ambas. Luego, el agente de amenaza crea un ataque de DoS en el cliente DHCP
Mejores Prácticas en Seguridad de Redes
Confidencialidad, Integridad y Disponibilidad
Confidencialidad - Solamente individuos, entidades o procesos autorizados pueden tener acceso a información confidencial. Puede requerir el uso de algoritmos de cifrado criptográfico como AES para cifrar y descifrar datos
Integridad -se refiere a proteger los datos de modificaciones no autorizadas. Requiere el uso de algoritmos de hashing criptográficos como SHA.
Disponibilidad - Los usuarios autorizados deben tener acceso ininterrumpido a los recursos y datos importantes. Requiere implementar servicios redundantes, puertas de enlace y enlaces
Firewalls
Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes
Los firewalls resisten ataques de red.
Los firewalls son el único punto de tránsito entre las redes corporativas internas y las redes externas porque todo el tráfico circula por ellos.
Los firewalls aplican la política de control de acceso
Los firewalls en una red brindan numerosos beneficios:
Evitan la exposición de hosts, recursos y aplicaciones confidenciales a usuarios no confiables.
Limpia el flujo de protocolos, lo que evita el aprovechamiento de las fallas de protocolos.
Bloquean los datos maliciosos de servidores y clientes.
Simplifican la administración de la seguridad, ya que la mayor parte del control del acceso a redes se deriva a unos pocos firewalls de la red.
Dispositivos de Seguridad de Contenido
Cisco Email Security Appliance (ESA)
Es un dispositivo especial diseñado para monitorear el Protocolo Simple de Transferencia de Correo (SMTP). Cisco ESA se actualiza constantemente mediante datos en tiempo real de Cisco Talos, que detecta y correlaciona las amenazas con un sistema de monitoreo que utiliza una base de datos mundial. Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco minutos
Cisco Web Security Appliance (WSA)
Es una tecnología de mitigación para amenazas basadas en la web. Ayuda a las organizaciones a abordar los desafíos de asegurar y controlar el tráfico web. Cisco WSA combina protección avanzada contra malware, visibilidad y control de aplicaciones, controles de políticas de uso aceptable e informes.
Criptografía
Asegurando las comunicaciones
Autenticación de origen - para garantizar que el mensaje no sea falso y que el remitente sea el verdadero
Confidencialidad de los datos - garantiza que solamente los usuarios autorizados puedan leer el mensaje
Imposibilidad de negación de los datos -garantiza que el remitente no pueda negar ni refutar la validez de un mensaje enviado
Integridad de los Datos - Garantiza que el mensaje no se haya modificado
Cifrado Simétrico
Utiliza la misma clave para encriptar y desencriptar los datos.
Las longitudes de clave son cortas (40 bits - 256 bits).
Más rápido que la encriptación asimétrica.
Suele usarse para encriptar datos masivos, como el tráfico de la VPN.
Cifrado Asimétrico
Utiliza claves diferentes para encriptar y desencriptar los datos.
Las longitudes de clave son largas (512 bits - 4096 bits).
Exige más recursos informáticos para las tareas, por lo tanto, es más lenta que la encriptación simétrica.
Suele usarse para transacciones de datos rápidas, como HTTPS cuando accede a sus datos bancarios.
Diffie-Hellman
Es un algoritmo matemático asimétrico que permite que dos computadoras generen una clave secreta idéntica compartida sin antes haberse comunicado. El emisor y el receptor nunca intercambian realmente la nueva clave compartida. Sin embargo, dado que ambos participantes la conocen, un algoritmo de encriptación puede utilizarla para encriptar el tráfico entre los dos sistemas
Estos son tres ejemplos de casos en los que el algoritmo de DH suele utilizarse:
Se intercambian datos mediante una VPN con IPsec
Se encriptan datos en Internet usando SSL o TLS
Se intercambian datos de SSH