1. Herramientas de agentes de amenazas
1.1. El hacker ético involucra a muchos tipos diferentes de herramientas para probar y mantener la seguridad de la red y sus datos. Para validar la seguridad de una red y sus sistemas, se han desarrollado muchas herramientas de prueba para la penetración de red. Es lamentable que los hackers de sombrero negro pueden utilizar muchas de estas herramientas para su explotación.
1.1.1. Ataque de intercepción pasiva
1.1.2. Ataque de suplantación de dirección & nbsp
1.1.3. Ataques Basados en Contraseñas
1.1.4. Ataque por Denegación de Servicio
1.1.5. Ataque man-in-the-middle
1.1.6. Ataque de Claves Comprometidas
1.1.7. Ataque de analizador de protocolos
2. Malware
2.1. El primer tipo de malware informático y el más común son los virus. Los Virus y los caballos Troyanos son solo dos tipos de malware que utilizan los delincuentes. Existen muchos otros tipos de malware diseñados con fines específicos.
2.1.1. Software malicioso
2.1.2. Adware
2.1.3. Secuestro de datos
2.1.4. Rootkit
2.1.5. Software espía
2.1.6. Gusano
3. Ataques de red habituales
3.1. Las redes son susceptibles a los siguientes tipos de ataques:
3.2. Ataques de Reconocimiento: El reconocimiento se conoce como recopilación de información. Equivale a un ladrón que sondea un barrio de puerta a puerta simulando vender algo. Lo que realmente está haciendo el ladrón es buscar casas vulnerables para robar, como viviendas desocupadas, residencias con puertas o ventanas fáciles de abrir, y los hogares sin sistemas de seguridad o cámaras de seguridad.
3.3. Ataques de Acceso: Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de autenticación, servicios FTP y servicios web. El propósito de este tipo de ataques es obtener acceso a cuentas web, bases de datos confidenciales y otra información confidencial. Los actores de amenazas usan ataques de acceso en dispositivos de red y computadoras para recuperar datos, obtener acceso o escalar privilegios de acceso al estado de administrador.
3.4. Ataques de ingenieria social: es un ataque de acceso que intenta manipular a las personas para que realicen acciones o divulguen información confidencial. Algunas técnicas de ingeniería social son presenciales, mientras que otras pueden ser por teléfono o Internet. Los ingenieros sociales, a menudo, confían en la predisposición a ayudar que tienen las personas. También se aprovechan de las debilidades de los demás
3.5. Ataques de DoS: Un ataque de Denegación de Servicios (DoS, siglas en inglés) crea algún tipo de interrupción de los servicios de red para usuarios, dispositivos o aplicaciones.
4. vulnerabilidades de TCP y UDP
4.1. Las aplicaciones de red utilizan puertos TCP o UDP. Los agentes de amenaza llevan a cabo un análisis de puertos de los dispositivos objetivo para detectar qué servicios ofrecen.
4.1.1. tipos de ataques
4.1.1.1. Ataque de inundación SYN a TCP
4.1.1.2. Ataque de Restablecimiento a TCP
4.1.1.3. Usurpación de la sesión TCP
4.2. UDP no está protegido por ningún tipo de encriptación. Puede agregar cifrado a UDP, pero no está disponible de forma predeterminada. La falta de encriptación permite que cualquiera vea el tráfico, lo modifique y lo envíe a su destino. Si se cambian los datos en el tráfico, se modifica la suma de comprobación de 16 bits, pero dicha suma es opcional y no siempre se usa. Cuando se utiliza la suma de comprobación, el atacante puede crear una nueva suma basada en la nueva carga útil de los datos, y registrarla en el encabezado como una nueva suma de comprobación. El dispositivo de destino verificará que la suma de comprobación coincide con los datos sin saber que los datos se modificaron. Este tipo de ataque no es el más utilizado.
5. Mejores practicas en seguridad de redes
5.1. La mayoría de las organizaciones siguen la tríada de seguridad de la información de la CIA:
5.1.1. Confidencialidad - Solamente individuos, entidades o procesos autorizados pueden tener acceso a información confidencial. Puede requerir el uso de algoritmos de cifrado criptográfico como AES para cifrar y descifrar datos.
5.1.2. Integridad -se refiere a proteger los datos de modificaciones no autorizadas. Requiere el uso de algoritmos de hash criptográficos como SHA.
5.1.3. Disponibilidad - Los usuarios autorizados deben tener acceso ininterrumpido a los recursos y datos importantes. Requiere implementar servicios redundantes, puertas de enlace y enlaces
5.2. Para garantizar comunicaciones seguras en redes públicas y privadas, el primer objetivo es proteger los dispositivos, como routers, switches, servidores y hosts. se conoce como un enfoque en capas. Esto requiere una combinación de dispositivos y servicios de red que trabajen juntos en conjunto
5.3. Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes. Haga clic en Reproducir en la figura para ver una animación de cómo funciona un firewall.
5.4. Las tecnologías IDS e IPS comparten varias características. Ambas tecnologías se implementan como sensores. Un sensor IDS o IPS puede adoptar la forma de varios dispositivos diferentes:
5.4.1. Un router configurado con el software IPS de Cisco IOS.
5.4.2. Un dispositivo diseñado específicamente para proporcionar servicios de IDS o IPS exclusivos.
5.4.3. Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA, Adaptive Security Appliance), switch o router.
5.5. Los dispositivos de seguridad de contenido incluyen un control detallado sobre el correo electrónico y la navegación web para los usuarios de una organización.
5.5.1. Cisco ESA se actualiza constantemente mediante datos en tiempo real de Cisco Talos, que detecta y correlaciona las amenazas con un sistema de monitoreo que utiliza una base de datos mundial.
5.5.2. WSA) es una tecnología de mitigación para amenazas basadas en la web. Ayuda a las organizaciones a abordar los desafíos de asegurar y controlar el tráfico web.
6. Hackers de Sombrero Negro Estos son delincuentes poco éticos que comprometen la computadora y la red. seguridad para beneficio personal o por razones maliciosas, como atacar redes.
7. Estado Actual de la ciberseguridad
7.1. Los Cibercriminales están llevando el malware a niveles de sofisticación e impacto sin precedentes. Se están volviendo más expertos en el uso de técnicas de sigilo y evasión para ocultar su actividad. Las Transgresiones de seguridad en la red pueden interrumpir el comercio electrónico, causar la pérdida de datos comerciales, amenazar la privacidad de las personas y comprometer la integridad de la información.
7.1.1. Los vectores de ataque se originan dentro o fuera de la red corporativa. Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos se pierden con o sin intención, son robados o se filtran fuera de la organización.
7.1.1.1. Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos se pierden con o sin intención, son robados o se filtran fuera de la organización. La pérdida de datos puede generar: Daño de la marca / pérdida de la reputación Pérdida de la ventaja competitiva Pérdida de clientes Pérdida de ingresos Acciones legales que generen multas y sanciones civiles Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la transgresión
8. Agentes de amenazas
8.1. Hackers de Sombrero Blanco Son hackers éticos que utilizan sus habilidades de programación para fines buenos, éticos y legales. Los hackers de sombrero blanco pueden realizar en la red pruebas de penetración en un intento de comprometer redes y sistemas por utilizar su conocimiento de los sistemas de seguridad informática para descubrir las vulnerabilidades rojas. Las vulnerabilidades de seguridad se informan a los desarrolladores para que lo arreglen antes de que las vulnerabilidades puedan ser explotadas.
8.1.1. Se calcula que, en todo el mundo, los cibercriminales roban miles de millones de dólares de los consumidores y las empresas cada año. Los cibercriminales operan en una economía clandestina donde compran, venden e intercambian grupos de herramientas de ataque, código de explotación de día cero, servicios de botnet, troyanos bancarios, registradores de teclas y mucho más.
8.1.1.1. Los piratas informáticos patrocinados por el estado crean un código de ataque avanzado y personalizado, a menudo utilizando vulnerabilidades de software previamente no descubiertas llamadas vulnerabilidades de día cero.
8.1.1.1.1. Los grupos activistas hackers son Anónimo y el Ejército Electrónico Sirio.
8.2. Hackers de Sombrero Gris Estas son personas que cometen crímenes y que posiblemente sean poco éticas cosas, pero no para beneficio personal o para daños daños. Hackers de Sombrero Gris puede revelar una vulnerabilidad a la organización afectada después de haber comprometido su red.
9. Vulnerabilidad y amenazas ip
9.1. El protocolo IP no hace ningún esfuerzo para validar si la dirección IP de origen que figura en un paquete realmente proviene de ese origen. Por eso, los agentes de amenaza pueden enviar paquetes con una dirección IP de origen falsa.
9.1.1. tipos de ataques
9.1.1.1. Ataques ICMP:
9.1.1.1.1. os agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis. Esto les permite iniciar ataques de recopilación de información para conocer la disposición de una topología de red, detectar qué hosts están activos , identificar el sistema operativo del host y determinar el estado de un firewall
9.1.1.1.2. Ataques de reflexión y amplificación: usan técnicas de amplificación y reflejo para crear ataques de DoS.
9.1.1.1.3. Ataques de suplantación de dirección: Los ataques de suplantación de dirección IP se producen cuando un agente de amenaza crea paquetes con información falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse pasar por otro usuario legítimo. Entonces, el atacante puede obtener acceso a datos a los que no podría acceder de otro modo, o pasar por alto configuraciones de seguridad. La suplantación de dirección IP suele formar parte de otro ataque denominado ataque Smurf.
10. Servicios ip
10.1. DNS coincide con los nombres de recursos, como www.cisco.com, con la dirección de red numérica necesaria, como la dirección IPv4 o IPv6. Incluye el formato para las consultas, respuestas y datos, y usa registros de recursos (RR) para identificar el tipo de respuesta de DNS.
10.1.1. Los ataques DNS incluyen lo siguiente:
10.1.2. Ataques de resolución abiertos de DNS
10.1.3. Ataques sigilosos de DNS
10.1.4. Ataques de concurrencia de DNS
10.1.5. Ataques de tunelización de DNS
10.2. Un Ataque de Suplantación de DHCP Se produce cuando un servidor DHCP dudoso se conecta a la red y establece parámetros de configuración IP falsos a los clientes legítimos. Un servidor dudoso puede proporcionar una variedad de información engañosa:
10.3. Gateway predeterminado incorrecto - el agente de amenaza proporciona un gateway no válido o la dirección IP de su host para crear un ataque de MITM. Esto puede pasar totalmente inadvertido, ya que el intruso intercepta el flujo de datos por la red.
10.4. Servidor DNS incorrecto : el agente de amenaza proporciona una dirección del servidor DNS incorrecta que dirige al usuario a un sitio web malicioso.
10.5. Dirección IP incorrecta -El actor de amenazas proporciona una dirección IP no válida, una dirección IP de puerta de enlace predeterminada no válida o ambas. Luego, el agente de amenaza crea un ataque de DoS en el cliente DHCP.
11. Criptografia
11.1. Las organizaciones deben proporcionar soporte para proteger los datos a medida que viajan a través de enlaces. Esto puede incluir el tráfico interno, pero la mayor preocupación es proteger los datos que viajan fuera de la organización a sitios de sucursales, teletrabajadores y partners.
11.2. Las funciones de hash se utilizan para garantizar la integridad de un mensaje. Garantizan que los datos del mensaje no hayan cambiado accidentalmente o intencionalmente.
11.3. Existen tres funciones de hash muy conocidas:
11.3.1. MD5 con una síntesis de 128 bits
11.3.2. Algoritmo de Hashing de SHA
11.3.3. SHA-2
11.4. Para agregar autenticación al control de integridad, se usa un código de autenticación de mensajes hash con clave (HMAC). Los HMAC utilizan una clave secreta adicional como entrada a la función de hash.
11.5. Hay dos clases de encriptación utilizadas para brindar confidencialidad de los datos. Estas dos clases se diferencian en cómo utilizan las claves.
11.5.1. Los algoritmos simétricos utilizan la misma clave precompartida para encriptar y desencriptar datos. Antes de que ocurra cualquier comunicación encriptada, el emisor y el receptor conocen la clave precompartida, también llamada clave secreta
11.5.2. Los algoritmos asimétricos, también llamados algoritmos de claves públicas, están diseñados para que la clave de encriptación y la de desencriptación sean diferentes. utilizan una clave pública y una privada. Ambas claves son capaces de encriptar, pero se requiere la clave complementaria para la desencriptación. El proceso también es reversible. Los datos encriptados con la clave privada requieren la clave pública para desencriptarse. Los algoritmos asimétricos logran confidencialidad, autenticación e integridad mediante el uso de este proceso.