UNIVERSIDAD POLITÉCNICA DE VALENCIA

CENTRO DE FORMACIÓN PERMANENTE

DIPLOMA DE ESPECIALIZACIÓN EN INTELIGENCIA DE SEGURIDAD

Memorias Fin del Master

Mario Alberto Acosta Lerma

Junio, 2018

1
Mario Alberto Acosta Lerma

Valencia – Spain

E-mail: [Link]@[Link]

Permission is granted to copy, distribute and/or modify this document under the terms of the
GNU Free Documentation License, Version 1.3 or any later version published by the Free
Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled "GNU Free Documentation
License". Se permite la copia, distribución y/o modificación de este documento bajo los
términos de la Licencia de Documentación Libre GNU, versión 1.3 o cualquier versión posterior
publicada por la Free Software Foundation; sin secciones invariantes. Una copia de esta licencia
está incluida en el apéndice titulado «GNU Free Documentation License». Muchos de los
nombres usados por las compañías para diferenciar sus productos y servicios son reclamados
como marcas registradas. Allí donde estos nombres aparezcan en este documento, y cuando el
autor haya sido informado de esas marcas registradas, los nombres estarán escritos en
mayúsculas o como nombres propios.

2
Resumen
La presente memoria resume los contenidos revisados durante el diploma de especialización
en inteligencia de seguridad, desarrollando los temas desde los fundamentos en conocimientos
de redes e infraestructura, así como la aplicación de tecnologías como firewalls, reglas de
forward y NAT, reglas de encriptación y autenticación para el aseguramiento de la
infraestructura y la información transportada.

Ya definidos los temas referentes a la infraestructura de redes y la seguridad que se puede

aplicar en las mismas se abordará los conceptos de inteligencia y seguridad aplicadas al
ambiente cibernético, los roles, riesgos y participantes que se mueven en este ambiente en la
actualidad.

Haciendo al final una relación entre los potenciales riesgos en ciberseguridad y el conjunto de
reglas de infraestructuras dirigidas a su mitigación.

3
Abstract
The present memory abstract the reviewed contains a review of the diploma of specialization
in security intelligence, developing the themes from fundaments in network and structure, like
as the use of technologies like firewalls, forward and NAT rules, encryption and authentication
rules to secure infrastructure and the transported data.

Defined the network infrastructure referred themes and his applicable security, we will aboard
the intelligence and security concepts applicable to the cybernetic environment, the roles, risks
and participants than unwind in this environment actually.

Doing at last a relationship between the potential risk in cybersecurity, and the infrastructure
rules group addressed to his mitigation.

4
Agradecimientos
Quisiera agradecer a mis padres, compañeros y maestros que siempre me apoyan e impulsan a
tomar las decisiones que me hacen mejor persona y mejor profesional en el dìa a dìa.

También quisiera agradecer a mis maestros Jorge Enrique, Oscar, Manuel y Alfonso, quienes
tuvieron la paciencia de llevar mis pasos por el conocimiento y explicar con el ejemplo los
detalles que hacen parte del diario vivir de las redes.

Agradecer de manera especial a María Belén y Manuel Steve, quienes hicieron todos los
esfuerzos para llevar a la realidad este proyecto de conocimiento, que es clave para el nuevo
mercado que abre la seguridad en la informática a nivel nacional e internacional.

5
Contenido
Resumen 3

Abstract 4

Agradecimientos 5

Conceptos Routing y Redes 8

Descripción de los componentes de red 8
Gráfico 1. CCNA V.7 Componentes de una Red -dispositivos 8
Gráfico 2. CCNA V.7 Componentes de una Red -Medios 8
Tipos de Redes 9
Tipos de Medios de conexión 9
Topologías y Diseños de Red: 9
Gráfico 3. CCNA V.7 - Redes tradicionales 10
Gráfico 4. CCNA V.7 – Redes convergentes 11

Capas de Red y protocolos 11

Modelo OSI 11
Gráfico 5. CCNA V.7 – Capas Modelo OSI 11
Modelo TCP/IP 12
Gráfico 6. CCNAV.7 - comparativa entre modelo OSI y TCP/IP 12
Protocolos TCP/IP 13
Gráfico 7. CCNA V.7 – Protocolos comunes distribuidos en TCP/IP 14

Configuración estática y dinámica 15

Configuración Básica Router 15
Nombramiento, securización y persistencia de configuraciones en el dispositivo: 15
Configuración estática de rutas 15
Configuración dinámica de rutas (RIP) 15
Configuración Básica Switch 16
Configuración Enrutamiento Switch 16

Tunneling y VLAN 17

Protocolos de mejor ruta, redundancia y alta disponibilidad 19

Conexión Remota y acceso WAN 21

Implementación ppp 21
Implementación ppp multienlace 21

6
 Implementación pppoE 21

Conceptos de Inteligencia 22
Tabla 1. Comparativa entre ataque clásico y APT 22
Ciclo de vida un APT 23
Gestión de Incidentes 24
Ciclo de vida de la Respuesta a Incidentes 25
Gráfico 8. CCN-STIC-403 - Ciclo de vida de la Respuesta a Ciber Incidentes 25

Aseguramiento de Infraestructuras con PaloAlto 26

Gráfico 9. [Link] - secuencia de decisión por tipo de política palo alto. 26
Gráfico 10. [Link] - versión simplificada del flujo lógico 26

Aseguramiento de Infraestructuras con Cisco 28

Securización de Routers 28
Registro de eventos en Routers 28

Fuentes y Referencias 30

7
Conceptos Routing y Redes
Descripción de los componentes de red
La estructura de la red se compone de tres tipos e elementos que intervienen en el envío de los
datos por la red desde un punto de inicio a un punto final, estos tipos se conocerán como:
DISPOSITIVOS, MEDIOS Y SERVICIOS.

Los Dispositivos son elementos físicos (hardware) que son utilizados para la generación y
recepciòn de la información y las señales que representan los datos que se transportan por la
red.

Gráfico 1. CCNA V.7 Componentes de una Red -dispositivos

Los medios son elementos físicos (hardware) que son utilizados para el transporte de las
señales que representan los datos entre dispositivos.

Gráfico 2. CCNA V.7 Componentes de una Red -Medios

Los servicios son los elementos intangibles (software) que realizan actividades con los datos y
se encargan de solicitar su transporte a través de la red.

8
Tipos de Redes
Red de tipo Local - LAN: una red que permite acceso de dispositivos en un área geográfica
pequeña.

Red de Área Amplia – WAN: una red que permite el acceso a dispositivos en un área geográfica
más grande que una LAN.

LAN Inalámbrica – WLAN: una red que permite el acceso de dispositivos en un área pequeña
con el uso de tecnologías inalámbricas.

Red de área de almacenamiento – SAN: redes dirigidas al almacenamiento y extracción de

archivos.

Intranet: conjunto de dispositivos que se configuran dentro del alcance privado de la

organización.

Extranet: conjunto de dispositivos que se configuran por fuera del alcance privado de la
organización.

Internet: conjunto de dispositivos de acceso público que interconectan redes alrededor del
mundo.

Tipos de Medios de conexión

Cable: servicio de transmisión de datos que utiliza la red de cables de televisión y su capacidad
de transmisión de señales eléctricas para transportar señales de datos.

DSL: servicio de transmisión de datos que utiliza la red de telefonía fija, y su capacidad de
transmisión de señales audibles para transportar señales de datos.

Red Celular: servicio de transmisión de datos que utiliza la red de telefónica celular y su
capacidad de transmisión de señales radiales inalámbricas para transportar señales de datos.

Satelital: servicio de transmisión de datos que utiliza las conexiones a satélites y su capacidad
de transmisión de señales radiales inalámbricas para transportar señales de datos.

Telefonía por conexión conmutada: al igual que el DSL utiliza la red de telefonía fija, pero a
diferencia de DSL, esta línea no es dedicada y tiene una capacidad menor basada en el modem
que se instale.

Fibra óptica: servicio de transmisión de datos que utiliza una red de señales lumínicas para
transportar datos entre dispositivos.

Líneas arrendadas dedicadas: servicio de transmisión privado, en los que se genera una
conexión punto a punto que realiza el transporte de señales que se traducen en los puntos
como datos por dispositivos especializados definidos por el proveedor de servicios.

Topologías y Diseños de Red:

Redes tradicionales: los diseños donde las redes de cada servicio se montaban de manera a
aparte.

9
Gráfico 3. CCNA V.7 - Redes tradicionales
Redes convergentes: diseños donde las redes de diversos servicios se conectan por medios
comunes.

10
Gráfico 4. CCNA V.7 – Redes convergentes

Capas de Red y protocolos

Modelo OSI
El modelo OSI (Open System Interconnection) representa una división por capas del proceso de
interconexión entre dispositivos, cada capa representa un conjunto de funcionalidades y
agrupan uno o varios protocolos para negociar su comportamiento o la interconexión con otros
dispositivos en la misma capa:

Gráfico 5. CCNA V.7 – Capas Modelo OSI

Capa Física: Agrupa los medios que transportan las señales que representan los datos a través
de los medios de red.

Capa de Enlace de Datos: realiza el direccionamiento físico,la detección de errores, la

distribución de tramas y del control del flujo.

Capa de Red: administra el direccionamiento, la encapsulación y el enrutamiento de los

paquetes entre dispositivos

Capa de Transporte: Segmenta los datos y los empaca en paquetes,

11
Capa de Sesión: administra las sesiones de comunicación temporal entre dos aplicaciones y de
transmitir datos entre ellas.

Capa de Presentación: representa los datos de manera coherente.

Capa de Aplicación: permite a la aplicacións y programas de usuarios finales interactuar con los
servicios posteriores.

Modelo TCP/IP
El modelo TCP/IP se agrupa en 4 capas que se pueden comparar con las del modelo OSI de la
siguiente manera:

Capa de Acceso a la Red: contiene las funcionalidades del acceso al medio, agrupa las
funcionalidades de la capa física y de enlace del modelo OSI.

Capa Internet: encargada del direccionamiento entre dispositivos, agrupa la capa de Red del
modelo OSI

Capa Transporte: al igual que la capa de transporte del modelo OSI, segmenta los datos y los
empaca en paquetes.

Capa Aplicación: Administra las sesiones entre las aplicaciones, así como su representación y
conectividad con aplicaciones de usuario final, agrupa las capas de sesión, presentación y
aplicación del Modelo OSI

Gráfico 6. CCNAV.7 - comparativa entre modelo OSI y TCP/IP

12
Protocolos TCP/IP
ARP: (Address Resolution Protocol) Protocolo de Resolución de Direcciones, es el protocolo
encargado de encontrar una dirección MAC y asociarla a una interfaz de salida.

PPP: (Point to point protocol) Protocolo punto a punto, proporciona un medio de

encapsulamiento para enviar paquetes por un medio serial.

Ethernet: Define las reglas para conectar y señalizar estándares de la capa de acceso a la red.

IP: (Internet Protocol) protocolo no orientado a conexión, que transmite a través de redes
interconectadas.

NAT: (Network address translation) traduce las direcciones IP entre redes privadas y publicas.

ICMP: (Internet Control Message Protocol) intercambia mensajes entre host de origen y destino
para manejo de errores.

OSPF: (Open Shortest Path First) Primer camino más corto, protocolo que utiliza algoritmos
para definir la ruta más corta entre dos nodos basado en parámetros como el ancho de banda y
la congestión de los enlaces.

EIGRP: (Enhanced Interior Gateway Routing Protocol) protocolo de enrutamiento de puerta de

enlace, propietario Cisco, su algoritmo incluye el ancho de banda, el retardo y la confiabilidad.

UDP: (User Datagram Protocol) protocolo de datagramas de usuario, permite el envío de

tramas sin espera de respuesta ni control de flujo.

TCP: (Transmission Control Protocol) Protocolo de control de transmisión, permite el envío de

tramas con

DNS: (Domain Name System) Sistema de nombre de dominio, permite la asociación de

nombres de dominio con direcciones ip públicas o privadas (puerto 53).

BOOTP: (Bootstrap Protocol) protocolo de arranque, permite a los dispositivos solicitar de

manera automática la configuración de su ip (puertos 67,68).

DHCP: (Dynamic Host Configuration Protocol), protocolo de configuración dinámica de host,

administra uno o más rangos de direcciones ip y las asigna a los dispositivos conectados a la red
(puerto 67,68).

SMTP, POP, IMAP: Servicios de intercambio de correo electrónico (puertos 25,110,143).

FTP: (File Transfer Protocol) Protocolo de transferencia de archivos, permite la transferencia de

archivos entre dispositivos conectados a una red TCP con el uso de conexiones securisables
(puertos 20,21).

TFTP: (Trivial file transfer Protocol) protocolo de transferencia de archivos trivial, a diferencia
del FTP, este se permite en redes UDP pues no solicita verificación de paquetes, no permite la
securización de la conexión (puerto 69).

HTTP: (Hypertext Transfer Protocol), protocolo de transferencia de hipertexto, permite la

transferencia de contenidos de imágenes, textos, sonidos y otro tipo de archivos (puertos 80,
8080).

13
HTTPS: (Hypertext Transport Protocol Secure) protocolo de transferencia de hipertexto seguro,
adicional a las funcionalidades de HTTP, Https permite el cifrado de los contenidos y la
autenticación del sitio web.

Gráfico 7. CCNA V.7 – Protocolos comunes distribuidos en TCP/IP

14
Configuración estática y dinámica
Configuración Básica Router
Acceso a modos de ejecución:
Acceso a modo EXEC: router>enable
Acceso a modo EXEC privilegiado: router# configure terminal
Acceso a línea de consola: router(config)# line console 0
Acceso a línea de consola remota: router(config)# line vty 0 4
Acceso a interfaz física: router(config)# interface gigabyte0/0

Nombramiento, securización y persistencia de configuraciones en el dispositivo:

nombramiento: router(config)# hostname R1
mensaje de bienvenida: router(config)# banner motd #yourMessage#
asignación de contraseña enable: router(config)# enable secret y0urP4ssw0rd
asignación de contraseña consola (local o remota):
router(config-line)# password y0urP4ssw0rd
router(config-line)# login
router(config-line)# exit
encriptación de contraseñas: router(config)# service password-encryption
persistencia de los cambios realizados: router# copy running-config startup-config

Asignación de direccion IP a interfaces de salida

router(config)# interface gigabyte0/0
router(config-if)# description YourNameInterface
router(config-if)# ip address [Link] [Link]
router(config-if)# ipv6 address [Link]/64
router(config-if)# no shutdown

Configuración estática de rutas

Asignación de Rutas estáticas
router(config)# ip route [Link] [Link] serial0/0/0
router(config)# ip route [Link] [Link] [Link]
router(config)# ip route [Link]/64 serial0/0/0
router(config)# ip route [Link]/64 [Link]

Configuración dinámica de rutas (RIP)

RIP: (Routing Information Protocol), Protocolo de Información de Encaminamiento, protocolo
que se utiliza para intercambiar información de tablas de redes entre los router.

Configuración del protocolo RIP:

router(config)# router rip
router(config-router)# version 2
router(config-router)# no auto-sumary

Cambio a modo pasivo (solo escucha)

router(config)# router rip
router(config-router)# pasive-interface g0/0/0

15
Asignación de Redes descubiertas en el router
router(config)# router rip
router(config-router)# router network [Link]

Configuración Básica Switch

Acceso a modos de ejecución:
Acceso a modo EXEC: switch>enable
Acceso a modo EXEC privilegiado: switch# configure terminal
Acceso a línea de consola: switch(config)# line console 0
Acceso a línea de consola remota: switch(config)# line vty 0 4
Acceso a interfaz física: switch(config)# interface gigabyte0/0

Configuración de interfaces y comportamiento;

Inhabilitar configurar comunicación bidireccional o unidireccional,
velocidad y coporte de cable cruzado y directo:
switch(config)# interface F0/1
switch(config-if)# duplex full
switch(config-if)# speed 100
switch(config-if)# mdix auto

Configuración Enrutamiento Switch

Asignación de Gateway del switch (ruta por defecto para ip desconocida)
switch(config)# ip default gateway [Link]

16
Tunneling y VLAN
Conceptos básicos
VLAN (red de área local virtual), es la implementación de un segmento de red de manera lógica
independiente de la estructura física, que permite asignar un rango de ip de una red lan entre
diferentes dispositivos de switching en diferentes puntos interconectados en una red.

Tunneling: técnica de encapsulamiento que toma los paquetes de una red, los empaqueta para
enviarlos en otra red y desempaqueta para que continúen su actividad normal del otro punto
del tunnel, implementado para realizar conexiones VLAN para transportar los paquetes entre
las redes físicas que componen la red lógica.

Enlace troncal: conexión entre dispositivos que administra la conectividad de más de una VLAN

archivo [Link]: archivo en la memoria flash que contiene las configuraciones de vlan
configuradas en el dispositivo.

Implementación de VLAN
Creación, nombramiento, asignación de ip, asignación a interfaces
switch(config)# vlan vlan1
switch(config-vlan)# name YourVlanName
switch(config-vlan)# ip address [Link] [Link]
switch(config)# interface F0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan1

Cuando la interfaz se va a compartir entre varias vlan se configura el modo trunk, y se asgina la
vlan nativa y las invitadas aceptadas.

switch(config-if)# switchport mode trunk

switch(config-if)# switchport trunk native vlan 1
switch(config-if)# switchport trunk allowed vlan 2,3,4

configuración dinámica de VLAN

VTP (VLAN Trunking Protocol), es un protocolo propietario Cisco que permite que un switch
configurado como servidor, sincronice la información de las VLAN creadas en cada interface
cliente.

Configuración:
switch(config)# vtp mode server
switch(config)# vtp domain YourDomainName
switch(config)# vtp password Y0urPAssword

DTP (Dynamic Trunking Protocol), protocolo propietario Cisco que permite que los switch
negocien el modo trunk o access de manera automatica.

Configuración:
switch(config)# switchport mode trunk
switch(config)# switchport mode dynamic auto

17
switch(config)# switchport mode dynamic desirable
switch(config)# switchport nonegotiate

18
Protocolos de mejor ruta, redundancia y alta disponibilidad
Implementación de EIGRP
EIGRP(Enhanced Interior Gateway Routing Protocol), Protocolo de Enrutamiento de
Puerta de enlace Interior Mejorado, protocolo propietario de Cisco, que establece el valor
de mejor ruta elegible, se permite definir interfaces pasivas para evitar la redundancia
infinita.

Configurar:
router(config)# router eigrp 1
router(config-router)# eigrp router-id [Link]
router(config-router)# network [Link] [Link]
router(config-router)# passive-interface g0/1

Implementación de OSPF
OSPF(Open Shortest Path First) Primer Camino Más Corto, algoritmo que establece la
mejor ruta entre dos dispositivo interconectado

Configurar area, :
router(config)# router ospf 10
router(config-router)# router-id [Link]
router(config-router)# network [Link] [Link] area 0
router(config-router)# passive-interface G0/1
router# clear ip ospf process

Implementación de Redundancia y HA con STP

STP (Spanning Tree Protocol) protocolo de expansión de árbol, gestiona la presencia de
bucles en la topología de red.

Configurar area, :
switch(config)# interface s0/0/0
switch(config-if)# spanning-tree portfast
switch(config-if)# spanning-tree bddguard enable

Balanceo de carga en diferentes bucles:

switch(config)# spanning-tree vlan 20 root primary

switch(config)# spanning-tree vlan 20 root secondary
switch(config)# spanning-tree vlan 20 priority 4096

Implementación de Redundancia y HA con Etherchannel

Etherchannel es una tecnología propietaria de Cisco, que combina varios canales físicos
en un solo canal lógico, permitiendo el transporte de tramas a mayor capacidad sumando
la capacidad de los medios agrupados como uno solo.

19
Configurar area, :
switch(config)# interface range F0/1 - 2
switch(config-if-range)# channel group 1 mode active
switch(config-if-range)# interface portchannel 1
switch(config-if)# switchport mode trunk
switch(config-if)# switchport trunk allowed vlan 1,2,20

20
Conexión Remota y acceso WAN

Implementación ppp
ppp (Point-to-Point Protocol), protocolo de punto a punto, establece las configuraciones de una
conexión directa entre dos dispositivos en la que no existen dispositivos intermedios.

Configurar ppp sobre interfaz, activación, compresión, autenticación :

router(config)# interface serial0/0/1
router(config-if)# encapsulation ppp
router(config-if)# compress predictor
router(config-if)# ppp quality 50
router(config-if)# ppp authentication chap pap
router(config-if)# ppp sent-username Us3rN4me password Y0urP4ssw0rd

Implementación ppp multienlace

ppp Multienlace, es una implementación del protocolo pp que permite crear un solo link lógico
compuesto de varios link físicos iguales.

Configurar ppp multienlace, creación, aplicación a las interfaces físicas:

router(config)# interface Multilink 1

router(config-if)# ip address [Link] [Link]
router(config-if)# ppp multilink
router(config-if)# ppp multilink group 1

router(config)# interface s0/01

router(config-if)# no ip address
router(config-if)# ppp multilink
router(config-if)# ppp multilink group 1

Implementación pppoE
pppoE (ppp over Ethernet), punto a punto sobre ethernet, esta implementación extiende el
acceso de una red lan a través de un medio ppp.

Creación de la interface, autenticación, priorización y asignación:

router(config)# interface dialer 2
router(config-if)# ip address negociated
router(config-if)# ppp chap hostname NameYourHost
router(config-if)# ppp chap password Y0urP4sw0rd
router(config-if)# ip mtu 1492
router(config-if)# dialer pool 1

router(config)# interface G0/1

router(config-if)# no ip address
router(config-if)# ppoe enable
router(config-if)# ppoe-client dial-pool-number 1

21
Conceptos de Inteligencia

Ciclo de inteligencia
Inteligencia: resultante del análisis de información, que es utilizado para la toma de decisiones.

Pasos del ciclo:

Planificación: definir objetivos y medios para lograr la adquisición de la información

Adquisición - Recopilación: Medios humanos(HUMINT), medios tecnológicos(TECHINT),
medios de señales (SIGINT), fuentes abiertas (OSINT).
Procesamiento: evaluación de la información (es independiente al medio de Adquisición).
Diseminación: entrega a los interesados de los resultados del procesamiento.

Ciberinteligencia: aplicación de las técnicas de inteligencia en el ambiente cibernético

Computer Network Operations - CNO

CNO operaciones en redes computacionales: es un término militar que define las acciones
deliberadas que se realizan para tomar ventaja de la información o para generar desventajas
con la misma.

a nivel militar se definen 3 tipos de CNO, Ataque (CNA-Red Team), Defensa (CND-Blue Team) y
Explotación (CNE)

Advanced Persistent Threat - APT

las APT son la capacidad de un miembro, organización o estado de mantener persistentemente
un amenaza sobre otro miembro, organización u estado, que puede buscar como objetivo el
Beneficio económico (ciberdelito), Reivindicación social (ciberactivismo), Daños o provocar
terror (ciberterrorismo), Robo de información (ciberespionaje) o Superioridad en el
ciberespacio (ciberguerra).

Ataque clásico APT

Direccionalidad Desde afuera desde adentro

Atacante Aislados, o grupos grupos organizados con

desorganizados objetivos claros

Ataques conocidos, poco sigilosos y sigilosos, desconocidos y

aislados persistentes

Tabla 1. Comparativa entre ataque clásico y APT

22
Ciclo de vida un APT
Reconocimiento: obtención de la información necesaria del objetivo para orquestar el ataque.
puede generarse por HUMINT, OSINT, TECHINT o SIGINT, es de tipo activo si tiene interacción
con el objetivo y pasiva si no.

Intrusión: mecanismos para la entrega del malware llamados dropper, puede que el dropper no
contenga el malware pero si los mecanismos para insertarlo en el ambiente interno, entre los
tipos conocidos esta:

Spear Fishing: estafa de correo electrónico, dirigida a obtener datos de autenticación.

Watering Hole: el malware se inserta en sitios de interés del objetivo y se descarga al

visualizar el contenido.

Persistencia: el atacante tiene medios en el ambiente interno para obtener lo que busca y
tratará de persistir el mayor tiempo posible.

movimiento lateral: ir entre dispositivos del mismo ambiente para adquirir información o para
garantizar la persistencia.

movimiento externo: interactuar con elementos externos para entregar la información

colectada o para recibir instrucciones.

23
Gestión de Incidentes
Incidentes: son un conjunto de eventos no planeados que tienen un probabilidad significativa
de comprometer las operaciones del negocio.

Ejemplos de incidentes de seguridad: Accesos no autorizados, intrusiones, malware, virus,

ataques de denegación de servicio, ataques a los contenidos, defacement(deformación de la
información), fallos en sistemas o maquinaria.

La motivación del atacante que genera el incidente puede ser: Robo de información
(ciberespionaje), beneficio económico (ciberdelito, provocación de daños (ciberterrorismo),
Reivindicación (ciberactivismo) o Superioridad en ciberespacio (ciberguerra).

Clasificación: Código dañino, Disponibilidad, Obtención de información, Intrusiones,

Compromiso de información, Fraude, Contenido abusivo, Política de seguridad, Otros.
(CCN-STIC 817)

Código dañino: Virus, Gusanos, Troyanos, Spyware, Rootkit, Ransomware, Remote

Access Tools (RAT)
Disponibilidad: Denegación del Servicio DoS / DDoS, Fallo (HW/SW), Error humano,
Sabotaje

Obtención de Información: Identificación de activos y vulnerabilidades (escaneo),

Sniffing, Ingeniería social, Phishing.

Intrusiones: Compromiso de cuenta de usuario, Defacement, Cross-Site Scripting (XSS),

Cross-Site Request Forgery (CSRF), Inyección SQL, Spear Phishing,
Pharming, Ataque de fuerza bruta, Inyección de Ficheros Remota,
Explotación de vulnerabilidad SW/HW, Acceso no autorizado a red

Compromiso de información: Acceso no autorizado a información, Modificación y

borrado no autorizada de información, Publicación no autorizada,
Exfiltración.

Fraude: Suplantación / Spoofing, Uso de recursos no autorizado, Uso ilegítimo de

credenciales, Violaciones de derechos de propiedad intelectual o
industrial.

Contenido abusivo: Spam (Correo Basura), Acoso/extorsión/ mensajes ofensivos

Pederastia/ racismo/ apología de la violencia/delito, etc.

Política de seguridad: Abuso de privilegios por usuarios, Acceso a servicios no

autorizados, Sistema desactualizado

24
Ciclo de vida de la Respuesta a Incidentes

Gráfico 8. CCN-STIC-403 - Ciclo de vida de la Respuesta a Ciber Incidentes

Preparación: definición del equipo de respuesta, herramientas de análisis y monitoreo a

implementar, definición de políticas de seguridad.

Detección, Análisis y notificación: implementación de las herramientas de análisis y monitoreo

definidas durante la preparación, notificación de los resultados a los entes correspondientes
con los canales apropiados.

Contención, Erradicación y Recuperación: procedimientos para mitigar el impacto en primera

medida, su posterior eliminación de los sistemas afectados tratando de devolver el sistema a su
funcionamiento normal.

Actividad Post-Ciberincidente: entrega de informes del equipo sobre el análisis de las causas
del incidente, los costos del incidente en términos de información o impactos al proceso,
planes y acciones de mejora para prevenir repeticiones del incidente.

25
Aseguramiento de Infraestructuras con PaloAlto
PaloAlto Networks produce una serie de tecnologías cortafuegos dirigidas a la protección de
infraestructuras de red físicas y de aplicaciones en la nube, estos cortafuegos de siguiente
generación permiten la configuración de reglas y políticas para la prevención de tráfico no
deseado a través de diferentes herramientas.

este proceso se realiza a través de la inspección de los paquetes en tránsito siguiendo el flujo
de decisión que se muestra a continuación para definir si el paquete continúa o no.

Gráfico 9. [Link] - secuencia de decisión por tipo de política palo alto.

este flujo de decisión se toma en cada conjunto de reglas evaluando en las siguientes
agrupaciones

Gráfico 10. [Link] - versión simplificada del flujo lógico

26
Políticas de origen: (ip, área origen - id de usuario), evalúa si la ip, la zona y el puerto de origen
se permiten, así como el usuario que origina la petición.

Políticas de destino: (ip, área de destino), evalúa si la ip, la zona y el puerto de destino se
permiten.

Políticas de puertos: evalúa si los puertos de origen y destino están permitidos.

Políticas de encriptación: verifica si hay encriptación y los desencripta.

Políticas de aplicación: verifica el tipo de aplicación que utiliza el contenido y si está permitida
por las políticas.

Políticas de seguridad: se evalúa a través de los filtros de antivirus, bloqueo de archivos, listas
de aplicación no permitidas configuradas en la política de seguridad.

27
Aseguramiento de Infraestructuras con Cisco
Securización de Routers
las principales tareas a tener en cuenta son:

● restringir el acceso al dispositivo

● registrar todos los accesos
● autenticar los accesos
● autorizar acciones por niveles
● mostrar avisos legales
● asegurar la confiabilidad
para restringir el acceso al dispositivo se debe realizar la asignación de contraseñas en los
diferentes puntos de acceso (consola, telnet, ssh), junto a su encriptación.

implementación de mejoras al login bloqueo por intentos, rango de ip origen aceptados, delay
ante fallos del login, :

router(config)# login block for 120 attempts 3 within 60

router(config)# login quiet-mode access-list YourACLName
router(config)# login delay 120

para registrar todos los accesos, se implementan los siguientes comandos:

router(config)# login on-success log

router(config)# login on-failure log

Para autenticar los accesos se implenta la conexión por SSH:

router(config)# ip domain-name [Link]
router(config)# ip ssh version 2
router(config)# username Y0urUs3r algorithm-type scrypt secret Y0urP4ssw0rd
router(config)# line vty 0 4
router(config-line)# login local
router(config-line)# transport input ssh

Para autorizar acciones por niveles, se habilitan los modos privilegiados asignando el nivel a
una acción o comando y luego asignando los usuarios que la pueden realizar.

router(config)# privilege exec level 5 ping

router(config)# username Y0urUs3r privilege 5 algorithm-type scrypt secret Y0urP4ss

También se puede asignar estos privilegios a roles e incluso asignar roles que contengan roles,
para ello se debe habilitar el servicio aaa, crear la vista y añadir los comandos que otorguen:

router(config)# aaa new-model

router(config)# parser view Y0urV13wN4m3
router(config)# secret Y0urP4ssw0rd
router(config)# commands exec include show

Registro de eventos en Routers

Para llevar un registro continuo de eventos que no disminuya la capacidad operativa del router
se debe configurar un registro de eventos en un servicio diferente al router mismo.

28
se debe configurar el host que recibirá el log, el tipo de logs a enviar (información y errores), la
interfaz que originara el log y la activación del log configurado:

router(config)# logging host [Link]

router(config)# logging trap informational
router(config)# logging trap errors
router(config)# logging source-interface g0/1
router(config)# logging on

29
Fuentes y Referencias

CCNV V7. Cisco Networking Academy (2018), Mi Netacad, Recuperado de

[Link]

CCN-STIC-403. Centro Criptològico Nacional (2018), Defensa frente a las ciberamenazas, 400
guìas generales, Recuperado de
[Link]

[Link]. Palo Alto Networks (2018), Cybersecurity Academy, Recuperado de

[Link]

30