Técnicas de mitigación de ataques de redes:

Seguridad al server: restringe acceso solo a puertos asociados a los servicios y aplicaciones
accesibles a usuarios autorizados.
Al denegar establecimiento de sesiones o solo permitir las de servicios específicos.
O solo permitir trafico como parte de sesiones ya establecidas.
Un host puede pretender ser un router y atacar la red por eso use el Passive-interface y la
autenticación del protocolo para validar los orígenes.
Por puerto que el sw solo aprenda tres MAC x sticky.
Deje la vlan 1 default sin puertos asignados
No haga transacciones vía inalámbrica x su laptop.
Ping sin fin hace que router se caiga y superusuario cualquiera entra.
Cuando actualiza router hágalo por cable.
DCNY: no guarda la seguridad cambie el router.
Factores que pueden distorsionar los mensajes: factores externos e internos.
Se implementan innovaciones en el hardware y el software.

Configure los modos dúplex y de speed manualmente.

Use frecuentes key evitar exposición de una password en EIGRP.

Seguridad física: acceso a los dispositivos.

Problemas alambre cobre: conducir electricidad de forma no deseada el personal y equipo sujetos
a peligros por electricidad un disp ’defectuoso conducir la corriente al chasis de otros disp’ o dar
niveles de voltaje no deseados cuando se conectan disp’ q incluyen fuentes de energía con
diferentes potenciales de conexión a tierra ósea para conectar redes en diferentes edificios o pisos
q usan distintas instalaciones de energía, también puede conducir voltajes provocados x descargas
eléctricas a los disp’ y provocar lesiones al personal x lo q debe instalar correctamente el cableado
según las especificaciones y códigos de edificación. Separación entre cableado de datos y el de
energía eléctrica cumplir códigos de seguridad y el equipo conectado a tierra.
Los revestimientos de cables pueden ser inflamables o dar emanaciones toxicas cuando se
calientan o se queman.

Limitación física al usar armarios con llave y uso de passwords q’ se refuerza al exigir un ID de user.
Seguridad de contenido: por medio de los protocolos subyacentes que rigen como los paquetes se
formatean.

Evité la denegación de servicio y garantice la confidencialidad también mantenga la integridad y la

disponibilidad.

Autentique usuarios con contraseñas fuertes y cámbielas, el contenido encriptado asegura la

confidencialidad y reduce el robo de información use firmas digitales, algoritmos de hash y
mecanismos de checksum para evitar la modificación, evite que los dispositivos no estén
disponibles x un ataque DoS o propagación de virus use firewalls de software y hardware además
de antivirus y tenga una politica de acceso.

Desactive CDP en las int’ q’ no lo necesita.

Para evitar el mac spoofing > la conf’ manual de arp estáticas para que limiten el acceso.

Protección contra un ataque DoS:

Actualize a la versión más reciente del IOS.

Para evitar ataques DHCP se usa el snooping DHCP y la seguridad de puerto.

Protección contra un ataque de fuerza bruta: cambie Passwd con frecuencia y utilice passwords
fuertes y limite la cantidad de usuarios que pueden acceder x ACL.

Las herramientas de seguridad prueban la red en busca de debilidades.

Los virus y gusanos pueden propagarse x los defectos en clientes de correo y exploradores web.
Las auditorias de seguridad ayudan a:
Ver que inf’ puede recopilar un ataque x un simple monitoreo de tráfico.
Identificar la cantidad de MAC falsas que deben eliminarse.
Determinar el periodo de expiración de la tabla MAC.

Las pruebas de penetración ayudan a:

Identificar las debilidades dentro de la configuración de los disp’.
Iniciar varios ataques para probar la red. Planifique las para q no afecte rendimiento de la red.
Debe contar con herramientas de auditoría y penetración q puedan actualizarse para enfrentar los
riesgos de seguridad más recientes.

Características:
Identificación de servicios: los números de puertos.
Soporte de servicios SSL: prueba servicios que lo usan (HTTP/SMTP/IMAP)
Pruebas destructivas y no destructivas.
Base de datos de vulnerabilidades.
Se usan para:
Capturar mensajes de chat y archivos de tráfico NFS y passwords.
También solicitudes de HTTP en formato de registro común y mensajes de correo.
Mostrar URL capturadas en Netscape en tiempo real
Saturar una LAN con direcciones MAC aleatorias
Falsificar las respuestas o direcciones DNS.
Interceptar paquetes en una LAN conmutada.
Password en línea auxiliar, consola, líneas vty y al EXEC privilegiado x enable secret.

Ataque en redes inalámbricas:

Buscadores de redes inalámbricos abiertos: para acceso gratis a internet.

Piratas informáticos: cuando medidas privacidad débiles ver inf’ y robarla y tener accesos y dañar
sistemas x medio de husmeadores inalámbricos. Cuando autenticación abierta o WEP.

Empleados: que enchufan propios AP.

AP no autorizados: que se usa para interferir con la operación normal de la red.

Ataques de hombre en el medio: AP como hub todas las NIC escuchan todo el tráfico se modifica la
NIC con un software para que acepte todo el tráfico y usa un husmeador de paquetes (Wireshark)
copiar la información. Para prevenir esto depende de su actividad de monitoreo y vigilancia
primero identifique los disp’ ilegítimos para esto debe autenticar a los usuarios y monitorea disp’ y
trafico que no deberían estar ahí.

Uso de herramientas de prevención de intrusión q traen escáneres q identifican AP no autorizados

y redes AD –hoc, monitorean la banda de RF en busca de actividad y carga de AP y si este esta muy
ocupado mas que de costumbre alerta al administrador.

DoS1: en 11.b y g banda de 2.4 GHz sin licencia usado x otros disp’ q congestionan la banda y
deniegan el servicio.

DoS2: atacante q transforma PC en AP y envía mensajes CTS o desvincular comandos (CSMA/CA) y

inundan con trafico simultaneo, y q clientes se desconecten y se reasocien en un ciclo continuo.

Deshabilite los puertos en desuso para aumentar la seguridad.

Diferentes cada nivel > mas de 8 caracteres con upper/lower/# cases y cámbielas con frecuencia.

Utilice NAT para darle privacidad y seguridad a su red.

Recuerde sin una password de enable se deniega el acceso x telnet ya q’ es mandatorio.

Por seguridad se pueden usar diferentes passwords x cada línea vty asi garantizar q habrá una
conexión para el administrador.

Use service password-encryption > impide q pass se vean como texto sin cifrar al visualizar el
archivo de conf’.No aplica cuando se envían x los medios. Cancelación no revierte.

Mensaje de aviso > informar q solo staff autorizado y para procesos legales.

Según respuesta del ping “destination unreachable” verifique el host q falla.

O “Request time out” puede ser x un problema de latencia en la red use un ping extendido y
defina parámetros como un timeout superior.

Recuerde ping puede estar prohibido x seguridad averiguelo para q’ descarte conectividad como el
origen del problema.

Use acl extendidas/standard nombradas para tener la capacidad de borrar sentencias y poder
indicar la función de la acl además use los parámetros remark y log.

CDP > se puede usar para construir la topología lógica de una red cuando falta documentación.

Porque al descubrir la ip de mi vecino ya le puedo hacer telnet.

Identifique los disp’ que envian datos etiquetados x la vlan nativa mas que todo devices de otras
marcas que no son CISCO.

CDP > turned off if vlan 1 is disabled on the trunk but the management traffic continue be
forwarded on that vlan.

Ataques telnet > Fuerza bruta y DoS.

Use passwords fuertes y cámbielas con frecuencia y use una ACL para limitar users.

Actualize el IOS.

Desactive los puertos del sw no utilizados y colóquelos en una vlan> no en trunk si en STP.

Use una vlan diferente a la vlan 1 para ser la nativa.

ACL Dinámicas> autenticar/reduce intromisiones x piratas. Para usuarios remotos.

ACL Reflexivas> protege red de piratas/y contra suplantación de seguridad y denegación de

servicio.
Configuración de una VPN:

Los cuatro apartados de estructura IPsec: Algoritmos para autenticación/encrip y cambio de claves

Elija un protocolo IPsec (ESP o ESP con AH)

AH (autenticación y integridad), ESP > encriptación ósea confidencialidad.

Algoritmo de encriptación si IPsec con ESP (DES.3DES, AES) >128/192/256 longitud de de clave.

Algoritmo de autenticación para dar integridad (MD5 128 o SHA-l 160) > HMAC

Grupo de algoritmos DH establecen que pares comparten la inf’ clave (DH1, DH2, DH3)

VPN autenticación: contraseñas, tarjetas inteligentes y biométricas.

Prt’ portador (MPLS) > Prt’ encapsulación GRE/IPsec > Prt’ pasajero (IP)

Desencriptar> algoritmo + clave.

Encriptación asimétrica: claves privadas (RSA) 512/768/1024+, encriptación y desencriptacion

diferentes claves se usa en certificados digitales. Clave pública y privada.

Autenticación de VPN:

Autenticar el disp’ al otro extremo.

PSK clave precompartida: algoritmos simétricos, se especifica en cada par manualmente.

Firma RSA: intercambio de certificados digitales, disp’ local derive un hash y lo encripta con su
clave privada se adjunta al mensaje receptor descifra mediante la clave publica hash descifrado
coincidir con hash calculado.

Nat: incompatibilidad algunos tipos de tráfico, rendimiento afectado, tunneling mas complicado,
Se pierde capacidad de rastreo, interrumpirse conexione TCP/UDP, las aplicaciones de seguridad
como firmas digitales fallan.

Reenvio de puertos: permite a usuarios de internet tener acceso a servidores de internos.

Vlan security:

Have an unused vlan as a native vlan on the trunk links to prevent DTP spoofing.

On the trunk links manually prune the vlans that are not used.
Parametros de configuracion basicos para una red en seguridad:

Políticas seguridad + Técnicas de alivio + Herramientas de software.

Virus de puerta trasera forma de ingresar al sistema sin ser detectados puerto TCP/UDP abierto,

Desarrollo de una politica seguridad: ISO/IEC 27002 base común y guía práctica.

Debilidades en la tecnología, configuracion o políticas.

Tecnología: protocolo TCP/IP (HTTP/FTP/ICMP), del S.O y de los equipos de red.

Configuracion: cuentas no seguras, servicios de internet mal conf’ activar javascript en

exploradores ataques x scripts hostiles en sitios no confiables. ACL’s mal configuradas.

Políticas: faltas de estas por escrito, falta de continuidad, monitores o auditorias inadecuados,
instalación de software y hardware no respetan politica y no plan de recuperación de desastres.

Amenazas a la infraestructura física:

Amenazas al hardware, ambientales, eléctricas y de mantenimiento.

Mitigaciones:

Control de acceso al equipo x cámaras y electrónico, control de temperatura flujo de aire positivo,
alarma ambiental, grabación y vigilancia. Instale Ups y generadores use fuentes de energía
suplentes. Use tendidos de cables limpios, etiquete use procedimientos de descarga
electroestática tenga repuestos y controle el acceso a consola.

Ingeniería social:

Deténgala educando a los usuarios haciendo pautas para cuando recibe correos sospechosos,
bloquear acceso a ciertos sitios web y con filtros que bloqueen sitios sospechosos.

Tipos de ataques a redes:

Ataques de reconocimiento: consultas en internet, barridos de ping, escaneo de puertos,

programas detectores de paquetes. Herramientas (nslookup y whois) determinar ip’s activas,
barrido de ping (fping o gping) detectar ip’s activas y escanear puertos para ver los activos x (Nmap
o Superscan) y determinar versión de aplicación y S.O. datos susceptibles a infiltración paquetes
de SNMPv1 y prt’ que envian texto no cifrado x Wireshark pueden ver inf’.

Mitigaciones:

Uso de redes conmutadas, uso de encriptación (contenido), politica que prohíba uso de prt’
vulnerables.

Ataques de acceso: vulnerabilidad de autenticación FTP/Web para accesos a cuentas y database.

Ataques a contraseñas: x Wireshark ver las sin cifrar, ataques de fuerza bruta o diccionario
(LOphtCrack o Cain) o x método de tablas de arcoíris.

Prevención: use contraseñas complejas y de cierta longitud y restringa intentos fallidos.

Explotación de confianza: mitíguelo con restricciones estrictas, use vlan privadas en servidores
públicos, limite confianza de afuera a prt’ específicos y autenticación mas que una ip.

Redirección de puertos: usa un host comprometido para pasar x firewall (netcat).

Se mitiga x modelos de confianza correctos, software antivirus y un sistema de IDS basado en host
ayuda a detectar al atacante y evitar que instale utilidades reorientadoras de puerto.

Ataque man in the middle: como un proxy transparente encuentra victima x correo de
suplantación o alterando un sitio web. O apropiarse de una sesión para acceder a una red privada,
dañar datos o introducir nuevos (ettercopy, envenenamiento arp).

Mitigación: por túneles VPN y configurar las seguridades de los puertos del sw.

Ataques de DoS: sobrecarga de disco duro, bandwidth y búferes, paquetes de tamaño excesivos
como el ping de la muerte. Saturación de ping como el (smurf), paquete superpuesto (winuke),
tormentas de paquetes como bombas UDP y (froggle), datos no congestionados (teardrop).

Ping de la muerte: en S.O viejos ya redes no susceptible a estos.

Saturación SYN: explota prt’ de 3 vías TCP, envía peticiones SYN a un server este responde
SYN-ACK pero host no responde con el ACK final.

Bombas de correo.

Applets maliciosos: java, javascript o ActiveX que destruyen o paralizan los recursos de red.

Ataques DDoS: ataque smurf, red de saturación grupal (TFN), my Doom.

Mitigación: desactivación de la capacidad de broadcast dirigido desde versión v12, ataques de DoS
y DDoS se mitigan x ACL’s especiales. ISP limitar cantidad de trafico no fundamental (ICMP)

Ataque de código malicioso: gusano, virus y caballo de Troya.

Gusano: abrir archivos adjuntos no confiables.

Mitigarlo: compartimentar partes infectadas, colocar parches en todos los sistemas, desconecte
las maquinas infectadas (cuarentena), limpie o coloqué parches algunas ocupan instalar S.O.

Virus: ocupa mecanismo de entrega ósea interacción humana (archivo comprimido o ejecutable en
el correo).

Se mitigan con últimas versiones de software antivirus.

Caballo Troya: (Subseven) instala programa de puerta trasera, desaparece cursores, y
capturaciones de pulsaciones.

Técnicas de mitigación:

Usuarios y contraseñas, restringa el acceso y desístale los servicios innecesarios, actualice parches,
use antivirus, firewalls y la detección de intrusos.

Software antivirus: contra virus y aplicaciones de caballo de Troya.

Firewall personal. Parches para S.O.

Cree un servidor central de parches en el cual todos los host deben comunicarse después de un
periodo determinado.

También usan herramientas de auditoría que buscan vulnerabilidades como servicios que se
pueden explotar. IDS o IPS a nivel de host o red puede usar ambos para mejor protección.

Hoy en dia se usa firewall, prevención de intrusos y VPN.

Políticas de seguridad: medio para auditar la red, planifica mejoras de seguridad equipos, software
y procedimientos, define responsabilidades, proceso para manejar incidentes y de acción legales.

La rueda de seguridad:

Ayuda en el cumplimiento de una seguridad y promueve la repetición de pruebas.

Asegurar: filtre y solo permita tráfico y servicios validos.

Inspección con estado (firewall), sistema de prevención de intrusos, parches para vulnerabilidades,
desactivación de los servicios innecesarios, VPN, autenticación, confianza de identidad.

Controlar: métodos activos y pasivos de detectar violaciones.

Probar: herramientas de evolución (SATAN,Nessus,Nmap) prueban las medidas de seguridad.

Mejorar: análisis de los datos recopilados.

Funciones de los dispositivos de networking:

Routers pueden ser atacados pro explotación de confianza, suplantación de identidad de ip,
apropiación de sesiones y ataques de man in the middle.

Amenazas de capa 2: ataques de flooding de MAC y de STP.

Protección de la red:

Seguridad física, actualización de IOS, copia de seguridad de la conf’ y IOS, asegúrelo para eliminar
puertos y servicios no usados. Colóquelo en un cuarto cerrado sin interferencia electroestática y
magnética y controle la temperatura y la humedad. Disminuir DoS use Ups y tenga componentes
de repuestos, provéalo con la mayor cantidad de memoria.

Proteja el acceso administrativo remoto, registro de la actividad del r1, proteja los servicios y las
int’, proteja los prt’ de enrutamiento, y fltre el trafico de la red (ACL)

Algunos procesos no pueden usar contraseña secreta (PAP/CHAP)

Configuracion de los registro syslog.

Servicios innecesarios > desactivar tftp que trae el router y otros servicios:

#no service tcp/udp-small-servers (echo/discard/chargen)

#no ip bootp server, no service finger, no ip http server, no snmp-server, no service config

#no cdp run, no ip source-route, no ip classless, no ip proxy arp, no ip directed broadcast (smurf)

Vulnerabilidades de NTP, SNMP y DNS.

SNMP: versión 1 y 2.

NTP: si no lo usa desactívelo, para rechazar sus paquetes use una ACL NTP.

DNS: puede ayudar a atacante a conectar ip a nombres, defina la dirección del server.

Software:

IM: Jabber y AIM.

Wireshark: analizador de paquetes. Resolver problemas. Operación de TCP/CDP ver IOS.
CDP>capture interfaces>Broadcom start>captura todo la q pasa x tarjeta de red.
Sistemas de e-mail: Lotus>IBM GroupWise> Novell Outlook>Windows
Gnutella: limewire.
Telnet: cmd, Hyperterminal, putty, Minicom y Teraterm.
Aplicación SSH cliente: Putty y teraterm.
OTDR: probar cada segmento de fibra. Retrodispersion y el reflejo de luz.
Hyperterminal y Teraterm: copia de seguridad de las conf’ en texto. CCNA.
PingSweep: hacer un mapa de los host activos y garantizar tabla arp actualizada.
Herramientas de colaboración: Google Docs y Microsoft SharePoint. Server
SDM: muy caro ocupa http. Configurar parámetros de equipos y VPN.
Keylogger: ver lo que usuario hace.
Finger: ver quienes estan logeados
Nebutris: ver todos los routers que estan conectados.
Cain y Abel: usan fuerza bruta para descubrir claves.
IDS y IPS protección para equipos.
Netstarvem: buscar cuales AP se pueden hackear, da radio, SSID, cuantos beacons está dando.
DNS: 4.44, 4.22, Google > son DNS mundiales que trabajan mejor que los del proveedor.
Cisco IP Communicator: herramienta de telesoftware.
Herramientas de análisis: registran automáticamente los datos de flujo en una base de datos y dan
un análisis de tendencias en vez de hacerlo manual.
Uso de GUI para facilidad de administracion y conf’:

Asistente de red cisco: GUI basada en PC para admin y conf’ grupos de sw. Se descargan sin costo y
pueden descargarse desde cisco. Ocupa password y user.

Aplicación CiscoView: da una vista física del sw. Establecer parámetros de conf’ y ver información
de funcionamiento y estado del sw. Se compra (independiente o parte de SNMP)

Administrador de dispositivos cisco: software basado en web que está almacenado en la memoria
del sw, se obtiene acceso desde cualquier sitio x el explorador.

Administrador de red SNMP: administrar sw desde una estación compatible con SNMP sw da
amplia inf’ de administracion se usa en redes grandes. (HP Openview)