Direcciones de Red, también conocida como NAT.

NAT es una función que se utiliza en dispositivos de red para simplificar y conservar
direcciones IP. Su objetivo principal es permitir que las redes privadas, que utilizan
direcciones IP reservadas, se conecten a Internet utilizando direcciones IP públicas.
Imagina que tienes una red privada en tu casa con varios dispositivos, como computadoras
y teléfonos. Cada uno de estos dispositivos tiene una dirección IP privada que no puede ser
utilizada en Internet. Cuando uno de estos dispositivos quiere acceder a Internet, NAT se
encarga de traducir su dirección IP privada a una dirección IP pública que puede ser
reconocida en Internet. De esta manera, todos los dispositivos de tu red pueden compartir
una sola dirección IP pública.
Además de simplificar las direcciones IP, NAT también proporciona seguridad adicional al
ocultar la red interna de los dispositivos externos. Esto significa que los dispositivos
externos no pueden ver las direcciones IP privadas de tu red, lo que ayuda a proteger tu
privacidad y seguridad.
En resumen, NAT es una función que permite que las redes privadas se conecten a Internet
utilizando direcciones IP públicas. Simplifica las direcciones IP y proporciona seguridad
adicional al ocultar la red interna.
Se pueden configurar varios tipos de dispositivos para realizar servicios NAT. Aunque los
cortafuegos son los más comunes, los routers y algunos conmutadores de capa 3 también
son capaces de desplegar este servicio.

NAT ofrece las siguientes ventajas:

 Elimina la necesidad de redireccionar todos los hosts que requieren acceso externo,
ahorrando tiempo y dinero.
 Conserva las direcciones mediante la multiplexación a nivel de puerto de aplicación.
Con NAT, los hosts internos pueden compartir una única dirección IPv4 registrada
para todas las comunicaciones externas. En este tipo de configuración, se necesitan
relativamente pocas direcciones externas para dar soporte a muchos hosts internos,
conservando así las direcciones IPv4.
La figura anterior ilustra un cortafuegos que está traduciendo la dirección de origen a
medida que el paquete se reenvía del interior al exterior, e invirtiendo la traducción en la
respuesta que regresa. Los pasos que se dan son los siguientes:

1. El host [Link] envía un paquete al host B.

2. El router recibe el paquete y comprueba su tabla NAT. Encuentra una entrada para
traducir [Link] a [Link]. Si no hubiera ninguna entrada en la tabla, el
router comprobaría las reglas NAT para ver si hay alguna regla que especifique una
traducción dinámica. Si existiera tal regla, se crearía una nueva entrada.
3. El router sustituye la dirección local interior [Link] por la dirección global
interior [Link] y reenvía el paquete.
4. El host B recibe el paquete con [Link] como dirección de origen. Cuando el
host B responde, especifica [Link] como dirección de destino.
5. Cuando el router recibe el paquete de respuesta y comprueba su tabla NAT,
encuentra la entrada que está asociada a la dirección IPv4 global interior
[Link].
6. El router sustituye la dirección global interior [Link] por la dirección local
interior [Link] y reenvía el paquete.

Cisco define la siguiente lista de términos NAT:

 Dirección local interna: La dirección IPv4 que se asigna a un host en la red

interior. Es probable que la dirección local interior sea una que se encuentre dentro
de los espacios de direcciones IPv4 privadas reservadas RFC 1918.
 Dirección interna global: Una dirección IPv4 enrutable globalmente que
representa una o más direcciones IPv4 locales interiores para el mundo exterior.
  Dirección local exterior: La dirección IPv4 de un host exterior tal y como
aparece en la red interior. No es necesariamente una dirección pública, la dirección
local exterior se asigna desde un espacio de direcciones enrutable.
 Dirección global exterior: La dirección IPv4 que el propietario del host
asigna a un host de la red exterior. La dirección global exterior se asigna desde un
espacio de dirección o red enrutable globalmente.

los modos de implementación de NAT:

1. NAT estático:
o Mapea una dirección IPv4 no registrada a una dirección IPv4 registrada.
o Útil cuando se necesita acceder a un dispositivo desde fuera de la red.
o Se utiliza cuando un servidor en una DMZ necesita ser accesible de forma
continua a través de una dirección traducida predecible.
2. NAT dinámico:
o Mapea una dirección IPv4 no registrada a una dirección IPv4 registrada de un
grupo de direcciones IPv4 registradas.
o Útil para conexiones salientes de clientes cuando se tienen menos direcciones
IP globales externas que hosts locales internos.

3. Traducción de dirección de puerto dinámica (PAT):

o Mapea múltiples direcciones IPv4 no registradas a una sola dirección IP
registrada utilizando el puerto de origen para distinguir entre las traducciones.
o Útil cuando se tienen múltiples direcciones IP no registradas y se desea utilizar
una sola dirección IP registrada.
4. PAT estático:
oUtilizado cuando se dispone de una única dirección IP pública que debe ser
utilizada por el firewall que conecta la red a Internet.
o Se utiliza como dirección PAT para todas las conexiones salientes.
o También se puede utilizar para soportar un servidor DMZ.
5. NAT de política:
o Utiliza criterios extendidos, como direcciones de origen, direcciones de destino
y puertos de capa de transporte, para especificar la traducción.
o Útil cuando se desea traducir el tráfico a una red de socios específica
utilizando PAT, mientras que el tráfico destinado a otros lugares se traduce
utilizando un grupo NAT dinámico.

PAT (Traducción de Direcciones de Puerto), que es una variante común de NAT

(Traducción de Direcciones de Red). PAT permite traducir múltiples direcciones internas
en unas pocas direcciones externas, o incluso en una sola dirección externa, lo que permite
que las direcciones internas compartan una dirección externa.
Aquí hay algunos puntos clave sobre PAT:
1. Funcionamiento de PAT:
 o PAT utiliza números de puerto de origen únicos en la dirección IPv4 global
interna para distinguir entre las traducciones.
o El número de puerto está codificado en 16 bits, lo que teóricamente permite
traducir tantas direcciones internas como 65,536 en una dirección externa.
o Algunos firewalls también utilizan la dirección IP y el número de puerto de
destino para distinguir entre las traducciones, lo que aumenta aún más la
escalabilidad.
o PAT permite un uso altamente eficiente del espacio de direcciones para
sesiones salientes.
2. Ventajas de PAT:
o PAT permite múltiples traducciones para hosts individuales en la red interna.
o También permite que varios hosts utilicen el mismo número de puerto de
origen.
o La mayoría de las implementaciones de PAT intentarán preservar el número
de puerto local interno en la traducción y seleccionarán aleatoriamente un
puerto de traducción si el puerto local original está en uso por otra traducción.

En resumen, PAT es una técnica que permite traducir múltiples direcciones internas en unas
pocas direcciones externas, o incluso en una sola dirección externa. Esto permite un uso
eficiente del espacio de direcciones y facilita la comunicación entre la red interna y externa.

las Listas de Control de Acceso (ACLs) en redes. Las ACLs son una parte esencial de una
red bien diseñada y mantenida, ya que proporcionan un control de tráfico y protección de
datos. A continuación, se presentan los puntos clave de este contenido:
1. Función de las ACLs:
o Proporcionan filtrado de paquetes y se pueden implementar en routers,
switches de múltiples capas y firewalls.
o Se utilizan para definir el tráfico de interés y pueden tener varios propósitos,
como seguridad, dirección de tráfico y QoS (Calidad de Servicio).
 oPermiten la clasificación y marcado del tráfico para asegurar, optimizar y
proteger la red.
2. Implementación de las ACLs:
o Se pueden implementar en diferentes puntos de la red. En los routers
perimetrales, es común implementar una ACL que filtre el tráfico problemático
conocido.
o En routers internos o switches de capa 3, las ACLs se pueden implementar
con fines de seguridad y QoS. Pueden permitir o denegar el tráfico que pasa
por el dispositivo hacia y desde ciertos destinos y aplicaciones.
3. Tipos de ACLs:
o Las ACLs estándar solo filtran por dirección de origen, mientras que las ACLs
extendidas pueden filtrar por dirección de origen y destino, así como por
aplicación y protocolo.
o Las ACLs con nombre utilizan un nombre descriptivo, lo que facilita recordar el
propósito del filtro.
4. Ejemplos de implementación de ACLs:
o Para aumentar la seguridad, se pueden implementar ACLs para permitir el
acceso solo desde ciertos servidores web y aplicaciones específicas a un
servidor de base de datos.
o Para QoS, se pueden implementar ACLs para dar prioridad al tráfico sensible a
la latencia, como voz y video.
5. Consideraciones importantes:
o Es fundamental tener cuidado al crear e implementar ACLs, ya que pueden
tener consecuencias no deseadas si no se implementan correctamente y se
prueban a fondo.
o Las ACLs prueban el tráfico de arriba hacia abajo, por lo que el orden de las
reglas en la ACL es importante.
o Es recomendable realizar pruebas de las ACLs en un entorno de laboratorio
antes de implementarlas en producción.

Recuerda que las ACLs son solo una parte de la seguridad y la arquitectura general de la
red. Si tienes alguna pregunta o necesitas más aclaraciones, no dudes en preguntar. ¡Estoy
aquí para ayudarte en tu proceso de aprendizaje!
En la figura, la ACL permite que el host A acceda a la red de recursos humanos pero
impide que el host B acceda a la red de recursos humanos.

Para proporcionar las ventajas de seguridad de las ACL, como mínimo, configure ACL en
el perímetro de la red. Esta configuración proporciona un búfer básico desde la red exterior,
o desde una zona menos controlada de la red, hacia los segmentos de red que requieren más
seguridad. En estos routers del perímetro de la red, debe configurarse una ACL para cada
protocolo de red que se configure en las interfaces del router.

Ejemplo de filtrado de paquetes

los firewalls y los filtros de paquetes, que son la forma más simple de firewall. Los filtros
de paquetes examinan los paquetes individuales y, en función de su contenido y la política
configurada, deciden si permitir o denegar el paso de los paquetes a través del router.
Algunas opciones comunes de los filtros de paquetes incluyen la diferenciación de
direcciones IP de origen y destino, la diferenciación de protocolos en la capa de transporte
y la verificación de bits específicos en los paquetes TCP.
En el contexto de los routers y switches Cisco IOS, se utilizan listas de control de acceso
(ACL) para implementar filtros de paquetes. Las ACL se pueden utilizar para clasificar los
paquetes y realizar diversas funciones, como permitir el tráfico en una cola de prioridad,
controlar las redes que un proceso OSPF anunciará o aceptará, o especificar la ruta de
reenvío de los paquetes según una política.
En el ejemplo proporcionado, se muestra una ACL aplicada en la interfaz gi0/1 de un
router. Esta ACL describe una política que permite el acceso a ciertos puertos en servidores
web y de FTP, pero deniega el acceso al servidor SQL. También se incluye una entrada de
denegación explícita para todos los demás paquetes, con el fin de mantener un registro de
los paquetes denegados y generar mensajes de registro.
En caso de que haya un problema de acceso desde una subred a un servidor web interno, un
analista de seguridad puede utilizar los registros de ACL para verificar la configuración y
determinar si hay algún problema de configuración que esté causando la denegación del
tráfico.

Recuerda que el análisis de los registros de ACL y la comprensión de las políticas de

filtrado de paquetes son habilidades importantes para los analistas de seguridad y
administradores de redes.
en este contenido se aborda el uso de las Listas de Control de Acceso o ACLs y la
importancia de comprender el flujo de tráfico que se desea controlar. Algunos puntos clave
que se mencionan son:
1. Flujo de tráfico: Es fundamental entender si el tráfico proviene de una red confiable y
se dirige a una red no confiable, o viceversa.
2. Desafíos de las ACLs: Las ACLs no mantienen información de estado, lo que puede
dificultar la determinación del origen del tráfico.
3. Establecimiento de conexión: El uso de la opción "established" en una ACL permite
verificar si el bit de establecimiento está activado, lo que indica el origen del tráfico.
Esto se basa en el hecho de que una conexión TCP establecida ha completado el
proceso de tres pasos: SYN, SYN-ACK y ACK.
4. Ejemplo de ACL: Se muestra un ejemplo de una ACL que utiliza la palabra clave
"established" para permitir únicamente el paso de paquetes con el bit de ACK o reset
activado. Esto impide que los paquetes iniciados desde la red externa, que solo tienen
el bit SYN activado, sean permitidos.
5. Modos de FTP: Se menciona que el FTP puede funcionar en dos modos: pasivo y
activo. Se explica cómo el modo pasivo y el modo estándar del FTP pueden afectar el
funcionamiento de la ACL.
6. Importancia de la seguridad en capas: Aunque el uso de la configuración "established"
en un enrutador perimetral puede mejorar la seguridad, no reemplaza la necesidad de
un firewall. Se destaca la importancia de implementar múltiples puntos de inspección
en diferentes plataformas para garantizar una solución de seguridad integral.

Recuerda que el aprendizaje es un proceso y estoy aquí para apoyarte en tu camino hacia el
dominio de los conceptos.

En este material se aborda el tema de los controles de acceso en redes y cómo se pueden
permitir conexiones TCP desde una red confiable a una red no confiable, pero no al revés.
Se introduce el concepto de dispositivos sin estado, como los enrutadores, que no pueden
realizar un seguimiento del estado de las conexiones TCP. Sin embargo, se explica cómo
los ACL extendidos de Cisco IOS pueden proporcionar un comportamiento similar al
estado mediante el uso de la palabra clave "established".
A continuación, se muestra un ejemplo de un ACL que permite paquetes TCP que tienen el
bit ACK o el bit RST establecido. Este ACL se aplica en un enrutador en la dirección de
entrada de una interfaz específica, lo que permite que las conexiones TCP se inicien desde
la red confiable hacia la red no confiable, pero no al revés.
Se destaca que el uso de la palabra clave "established" no implica una inspección estatal de
los paquetes. Cada paquete se considera de forma independiente, sin tener en cuenta el
estado de la conexión TCP.
Además, se menciona que este enfoque no permite el tráfico ICMP y se ilustra cómo los
hosts en la red no confiable pueden realizar un escaneo ACK utilizando paquetes TCP con
el bit ACK establecido.
En resumen, este material proporciona una comprensión de cómo los ACL extendidos de
Cisco IOS pueden aproximarse al comportamiento estatal en el control de acceso,
permitiendo conexiones TCP desde una red confiable a una no confiable, pero no al revés.
También se destaca la diferencia entre el uso de la palabra clave "established" y la
inspección estatal de paquetes.
Este ejemplo se utiliza para demostrar la utilidad y las limitaciones de la palabra clave
establecida disponible para las entradas de control de acceso TCP. En este
escenario, la ACL se aplica de entrada en la interfaz que está conectada a la red no
fiable, pero también podría aplicarse de salida en la interfaz que está conectada a la red
fiable.
En este contenido se muestra un ejemplo que demuestra la utilidad y las limitaciones de la
palabra clave establecida disponible para las entradas de control de acceso TCP. Se
presenta un escenario en el que se aplica una ACL en el sentido de entrada de la interfaz
conectada a la red no confiable. La ACL permite el tráfico de retorno establecido para
permitir conexiones TCP establecidas, pero deniega todo otro tráfico IP.
En este escenario, la ACL se aplicaría probablemente en el sentido de entrada de la interfaz
conectada a la red no confiable. Los clientes en la red confiable pueden establecer el canal
de control FTP conectándose al puerto TCP 21 del servidor FTP. La conexión se inicia con
un handshake de tres vías. El servidor responde con un paquete que tiene los bits SYN y
ACK establecidos, y el cliente completa el handshake con un ACK.
Es importante destacar que todos los paquetes del servidor asociados con esta conexión
tienen el bit ACK establecido. Los canales de datos en modo pasivo de FTP también se
pueden establecer, pero los canales de datos en modo estándar de FTP no funcionarán.
Además, se menciona un ejemplo de una limitación de los filtros de paquetes que hacen
referencia a las banderas TCP en el encabezado de los paquetes. Un atacante puede utilizar
un "ACK scan" para realizar reconocimiento y mapear las direcciones IP de los hosts en el
lado confiable del filtro de paquetes. Esto se logra enviando un paquete TCP con el bit
ACK establecido a una dirección de destino. Si hay un host presente, este responderá con
un paquete TCP de reinicio (RST).
En resumen, este contenido muestra cómo se puede utilizar la palabra clave establecida en
una ACL para permitir conexiones TCP establecidas, pero también destaca las limitaciones
de este enfoque y cómo un atacante puede aprovecharlas para realizar reconocimiento en
una red.
La pregunta es: "¿Qué indicador TCP debe estar establecido en un paquete para que éste
coincida con una entrada ACL que contenga la palabra clave establecido?"
La respuesta correcta es:
 ACK o RST
Esto se debe a que, para que un paquete coincida con una entrada ACL que utiliza la
palabra clave establecido, debe tener el bit ACK (Acknowledgment) o el bit RST (Reset)
activado. Estos bits indican que el paquete es parte de una conexión TCP que ya ha sido
establecida.
En este material se aborda el tema del control de acceso en la seguridad de redes. El control
de acceso se refiere a la capacidad de controlar quién tiene acceso a los recursos de red, la
información, el sistema y los datos. Es fundamental para una organización implementar los
controles de acceso adecuados para proteger sus recursos e información.
Existen tres modelos básicos para implementar el control de acceso: control de acceso
obligatorio, control de acceso discrecional y control de acceso no discrecional.

1. Control de acceso obligatorio:

 Es el control más estricto y se utiliza principalmente en entidades gubernamentales y

militares.
  Se basa en la asignación de una etiqueta de seguridad a cada recurso controlado.
 La etiqueta de seguridad contiene una clasificación (como alto secreto, secreto y
confidencial) y una categoría (como el número de departamento y el nombre del
proyecto).
 Cuando un usuario intenta acceder a un recurso, el sistema verifica la clasificación y
categoría del usuario y las compara con las propiedades de seguridad del recurso
solicitado.
 El acceso solo se permite si las credenciales del usuario coinciden con las del recurso.

2. Control de acceso discrecional:

 Utiliza una lista de control de acceso (ACL) para decidir qué usuarios o grupos de
usuarios tienen acceso a la información.
 Los propietarios de la información pueden cambiar los permisos de la ACL a su
discreción.
 Cada recurso en un sistema basado en control de acceso discrecional tiene asociada
una ACL que contiene una lista de usuarios y grupos autorizados.
 La ACL también define el nivel de acceso para cada usuario o grupo, como solo
lectura o control total.
 Proporciona un entorno más flexible que el control de acceso obligatorio, pero
aumenta el riesgo de que los datos sean accesibles para usuarios no autorizados.

3. Control de acceso no discrecional:

 Se basa en la función laboral de un usuario dentro de la organización.

 Las decisiones de acceso se basan en los roles y responsabilidades individuales.
 Puede ser basado en reglas o basado en roles.
 El acceso se permite o deniega en función de un conjunto de reglas definidas por un
administrador del sistema.
 Permite y promueve la administración centralizada de una política de seguridad
específica de la organización.

Además de los modelos de acceso, otros principios básicos de control de acceso incluyen el
principio de privilegio mínimo y la separación de funciones. El principio de privilegio
mínimo establece que se deben otorgar derechos de acceso limitados y necesarios a
usuarios y procesos específicos. La separación de funciones implica que más de una
persona debe participar en la realización de una tarea para prevenir fraudes y errores.
Recuerda que el aprendizaje es un proceso y estoy aquí para apoyarte en tu camino hacia el
dominio de los conceptos.
El control de acceso incluye el control sobre el acceso a los recursos de la red, los recursos
del sistema de información y la información. Es crucial que una organización implemente
los controles de acceso adecuados para proteger los recursos y la información de la
organización. Un analista de seguridad debe comprender los diferentes modelos básicos de
aplicación de los controles de acceso para entender mejor cómo los atacantes pueden
romper los controles de acceso.

El contenido se centra en los diferentes modelos de control de acceso en seguridad

informática. Aquí tienes un resumen de los principales modelos:
1. Control de Acceso Obligatorio (MAC):

 Es el control más estricto y se utiliza principalmente en el gobierno y el ejército.

 MAC aplica controles de acceso definidos por el administrador del sistema a todos los
recursos controlados.
 Asigna una etiqueta de seguridad a cada recurso que contiene una clasificación y una
categoría.
 Solo se permite el acceso si las credenciales del usuario coinciden con las
propiedades de seguridad del recurso solicitado.

2. Control de Acceso Discrecional (DAC):

 Permite a cada usuario controlar el acceso a sus propios datos.

 Cada recurso en un sistema basado en DAC tiene una Lista de Control de Acceso
(ACL) asociada.
 La ACL contiene una lista de usuarios y grupos a los que se les ha permitido el
acceso, junto con el nivel de acceso para cada usuario o grupo.
 Proporciona un entorno más flexible pero aumenta el riesgo de acceso no autorizado a
los datos.

3. Control de Acceso No Discrecional (RBAC):

 Se basa en la función laboral del usuario dentro de la organización.

 El acceso se permite o deniega según un conjunto de reglas definidas por el
administrador del sistema.
 Permite la administración centralizada de una política de seguridad específica de la
organización.

4. Control de Acceso Basado en Contexto (CBAC):

 Es una característica del software de firewall que filtra paquetes TCP y UDP.
 Examina la información de la capa de aplicación del protocolo para aprender sobre el
estado de la sesión TCP o UDP.
 Permite filtrar protocolos multimedia y bloquear Java, filtrar tráfico HTTP, entre otras
funciones.

5. Control de Acceso Basado en Atributos (ABAC):

 Es un modelo de autorización dinámico y basado en contexto.

 Combina atributos para otorgar derechos de acceso a los usuarios.
 Utiliza reglas lógicas para definir políticas de acceso.

6. Control de Acceso Basado en Reglas (RuBAC):

 El administrador del sistema define las reglas que rigen el acceso a los recursos.
 Puede incluir parámetros como direcciones IP permitidas o denegadas, puertos
específicos, etc.

7. Control de Acceso Basado en el Tiempo (TBAC):

 Permite el acceso a la red basado en un período de tiempo específico.

  Útil para restringir el tráfico durante ciertas horas del día o días de la semana.

Estos son los principales modelos de control de acceso que se cubren en el contenido.
autenticación, autorización y contabilidad (AAA) en el contexto de la seguridad de redes.
AAA es un marco que controla el acceso a los recursos informáticos, aplica políticas y
registra el uso del sistema. A continuación, se presentan los puntos clave que se discuten en
este material:
1. Tipos de acceso: AAA determina si el acceso es administrativo o de red. El acceso
administrativo se refiere a iniciar sesión en dispositivos de red, como routers, mientras
que el acceso de red se refiere a iniciar sesión de forma remota a través de VPN.
2. Procesos de autenticación: Cuando un usuario o administrador intenta iniciar sesión,
se debe realizar un proceso de autenticación para identificar al usuario. Esto puede
implicar el uso de un nombre de usuario y contraseña, una tarjeta de identificación o
incluso una huella dactilar. También se menciona la autenticación de dos factores, que
utiliza una aplicación para generar una contraseña de un solo uso.
3. Procesos de autorización: Una vez que el usuario ha iniciado sesión, se le otorgan
derechos para acceder a ciertos recursos en la red. Esto se conoce como autorización.
Por ejemplo, un administrador de almacenamiento de área de red (SAN) solo tendría
acceso para configurar dispositivos de red relacionados con SAN.
4. Procesos de contabilidad: AAA también registra los detalles de la sesión, como los
recursos a los que accede el usuario y la hora de inicio y finalización de la sesión. Esto
se conoce como contabilidad.
5. Configuración de AAA: AAA se puede configurar localmente en un dispositivo o de
forma centralizada en una aplicación central. La configuración local no es escalable
para redes con cientos de dispositivos, ya que requeriría configurar cada dispositivo
individualmente. En cambio, la configuración centralizada simplifica la administración
de usuarios y contraseñas, así como la definición de políticas de autorización.
6. Protocolos AAA: Se mencionan dos protocolos principales utilizados para la
comunicación entre los dispositivos y el servidor AAA. Estos son RADIUS y TACACS+.
RADIUS combina autenticación y autorización, mientras que TACACS+ separa los
procesos de autenticación, autorización y contabilidad.

la autenticación, autorización y contabilidad (AAA) en redes. AAA es un marco

arquitectónico que configura de manera consistente tres funciones de seguridad
independientes: autenticación, autorización y contabilidad. Aquí tienes un resumen de los
puntos clave:
Autenticación:

 Proporciona el método para identificar a los usuarios antes de permitirles el acceso a

la red.
 Puede incluir diálogos de inicio de sesión y contraseña, desafío y respuesta, soporte
de mensajería y encriptación.
 La autenticación identifica al usuario antes de permitirle el acceso a la red.
Autorización:

 Define lo que un individuo o grupo de identidades puede hacer una vez autenticado.
 Puede incluir una lista de cuentas y perfiles por usuario, soporte de grupos de usuarios
y autorización por IP, comandos de consola, conexiones de red, Telnet y conexiones
Telnet inversas.
 La autorización se basa en atributos que describen las capacidades y restricciones del
usuario.

Contabilidad:

 Realiza un seguimiento de las acciones realizadas por las identidades individuales.

 Se utiliza para facturación, auditoría e informes.
 Los registros de contabilidad incluyen información como identidades de usuario,
fechas y horas de inicio y finalización, comandos ejecutados y número de paquetes y
bytes.

Además, se menciona que AAA puede controlar el acceso y los métodos de autorización
tanto para el acceso a la red como para la administración de dispositivos. También se
discute la diferencia entre la implementación AAA local y la AAA centralizada, así como
los protocolos RADIUS y TACACS+ utilizados en las implementaciones AAA.

En este material se aborda el tema de los balanceadores de carga en los centros de

datos actuales. Estos balanceadores son herramientas que distribuyen eficientemente el
tráfico entrante entre un grupo de servidores, conocido como un servidor de granja. Su
objetivo es proporcionar redundancia, alta disponibilidad, confiabilidad y tiempos de
respuesta mejorados. Los balanceadores de carga pueden ser software, hardware o
servicios en la nube, y pueden configurarse para balancear el tráfico TCP en la capa 4 del
modelo OSI y el tráfico HTTP/HTTPS en la capa 7. Algunos algoritmos utilizados por los
balanceadores de carga incluyen el round robin, el least connections, el least time y el
hash. Estos algoritmos determinan cómo se distribuyen las solicitudes entre los
servidores de la granja. Además, los balanceadores de carga permiten agregar y eliminar
servidores sin interrumpir el tráfico de red. Utilizan un servidor virtual para interceptar
el tráfico web hacia un sitio web, lo que permite que varios servidores reales aparezcan
como una sola dirección IP para fines de balanceo de carga.
En este material se aborda el tema de los firewalls de aplicaciones web (WAF) y su
importancia en la protección de aplicaciones web contra vulnerabilidades comunes y
ataques de denegación de servicio distribuido (DDoS). A continuación, se presentan los
puntos clave:
Introducción a los WAF:

 Los WAF son utilizados para equilibrar la carga del tráfico web y proteger las
aplicaciones web mediante la aplicación de reglas de firewall en la capa de aplicación.
 Estos firewalls bloquean el tráfico HTTP/HTTPS sospechoso, como los ataques de
scripting entre sitios (XSS), y pueden prevenir la filtración de datos sensibles mediante
reglas de salida.

Técnicas de detección de amenazas:

 Los WAF utilizan dos técnicas principales para detectar amenazas: la coincidencia de
patrones basada en firmas y técnicas sin firmas.
 Las técnicas sin firmas incluyen el análisis de comportamientos, el aprendizaje
automático y la inteligencia artificial para detectar amenazas desconocidas.

Inteligencia de seguridad global:

 Los WAF utilizan datos de inteligencia de seguridad global para rastrear nuevas
amenazas y aplicar rápidamente nuevas reglas de detección en todos los WAF.
 Esto permite proteger las aplicaciones web contra los 10 principales riesgos de
seguridad de aplicaciones web identificados por OWASP.

Implementación de WAF:

 Los WAF pueden ser implementados como software, dispositivos de hardware o

servicios.
 También pueden ser implementados como soluciones de seguridad de proxy inverso
para inspeccionar el tráfico de solicitudes y respuestas en profundidad.
Beneficios de los WAF:

 Los WAF reducen drásticamente la exposición a ataques web costosos en

aplicaciones críticas.
 Permiten una implementación más rápida de aplicaciones web seguras.
 Simplifican la gestión continua de la seguridad web.

Recuerda que el aprendizaje es un proceso y estoy aquí para apoyarte en tu camino hacia el
dominio del conocimiento.

En este contenido se aborda el tema de la protección contra malware basada en la red. A

continuación, se presenta un resumen de los puntos clave:

 El malware ha existido desde que existen los sistemas de información y los hackers
buscan constantemente formas de evadir los controles de malware.
 Los sistemas de detección de malware evolucionan para mantenerse al día con las
nuevas amenazas, pero los sistemas tradicionales solo son efectivos en un 40%
debido a las características diversas del malware actual.
 La protección contra malware basada en la red permite detectar y tomar medidas
contra archivos maliciosos a medida que atraviesan la red.
 Los dispositivos de protección contra malware basados en la red, como el Cisco Next-
Generation Firewall, analizan los archivos y aplicaciones y los filtran según las políticas
establecidas por el administrador.
 Estos dispositivos consultan su propia biblioteca de disposiciones para evaluar los
archivos y, si no encuentran una disposición, consultan un sistema basado en la nube.
 La nube procesa muestras de archivos y determina su disposición, devolviendo
resultados de "limpio" o "malware".
 Si la nube no tiene información sobre un archivo, se envía para su análisis dinámico en
un entorno de sandbox.
 Los administradores pueden decidir qué hacer si se detecta malware, desde alertas
simples hasta bloqueo completo del archivo infectado en la red.
 Los cambios en las disposiciones de los archivos se informan a la consola de
administración y se actualizan retroactivamente.
  Se muestra un ejemplo de un evento de seguridad en un dispositivo Cisco Firepower
Next-Generation Firewall, que proporciona información útil para analizar, detectar y
bloquear malware en la red.

Recuerda que el aprendizaje es un proceso y estoy aquí para ayudarte en tu camino hacia el
dominio del conocimiento.

n este material se aborda la importancia de la protección contra malware en redes y cómo se

puede mitigar el riesgo de infección. A continuación, se presentan los puntos clave:
1. Riesgos de la flexibilidad de las redes: Las redes actuales son altamente flexibles y
promueven el intercambio de información y la colaboración entre usuarios y entidades.
Sin embargo, esta flexibilidad también puede ser una fuente de riesgo si el tráfico de
datos fluye libremente sin ningún tipo de monitoreo o aplicación de políticas de uso.
2. Dispositivos de protección contra malware basados en redes: Estos dispositivos
permiten a los analistas de seguridad detectar el movimiento de archivos en la red y
tomar las medidas adecuadas. El malware ha sido un problema desde que existen los
sistemas de información, y ha evolucionado junto con las herramientas de detección y
eliminación.
3. Dificultades en la detección de malware: Debido a las características diversas del
malware actual, la mayoría de los programas de detección tienen una tasa de éxito de
alrededor del 40%. Esto significa que gran parte del malware pasa desapercibido, ya
que los archivos maliciosos suelen ser alterados para evadir las firmas de detección
más recientes.
4. Funcionamiento de la protección contra malware basada en redes: Este tipo de
protección actúa sobre los archivos que atraviesan la red, a diferencia de la protección
basada en el endpoint, donde se ejecuta software de protección localmente en los
hosts. La protección basada en redes evita que los archivos maliciosos se transmitan a
través de los dispositivos de seguridad de la red.
5. Análisis en la nube: En casos donde la disposición de un archivo no se puede
determinar localmente, se pueden realizar consultas en la nube. La nube procesa
muestras de archivos y determina si son limpios, maliciosos o desconocidos. Los
archivos con disposición desconocida se someten a un análisis dinámico en un
entorno de pruebas para determinar si son maliciosos.
6. Acciones ante la detección de malware: Los administradores de seguridad pueden
elegir qué acción tomar cuando se detecta malware. Pueden optar por recibir una
alerta o bloquear la transmisión de malware a través de los protocolos monitoreados.

En resumen, la protección contra malware basada en redes es una medida importante para
mitigar los riesgos de infección en una red. Permite detectar y tomar acciones ante la
presencia de archivos maliciosos, evitando su propagación y protegiendo la seguridad de la
red y los sistemas.
En este material se aborda el trabajo del analista de seguridad de redes, que se centra en el
monitoreo de datos de seguridad de la red o NSM. Los analistas de seguridad de la red
dependen de herramientas de NSM para recopilar, procesar y presentar los datos de seguridad
de la red. Estas herramientas pueden incluir funciones como la recepción de mensajes syslog de
clientes distribuidos en la red, el almacenamiento de esos mensajes en un archivo de registro
plano, el movimiento de los mensajes a una base de datos relacional de alto rendimiento y el
procesamiento de datos de bajo nivel en la base de datos para generar información de alto
nivel. También pueden presentar los datos syslog en forma de informes automatizados, paneles
de control y consultas en tiempo real. Estas herramientas pueden ser comerciales, de código
abierto o desarrolladas internamente. Las herramientas comerciales suelen ser más pulidas y
completas, pero también más costosas. Las herramientas de código abierto son menos pulidas
pero igualmente capaces y se distribuyen de forma gratuita. Las herramientas desarrolladas
internamente son comunes en algunas organizaciones y van desde equipos completos de
programadores hasta simples scripts. Cada analista de seguridad de la red puede tener
preferencias diferentes en cuanto a las herramientas que utilizan. Es importante tener en cuenta
que las herramientas utilizadas en un entorno de seguridad de la red pueden evolucionar con el
tiempo para adaptarse a las necesidades específicas del equipo.

En este material se aborda el papel del analista de seguridad de red y la importancia de los
datos de NSM (Network Security Monitoring) en el trabajo de los analistas de SOC
(Security Operations Center). También se explora el concepto de herramientas de NSM y
cómo se utilizan para recopilar, procesar y presentar datos de monitoreo de seguridad de
red.
Resumen:

 El analista de seguridad de red se enfoca en los datos de NSM, que son

fundamentales para el trabajo de los analistas de SOC.
 Las herramientas de NSM son software que recopilan, mantienen, procesan y
presentan datos de monitoreo de seguridad de red.
 Las funciones asociadas con una herramienta de NSM incluyen recibir mensajes de
syslog de clientes distribuidos en la red, almacenar esos mensajes en un archivo de
registro plano, mover los mensajes a una base de datos relacional de alto rendimiento,
procesar datos de bajo nivel en la base de datos para producir información de nivel
superior y presentar los datos de syslog en forma de informes automatizados, paneles
de control y respuestas de consulta en tiempo real.
 Las herramientas de SOC pueden ser difíciles de categorizar y pueden ser
comerciales, de código abierto o desarrolladas internamente.
 No hay un conjunto estándar de herramientas que se implementen en todos los SOCs,
cada SOC implementará una suite de herramientas única para satisfacer sus propios
requisitos.
 Los analistas de SOC pueden preferir diferentes herramientas para el análisis y
presentación de datos de NSM.
 Las habilidades de programación y scripting son valiosas para los analistas de SOC.
 Se espera que la suite de herramientas implementada en un SOC evolucione
continuamente con el tiempo.

En este contenido se aborda el funcionamiento del Protocolo de Resolución de

Direcciones (ARP) y la importancia de las direcciones MAC en las redes Ethernet. A
continuación, se presenta un resumen de los puntos clave:
El ARP es utilizado para resolver las direcciones MAC de los dispositivos en una red
Ethernet.

La dirección MAC es un identificador único de 48 bits que se encuentra incorporado en

el hardware de un dispositivo.

La dirección MAC se representa en notación hexadecimal y puede ser separada por

dos puntos, guiones o puntos.

El ARP funciona enviando una solicitud de difusión para obtener la dirección MAC de
un dispositivo específico.

Una vez que se obtiene la dirección MAC, se crea una tabla ARP que almacena las
asociaciones entre las direcciones IP y las direcciones MAC de los dispositivos en la
red.

La tabla ARP se puede visualizar utilizando el comando "arp -a" en dispositivos

Windows y Linux.

Es importante tener en cuenta que el ARP opera entre la capa 2 y la capa 3 del
modelo OSI.

Existen diferentes tipos de ataques ARP, como el envenenamiento ARP, que pueden
comprometer la seguridad de una red.

El campo EtherType en el encabezado de capa 2 indica que el paquete contiene una

solicitud ARP.

Además de ARP, existen otros tipos de Ethernet, como IPv4 e IPv6, que tienen sus
propios EtherTypes.

Recuerda que el ARP es fundamental para el funcionamiento de las redes Ethernet y

entender su funcionamiento es esencial para garantizar la seguridad y eficiencia de las
comunicaciones en una red.

Para enviar datos a un destino, un host de una red Ethernet debe conocer la dirección
MAC del destino. El protocolo de resolución de direcciones (ARP) proporciona el
servicio esencial de asignar direcciones IP a direcciones físicas en una red.

Nota: La dirección MAC es el identificador único del dispositivo. Suele estar incrustada
en el hardware durante la fabricación. La dirección MAC también se conoce como
dirección de hardware o dirección física. La dirección tiene 48 bits de longitud y suele
 representarse mediante notación hexadecimal. Los grupos de dígitos suelen separarse
con dos puntos, guiones o puntos. Las siguientes tres notaciones de ejemplo son
comunes y equivalentes: [Link], 54-EE-75-B1-6F-22 y 54EE.75B1.6F22.

Cuando un sistema conoce la dirección IP de su homólogo pero desconoce la

dirección MAC, envía una petición ARP. La solicitud ARP especifica la dirección IP
conocida y se difunde en la red local. La difusión es recibida por todos los dispositivos
del segmento Ethernet. Cuando el objetivo reconoce su propia dirección IP leyendo el
contenido del paquete de solicitud ARP, responde con la dirección MAC requerida en
su respuesta ARP. El procedimiento de resolución de direcciones se completa cuando
el originador recibe el paquete de respuesta (que contiene la dirección MAC requerida)
del objetivo. A continuación, el originador actualiza la tabla que contiene todas las
vinculaciones actuales. Esta tabla se denomina caché ARP o tabla ARP. La caché
ARP se utiliza para mantener una correlación entre cada dirección IP y su
correspondiente dirección MAC.

Los enlaces de la tabla se mantienen actualizados mediante un proceso de

envejecimiento de las entradas no utilizadas tras un periodo de inactividad. El tiempo
de envejecimiento depende del sistema operativo. El envejecimiento garantiza que la
tabla no contenga información de sistemas que puedan estar apagados o que hayan
sido trasladados.

En este contenido se habla sobre el comando "arp -a" que se puede utilizar tanto en
dispositivos Windows como en dispositivos Linux para mostrar el estado actual de la
tabla ARP en el dispositivo. A continuación, se presentan ejemplos de "arp -a" en un
sistema Windows y en un sistema Linux. También se menciona que ARP opera entre
la capa 2 y la capa 3 del modelo OSI y que los mensajes ARP se envían utilizando el
Ethertype 0x0806. Además, se mencionan algunas limitaciones de seguridad de ARP,
como la falta de validación de las respuestas ARP, lo que puede permitir ataques de
suplantación de identidad.

En este contenido, se abordan las vulnerabilidades heredadas del protocolo TCP/IP y se

destacan algunos ejemplos de ataques comunes. También se mencionan los protocolos
principales de TCP/IP y cómo las vulnerabilidades en estos protocolos pueden afectar a
las aplicaciones y protocolos que dependen de ellos. Como analista de seguridad, es
importante estar consciente de estas vulnerabilidades y estar preparado para identificar
comportamientos anómalos y mitigar posibles ataques.

PROTOCOLO IP

El IP es un protocolo sin conexión que se utiliza principalmente para encaminar

información a través de Internet. El papel del IP es proporcionar servicios de mejor
esfuerzo para la entrega de información a su destino. El IP depende de las capas superiores
del conjunto TCP/IP para proporcionar responsabilidad y fiabilidad. Las capas por encima
de IP utilizan la dirección de origen en un paquete entrante para identificar al remitente.
Para comunicarse con el remitente, la estación receptora envía una respuesta utilizando la
dirección de origen en el datagrama. Dado que IP no hace ningún esfuerzo por validar si la
dirección de origen en el paquete que genera un nodo es realmente la dirección de origen
del nodo, se puede falsificar la dirección de origen y el receptor pensará que el paquete
procede de esa dirección falsificada.

Muchos programas para generar datagramas IP falsos están disponibles gratuitamente en

Internet, por ejemplo, hping le permite preparar datagramas IP falsos con un simple
comando de una línea, y puede enviarlos a casi cualquier persona del mundo. También
puede falsificar en varias otras capas, por ejemplo, utilizando la falsificación ARP para
vincular una dirección MAC a la dirección IP de un host legítimo de la red para desviar el
tráfico que está destinado a una estación a otra. El SMTP también es un objetivo para la
suplantación de la fuente del correo electrónico porque el SMTP no verifica la dirección del
remitente, por lo que se puede enviar cualquier correo electrónico a cualquier persona
haciéndose pasar por otra. Como resultado, no se puede confiar en ningún paquete, y cada
paquete debe ganarse su confianza a través de la capacidad de la red para clasificar y
aplicar la política.

En este contenido, se abordan varias vulnerabilidades que afectan al protocolo de Internet

(IP). Estas vulnerabilidades incluyen el ataque de hombre en el medio, secuestro de sesión,
suplantación de dirección IP, ataques de denegación de servicio (DoS), ataques de
denegación de servicio distribuido (DDoS), el ataque Smurf y el agotamiento de recursos.
El ataque de hombre en el medio es un tipo de ataque en el que un atacante
malintencionado se inserta en una conversación entre dos sistemas. El atacante se coloca en
el medio de la comunicación y puede capturar todo el tráfico que pasa entre los dos
sistemas sin que ellos lo sepan. Esto puede ser especialmente peligroso si se trata de una
conversación en la que se intercambian claves de encriptación o se realizan transacciones
financieras.
El secuestro de sesión es otra forma de ataque de hombre en el medio en la que el atacante
intercepta y toma el control de una sesión de comunicación entre dos sistemas. Esto puede
permitir al atacante acceder a información confidencial o realizar acciones en nombre de
los usuarios legítimos.
La suplantación de dirección IP es una vulnerabilidad en la que un atacante falsifica la
dirección IP de origen de un paquete de datos. Esto puede permitir al atacante ocultar su
identidad o hacerse pasar por otro sistema en la red.
Los ataques de denegación de servicio (DoS) y los ataques de denegación de servicio
distribuido (DDoS) son formas de ataque en las que se inundan los recursos de un sistema o
red con una gran cantidad de solicitudes o tráfico, lo que provoca una interrupción o una
degradación del servicio. Estos ataques pueden ser realizados por un solo atacante o por
múltiples atacantes distribuidos en diferentes ubicaciones.
El ataque Smurf es un tipo de ataque de denegación de servicio distribuido en el que se
envían una gran cantidad de paquetes de solicitud de eco (ICMP) a una dirección de
difusión, utilizando la dirección IP falsificada de la víctima. Esto provoca que todos los
sistemas en la red respondan a la víctima con paquetes de respuesta, lo que puede saturar su
ancho de banda y causar una interrupción del servicio.
El agotamiento de recursos es una forma de ataque en la que un atacante consume todos los
recursos disponibles de un sistema o red, lo que puede provocar una interrupción del
servicio. Esto puede ser realizado mediante el envío de solicitudes maliciosas o el uso de
técnicas de saturación.
Estas vulnerabilidades pueden ser explotadas por atacantes para obtener acceso no
autorizado, robar información confidencial, interrumpir servicios o causar daños a sistemas
y redes. Es importante tomar medidas de seguridad para protegerse contra estas
vulnerabilidades, como utilizar firewalls, implementar medidas de autenticación y
encriptación, y mantener los sistemas y software actualizados con los últimos parches de
seguridad.

En este material se abordan las vulnerabilidades basadas en direcciones IP que amenazan

las infraestructuras de red. Algunas de estas vulnerabilidades incluyen:
Ataque de hombre en el medio (MITM):

 Un ataque MITM intercepta una comunicación entre dos sistemas.

 El atacante inserta un dispositivo en la red que captura paquetes de datos y los
modifica antes de enviarlos a su destino original.
 Este tipo de ataque puede comprometer mecanismos de autenticación sofisticados, ya
que el atacante espera hasta que se establezca una sesión de comunicación para
interceptar los paquetes.

Secuestro de sesión:

 Es una variante del ataque MITM.

 El atacante obtiene acceso físico a la red y realiza un ataque MITM para secuestrar
una sesión.
 De esta manera, el atacante puede obtener acceso completo a una computadora de
destino asumiendo la identidad de un usuario legítimo.

Suplantación de dirección IP:

 Los atacantes falsifican la dirección IP de origen en un paquete IP.

 Esto puede ser utilizado para varios propósitos, como inspeccionar la respuesta del
objetivo o realizar ataques de denegación de servicio (DoS).

Ataque de denegación de servicio (DoS):

 En un ataque DoS, el atacante intenta evitar que los usuarios legítimos accedan a
información o servicios.
 Puede dirigirse al equipo y la conexión de red de la víctima o a los equipos y la red de
los sitios que se intentan utilizar.
 Los ataques DoS pueden ser de diferentes tipos, como inundaciones de paquetes o
ataques de desbordamiento de búfer de servicio.

Ataque de denegación de servicio distribuido (DDoS):

  Es un tipo de ataque DoS que involucra un ataque coordinado desde múltiples
máquinas fuente.
 Un ejemplo conocido de un ataque DDoS es el ataque "smurf".

Ataque de agotamiento de recursos:

 Estos ataques causan que los recursos del servidor o la red se consuman hasta el
punto en que el servicio deja de responder o se reduce significativamente.
 Al dirigirse a los enrutadores IP, un atacante puede afectar negativamente la integridad
y disponibilidad de la infraestructura de red.

Recuerda que el aprendizaje es un proceso. Tómate tu tiempo y no dudes en hacer

preguntas. ¡Estamos buscando la maestría y comprensión, no solo acumular información!
¡Tú puedes lograrlo! Avísame si necesitas más aclaraciones sobre algún tema.

Coach
En este material se aborda el protocolo ICMP (Internet Control Message Protocol), el cual es
un protocolo de conexión sin estado que no utiliza ningún número de puerto y funciona en la
capa de red. ICMP fue diseñado para llevar mensajes de diagnóstico y asegurarse de que los
enlaces estén activos, así como para informar sobre condiciones de error cuando las rutas, los
hosts y los puertos son inaccesibles. Algunos puntos clave que se tratan en este material son:
1. Funcionalidad de ICMP:
o ICMP se utiliza para llevar mensajes de diagnóstico y asegurarse de que los
enlaces estén activos.
o También se utiliza para informar sobre condiciones de error cuando las rutas,
los hosts y los puertos son inaccesibles.
o Los datagramas ICMP están asociados con comandos utilizados por los
administradores de red, como ping (solicitud de eco ICMP) y traceroute (TTL
expirado en tránsito ICMP).
o La mayoría del tráfico ICMP es generado por enrutadores, firewalls y puntos
finales para detectar y diagnosticar problemas de conexión de red.
2. Tipos de mensajes ICMP:
o Los mensajes ICMP pueden informar al remitente sobre problemas que han
ocurrido durante la entrega de los datos.
o Por ejemplo, si un host no puede alcanzar otro host en la red local, el remitente
puede recibir un mensaje ICMP de "Destino inaccesible".
o Si un enlace de red está caído, un enrutador puede responder al remitente con
un mensaje ICMP de "Red de destino inaccesible".
o Si el tráfico está bloqueado por un firewall, el firewall puede responder con un
mensaje ICMP de "Prohibido administrativamente por el host".
o Todos los dispositivos de red deben implementar ICMP, pero algunos
administradores bloquean ICMP para evitar que los atacantes recopilen
información sobre su red interna.
3. Importancia para los analistas de seguridad:
o Todo tipo de tráfico ICMP es interesante para el analista de seguridad.
o Ya sea que el tráfico sea generado por el usuario (como en el caso de las
solicitudes de eco ICMP) o generado por dispositivos de red (como en el caso
 de "Destino de red inaccesible" ICMP), proporciona información valiosa sobre
la red y posibles problemas.
o El tráfico ICMP generado por usuarios puede indicar intentos de escaneo de
red.
o El tráfico ICMP generado por dispositivos de red indica problemas y fallas en la
red.

En este contenido, se explora el protocolo ICMP y cómo puede ser utilizado tanto para
pruebas de conectividad como para ataques de seguridad. A continuación, se presentan los
puntos clave:
1. Funcionalidad de ICMP:
o ICMP es un protocolo útil para probar la conectividad en una red.
o Se compone de dos tipos principales de mensajes: consultas y mensajes de
error.
o Se utiliza para enviar una solicitud de eco (echo request) a una dirección IP de
destino y recibir una respuesta de eco (echo reply) si el host está activo en la
red.
2. Ataques utilizando ICMP:
o Existen varios tipos de ataques que aprovechan ICMP, como los ataques de
barrido ICMP, trazado de ruta, mapeo inverso, huellas de sistema operativo y
ataques de mensajes informativos ICMP.
o Estos ataques se utilizan para obtener información sobre la red y los
dispositivos conectados antes de llevar a cabo un ataque.
3. Ataques de reconocimiento y escaneo:
o Los ataques de reconocimiento y escaneo son el punto de partida común para
muchos ataques.
o Un ejemplo de ataque de reconocimiento es el barrido ICMP, que busca
descubrir hosts activos en la red.
o El comando "nmap" es una herramienta comúnmente utilizada para realizar
este tipo de ataques y obtener una lista de hosts que responden.
4. Uso de ICMP en el descubrimiento de red:
o El comando "tracert" se utiliza para descubrir la ruta de red hacia un destino y
obtener información sobre la topología de la red.
o Un atacante puede utilizar esta información para realizar un barrido ICMP en
una subred específica y obtener más dispositivos que pueden ser objetivo de
futuros ataques.
5. Fingerprinting de sistemas operativos:
o Los atacantes también pueden utilizar ICMP para determinar el sistema
operativo subyacente de un dispositivo.
o Esto les permite identificar vulnerabilidades específicas del sistema operativo y
llevar a cabo ataques dirigidos.
o El análisis de los campos de los paquetes ICMP recibidos puede revelar
información sobre el sistema operativo, como el valor del campo "tos" o el
campo "IP TTL".
6. Importancia de la detección de ataques ICMP:
o Como analista de seguridad, es fundamental comprender cómo se formulan y
utilizan los ataques ICMP para poder detectar anomalías en el tráfico de red.