21/10/2022

Conceptos básicos de Seguridad

Seguridad de la información es el conjunto de medidas preventivas y reactivas

Información: es una descripción de cualquier objeto archivo, imagen, video, audio

Confidencialidad : destinada a impedir la divulgación de no autorizada de información en una red

local, un sistema cifrado debe hacer esto eficazmente para que tenga valor

 Steganography: es el proceso de ocultar un mensaje en otro (pueden ser archivos que

traen a nivel bit código malicioso)
 Obfuscation: encubrir el significado de algo haciéndolo mas confuso

Integridad: es lo propiedad de la información de mantener los datos libres de modificaciones no

autorizados

 Hashing: se usa un algoritmo para mapear datos de cualquier tamaño a una longitud fija
(usa ioc- indicador de compromiso), no confundir que el cifrado se destina a proteger los
datos y el hash a que los datos no sean alterados
 Nonrepudation: impide que alguna de las partes niegue que ha llevado a cabo

CERT: Computer Emergnecy Red Team

SOC: Security Operation Center

Disponibilidad: es la cualidad de la información de encontrarse a disposición de quienes deben

acceder a ella

 Autenticación: es el proceso de verificar que alguien es quien dice ser

 Log: o registro es referirse a una información reportada por el sistema operativo que sirve
para identificar que esta haciendo, cuando lo está haciendo y en algunos casos se puede
identificar el origen . 3 principales tipos de log: Aplicación, sistema y seguridad

EVENTO DE SEGURIDAD

Es una ocurrencia identificada en el estado de un sistema, servicio o red indicando una posible
violación de la seguridad de la información, política o falla de los controles, o una situación
previamente desconocida que puede ser relevante para la seguridad como:

 Un usuario que se conecta a un sistema

 Un intento fallido de un usuario para ingresar a una aplicación
 Un firewall que permite o bloquea acceso
 Una notificación de cambio de contraseña de un usuario privilegiado, etc.

INCIDENTE DE SEGURIDAD

Es iniciado por un único o una serie de eventos de seguridad de la información, los cuales son
indeseados o inesperados que tienen una probabilidad significativa de comprometer las
operaciones de negocio y de amenazar la seguridad de la información, ejemplo:
  Correos maliciosos con archivos con malware que infecta al equipo de computo
 Secuestro de información por ransomware en donde el atacante espera que la institución
pague por la información secuestrada
 Un atacante ordena a un botnet (enviar grandes volúmenes de peticiones de conexión a
un servidor web, causando la degradación

Conceptos básicos de Riesgos de Seguridad

Threats(amenaza): es aquella que amenza mis activos

Vulnerabilidad: es una debilidad en algo ( para erradicarlas puede ser update, parches)

Riesgo: es la probabilidad de que una amenaza explote una vulnerabilidad

Mitigación de Riesgos: reduce la superficie de ataque

TIPOS DE CONTROLES

Controles técnicos: usan tecnología para reducir vulnerabilidades, estas tecnologías son
herramientas como biglocker, antivirus

 IDSs (Introduction Detection Systems): detecta intrusos en el Sistema

 Firewalls: delimita algunos permisos
 Least privilege: se limita con privilegios de usuario

Controles administrativos: se usan métodos administrativos, como control de riesgos,

vulnerabilidades y test de penetración

Controles de seguridad físicos:

Controles preventivos: previenen un incidente de seguridad (hardening, training, guards, change

management, disabling accounts)

Control detector: detecta los incidentes después de que ocurren (log monitoring, trend analysis,
security audit, video surveillance, motion detection)

Controles correctivos van a tratar de corregir lo que ya se dañó (IDS activo, backups, recovery)

Controles compesadores son alternativos cuando no funcionó ninguno de los anteriores

Candados son controles que anuncian al usario que si los pasan será penalizado

Comparación entre controles de prevención y detección

Los controles de deteccion no pueden predecir o alertar de un incidente y tampoco puede
prevenirlos

Mientras que los de prevención si pueden detener y prevenir un incidente

Virtualización
Hay dos tipos de virtualizacion:

 Tipo1: Corren en hardware y no necesitan sistema operativo

 Tipo2: tienen software y usan sistema operativo

Aplicación cell virtualizacion: corre un servicio o aplicación en celdas aisladas, también se le llama
contenedor de virtualización

Snapshots: son una copia instantánea de volumen o snapshot es una instantánea del estado de un
sistema en un momento determinado

VDI: VDI aloja entornos de escritorio en un servidor centralizado y los distribuye a los usuarios
finales según las necesidades.

Comandos

Ipconfig / despliega todas las interfaces de red configuradas

Ping es el comando para probar la conectividad

Netstat muestra el estado de todas las interfaces de red

21/10/2022

Sitemas operativos seguros

Hay varios sistemas seguros:

 MAC, Windows, Linux

 Kiosks como sistema de puntos de venta como los de una caja registradora, una
 Network los sistemas de un switch, router etc
 Appliance son sistemas como Windows pero que viene modificado y normalmente son
hechos para una empresa

Imagen maestra o servidor maestro: de actualizar varios dispositivos de manera automática

Implementar/configurar un sistema seguro

 Parchar: tener gestionado y actualizado
 Proteger de vulnerabilidades
  Probar parches
 Desarrollo automatizado
 Pruebas del desarrollo y verificación de actualizaciones

Administración de Cambios

Al querer hacer un cambio debemos tener un documento señalando todo lo que vamos a hacer
(actualización, backups) y donde lo vamos a hacer (servidor, computadora), para presentarlo y
esperar su aprobación

Los software no autorizadoso sin licencia no son permitidos porque pueden llegar a contener
malware

Tampoco se permiten las violaciones de cumplimiento como las licencias

Aplication whitelisting (listas blancas de aplicativos)

identifica software autorizado para estaciones de trabajo, servidores, dispositivos moviles

previene que los usuarios instalen o corran software que no esta en la lista

Aplication whitelisting (listas blancas de aplicativos)

Escena y despliegue seguro

Sandboxing se usa para testear y aísla en un área específica el sistema para probar

VMs son máquinas virtuales que aíslan sistema operativo

Chroot aísla un área con Linux OS

Desarrollo de entorno seguro

 Desarrollo de aplicativo
 Siempre se debe testear para checar sus vulnerabilidades
 Staging hacer simulaciones de un entorno de producción
 Producción se genera el producto final una vez pasando por todo esto

Periféricos

Whireless mice

Hardware and firmware security

Interferencia electromagnetico (

Vulnerabilidades adicionales

Fin de vida del sistema , no están actualizados

Computación en la nube
On-premise: es todo lo físico, lo que administramos

Hosted: recursos rentados y manejo por otra organizacion

Modelos de desarrollo de la nube

Publica: todos tienen acceso

Privada: solo personas en específico tienen acceso a ella

Comunitaria: cuando dos o mas organizaciones comparten la nube

Hibrida:es la combinación de las nubes anteriores

MDM Mobilie Device Management

Este se instala en los celulares para limitar a su uso , segmentación del storage, manejo contenido,
paswords, aplicaciones

MDM

Monitorea software no autorizado, aplicaciones de terceros, control del hardware

Sistemas embebidos

Protección confidencial con encriptación

Permisos de linux: Owner, group, others, read (r)

Permisos de Windows

Seguridad en Redes
IDS (intrusion detection system) es un software en un sistema (ej. fortinet) que detecta actividades
sospechosas en base a firmas y nos notifica

Firewall es un control preventivo, se configura mediante reglas en donde se delimitan ips etc

IPS

Packet sniffing

Son analizadores de paquetes, su tarea es analizar el trafico de una red (ej. Wireshark), el IDS e IPS
también tienen esa capacidad

HIDS(host intrusion detection system)detecta ataques en un Sistema local como un servidor no

puede monitorear el trafico de un red
NIDS(host intrusion detection system) no son capaces de descifrar la info, esta si es capas de
monitorear el trafico de una red

Métodos de deteccion IDS

 Firmas(signature-based): es una base de datos donde los ids buscan su match para poder
identificar un patrón sospechoso
 Heurísticas (Heuristic behavior-based) alerta anomalías más complejas que tienen que ver
con inteligencia artificial

Consideraciones de IDS

 Reporte- solo te avisan, no te defienden

 Humbrales-puede ser más permisivo o más restringido
 Falsos positivos algo que reportó pero no era peligroso
 Falsos negativos algo que no reportó pero si era peligroso
 Verdadero positivo es algo que se reportó y si pasaba
 Verdadero negativo es algo que no está sucediendo y no seestá reportando

Respuestas de IDS’s

 Pasivos: ventana pop-up, monitor central, e-mail,

 Activos: notificaciones modificaciones al ambiente (modificaciones de ACLs, cierra o
termina procesos, desvía ataques

IDS vs IPS

 IPS es un control preventivo, monitorea de manera activa para detectar una actividad
maliciosa y parar ataques en procesos
 El ids está atado a un software, mientras que el IPS está detrás del Firewall y no depende
de un sistema

DMZ es la zona desmilitarizada es parte de la red que está fuera de los activos de la empresa
con el objetivo de que tengas acceso publico

SCADA network es una estructura diseñadas para empresas donde administras la línea de
producción como los robots

Honey pots, es un punto hecho para hacer caer al atacante, sirve para observar los exploits de
dia cero

802.1x port security

2.4 vs 5 GHZ

 La de 2.4 llega más lejos

 La 5 tiene más velocidad
 La 5 tienen problemas con vidrios
 La 2.4 tiene problemas con luces blancas
Access Point SSDI

Es un dispositivo donde conectas mas dipositivos para compartir información, red etc

Para comfigurarlo debemos cambiar el nombre y desactivar el brodcast

Filtro de MAC, filtra el control de acceso a la red

WAP(wifi protect access) remplasó al WEP(Wired Equivalent Privacy)

WAP 2

TKIP protocolo de incriptacion viejito que se usaba con WAP

CCMPbasado en un AES(método de cifrado)

Proteger una red

No usar WEP

Configuración inalámbrica

 PSK compartir una llave(clave de wifi)

Protocolos de autenticación

EAP-TLS permite una

Disassociation attack esconecta los dispositivos del Access point para poner un portal y conectarse
a un punto de acceso ilícito

WPS Tienen configurados un PIN

WPS attack

Rogue Access Point un red hecha para atacar

Evil twins un dispositivo se conecta pensando que es una red real cuando es falsa y maliciosa

Bluetooth

Bluejacking mandaba mensajes no autorizados

Bluesnarfin Accede al teléfono y hacer robo de iformación

Bluebugging El atacante accede completamente a un celular, desde imgaenes- info, hasta llegar a
controlar llamadas

VPN (virtual private network)extensión de tu red o un agente que se le da alguien para acceda de
forma remota a tu red

LDAP: Servidor que conectas con los domain controls, son para autenticar a los usuarios de
dominio con Domain Controles
LDAP secure: active directory y domain controller

RADIUS Autenticar peticiones remotas y las vpn

Protocolos de túneles

IPsec es un protocolo de túnel la autenticación AH (autentication header) se dedica a la integridad

y autenticación con el protocolo ID51, el cifrado es el ESP agrega confidencialidad con el protocolo
ID50 usas el modo de túnel para VPNs con IKE sobre el puerto 500

TLS es un protocolo de túnel, funcional con VPNs a través de NAT, SSTP(secure socket tunelling
protocol) usa TLS sobre el puerto 443

Split tunnel incripta o cifra solo a cierto trafico

Full túnel cifra toda la información, como ventaja el trafico es menor y hay menos delay

VPN

 Site to site (punto a punto): Sirve para comunicar punto a otro mediante tuneles
 VPN regular para usuarios: Establecen un túnel y un cliente VPN para conectarse a su ISP y
llegar a la red

Control de acceso a la Red

Identity and Access Services

 TACACS+ sitema para controlar sus accesos, lo creo cisco como alternativa a RADIUS,
además usa el puerto 49 TCP, cifra todo el proceso de encriptación,
 DIAMETER Es de cisco, es una extensión de RADIUS y soporta el EAP (es para cifrar y es
mejor EAP+TLS)

24/10/2022

Manejo de riesgos

Riesgo: es la probabilidad de que una amenaza explote

Vulnerabilidad: es una debilidad que puede existir en hardware, software o proceso, estas se dan
por falta de actualizaciones (hardening), configuraciones por default, falta de actualización de
antivirus, sin firewall; todas las vulnerabilidades vienen de tecnologías, políticas/procesos, gente

Amenaza: riesgo potencial, compromete al sistema en tres puntos (la triada de la seguridad CIA),
confidentiality, integrity y Availability, los tipos de amenaza son: hackers, error humano,
ambiental; las maneras son: MANMADE(Man in the Middle, interno y externo), interno(insiders) ,
externo
Impacto: es la magnitud del daño causado al explotar una vulnerabilidad

Evaluación de amenazas/ Threat Assessmet : Identificar todas las amenazas que puede haber en
mi organización

Manejo de riesgo/Risk Managemente: practica de identificar, monitorear y limitar un riesgo a un

nivel manejable

Riesgo residual: los riesgos nunca desaparecen, pero se trata de llevar de un nivel crítico a un nivel
bajo

Cuando tienes un riesgo puedes:

 Evitar: ignorar el riesgo

 Transferir: transferir a alguien ese riesgo como comprar un seguro, ir a una empresa de
seguridad y hacer cargo a un tercero del riesgo
 Mitigar: implementar controles para reducirlo
 Aceptarlo: aceptarlo porque no genera un gran daño

Gestión de Riesgos

1. Identicar los Assets/Activosque son todo lo que compone su organización, todos los
documentos, personas importantes
2. Cuantitativo es cuando expresas las cosas con un valor monetario
3. Cualitativo creas una métrica de riesgo, tablas, listas de menor a mayor
4. Documentación de evaluación, categoría riesgo, impacto, medidas de seguridad,
controles, riesgo residual, plan y fechas, configuraciones

Analisis de riesgo Cuantitativo

SLE(single loss expectancy) expectativa de pérdida única, lo que se pierde en el momento

ARO(annual rate of occurrence) tasa anual de ocurrencia, el tiempo que se pierde

ALE(anual loss expectancy) SLExARO, es la perdida total anual

Likelihood of occurrence

Buscando Vulnerabilidades

 Determina la postura de seguridad del sistema

 Identifica vulnerabilidades y debilidades
 Identifica assets y capacidades
 Prioriza assets basados en la evaluación

Herammientas para buscar vulnerabilidades: Nmap, Netcat, Nessus, Ping Scan, Arp Ping Scan, Syn
stealth scan, Service scan, Os detection,

Zenmap(con un scaner te permite ver que puertos tiene abiertos un equipo y buscar
vulnerabilidades)
Banner grabing

CVE viene una base de datos donde buscas la vulnerabilidad https://cve.mitre.org/

CVSS te da el score de la vulnerabilidad conforme lo que se analizó de ella

https://nvd.nist.gov/vuln-metrics/cvss#

Escaneo de vulnerabilidades

Análisis y un pentest una se asegura de que la vulnerabilidad exista (la explota) y la otra es una
herramienta automática que no explota las vulnerabilidades y te informa sobre ellas
Los escaneos se pueden hacer con credenciales de escaneo autenticadas (se deben dar permisos
de administrador para que te de manera más detallada), credenciales de escaneo no autenticada,
escaneo de compilación de configuración

Sctask0168540

Testeo de penetración (Pentest)

 Reconocimiento pasivo: colecta información, sin hacer daño ni meterse con nadie, toda la
info es publica
 Reconocimiento activo cuando uso herramientas para obtener información como
vulnerabilidades y escaneos de red
 Escalonar privilegios : se van obteniendo más permisos conforme el nivel
 Pivote: usa el sistema explotado para explotar otros más(movimientos laterales)
 Persistencia: dejar una presencia en la red, backdoors que son sistemas instalados ocultos
que podemos usar luego para volver a entrar

Tres formas de hacerlo:

 Black box : voy a hacerlo y no tengo conocimiento inicial de la red

 White box: al hacer el test tienes la información de la red para poder explotarla
 Gray box: te dan solo cierta información de la red

Comparasiones

Escaneo de vulnerabilidades

 No es intrusivo y además es pasivo

 Escaneo de vulnerabilidad
 Poco tiempo de impacto
 No toman acciones sobre las vulnerabilidades detectadas

Pentesting

 Intrusivo y activo
 Pontecial para comprometer un sistema
 Explotation frameworks

Metasploit

SIEM(security information and event management) es donde nosotros, recibimos información de

una fuente como firewalls, antivirus

Actores de amenaza

Open-source intelligence: recopila información de internet

Script kiddie persona que tiene pocos conocimientos, puede llegar a causar problemas

Hacktivist

Insider
Crimen organizado

Apt son ataques en versión avanzado, son grupos de cibercrimen y hacen campañas de malware,
normalmente están en China APT1, Rusia APT28

Tipos de malware

 Gusanos: se replican a ellos mismos

 Bombas lógicas: se ejecuta en respuesta a un evento
 Backdoors: son puertas traseras
 Caballos trojanos: parece bueno pero es malicioso
 Drive-by downloads compromete webs para terner control sobre ella, instala un trojano
embebido en el código del sitio web
 Ransomware toma control del sistema de los usuarios, encriptan datos del usuario e
intentan extorsionar

NOTA: Puerto 3389 Acceso al escritorio remoto de Windows

Tipos de malware

Keylogger guarda las pulsaciones de teclas

Spyware

Adware

Bots and botnets

Bots: software de robots

Botnets controlados por criminales,manejo de comandos y controles de centros, une las

computadoras a la red robótica

Zombies o clones: Computadoras dentro de botnet, se unen después de infectarse con malware

Propagación masiva a través de la cadena de suministro

Rootkits

 Nivel de sistema o acceso al kernel

 Puede modificar los archivos del sistema y el acceso al sistema.
 Ocultar sus procesos en ejecución para evitar la detección con técnicas de enganche
 El verificador de integridad de archivos puede detectar archivos modificados
 La inspección de RAM puede descubrir procesos enganchados

NOTA: 2244 ataques al día, 1 ciberataque cada 39 seg

Ingeniería social

 Impersonating hacerse pasar como un técnico autorizado

  Shoulder Surfing mirar la computadora de alguien mas mientras pone sus contraseñas o
con una cámara remota
 Tricking users with hoaxes
 Seguir de cerca: Seguir de cerca al personal autorizado sin proporcionar credenciales,
mitigado con mantraps
 Buceo en la basura: Buscando en la basura en busca de información, Mitigado por
trituración o quema de papeles

Targeted phishing

Spear phishing

 Se dirige a grupos específicos de usuarios

 Podría apuntar a empleados dentro de una empresa o clientes de una empresa

Whaling

 Dirigido a ejecutivos de alto nivel

 Las firmas digitales proporcionan garantías a destinatarios sobre quién envió un correo
electrónico
 Las firmas digitales pueden reducir el éxito de spear phishing y caza de ballenas

Vishing

 Uses phone or VoIP

25/10/22

Ataques avanzados
Pruebas ofensivas: Vectores de ataque, vulnerabilidades, riesgos

Ataques más comunes

 Denial of service DoS: vienen de un sistema

 Distrubuted Denial of service DDoS :multiple ataque de computadoras a una sola,
normalmente tiene un gran y pesado trafico de red
 Escalamiento de privilegios: encontrar formas o vectores que nos ayuden a subir de
privilegio
 Spoofing inpersonificar o hacernos pasar por alguien mas
 SYN flood attack : inundación de solicitudes SYN
 Man in the middle: es un Sistema que sirve como intermedario que va interceptar todo
paquete o petición
 ARP poisoning, nos quedamos en capa dos con las direcciones MAC, envenenamiento de
tablas de ARP
Modo monitor: captura todos los datos de la red a través de una antena

Modo Promiscuo: se encarga de capturar todos los paquetes que viajan por un medio físico

Smb y http

Ataques DNS

 DNS poisoning está enfocado en el directoria activo de windos, intento de corromper

datos dns, se puede proteger a través del protocolo DNSSEC
 Pharming en la redirección de la información a otro lado
 Ataques DDoS DNS : amplificación de ataque DNS

Amplificacion de Ataques

Smurf manda un ping de unidifusión, El ataque Smurf envía el ping como una transmisión, El
ataque Smurf falsifica la IP de origen, Difusión dirigida a través de una red amplificadora,
Deshabilitar transmisiones dirigidas en enrutadores fronterizos

Network Time Protocol NTP es el que se encarga de darte la hora y sincronizar tus dispositivos

Ataques de contraseñas

 Online: trata de conseguir las contraseñas en línea y atrapa paquetes

 Fuerza bruta: intentar de muchas maneras varias veces hasta lograrlo, Prevenir ataques en
línea con políticas de bloqueo de cuentas, Protéjase contra ataques fuera de línea con
contraseñas complejas y seguras y cifrado o hash
 Diccionario: existen diccionarios con contraseñas usales o predecibles
 Birthday attack colision de hash, se previene con un hash fuerte
 Rainbow table attack descifra los hashes por medio de algoritmos matemáticos
 Replay: son como fuerza bruta, Reproduce datos en un intento de hacerse pasar por
cliente, Las marcas de tiempo y los números de secuencia son contramedidas efectivas
Puede ser
• Un ataque de aplicación/servicio
• Un ataque inalámbrico
• Un ataque criptográfico
 Texto plano / Known plaintext : El atacante tiene muestras tanto del texto sin formato
como del texto cifrado.
 Typo squatting / URL hijacking : Los atacantes compran dominios similares
 Clickjacking : Engaña a los usuarios para que hagan clic en algo diferente, Típicamente usa
marcos
 Session hijackin trtas de obtener los session ID que se encuentran en las cookies
  Domain hijacking: El atacante cambia el registro del nombre de dominio, Normalmente se
realiza mediante el uso de técnicas de ingeniería social para adivinar la contraseña del
propietario
 Man in the browser tipo de proxy trojano, puede capturer la información del navegador
 Driver manipulación: shimming es la clonación de tarjetas, refactoring es construir de 0 un
driver o el código fuente
 Vulnerabilidades Zero-days : son indocumentadas y desconocidas al público, Es posible
que el proveedor lo sepa, pero aún no ha lanzado un parche para solucionarlo.

Vulnerabilidades de Búfer de memoria

Conceptos de codificación segura

 Código compilados optimizado, corre con un ejecutable, compila el programa para checar
errores
 Códigos en ejecución el código es interpretado y evaluado mientras se corre
 Input validation: Verifica la validez de los datos antes de usarlos, Verifica los caracteres
adecuados, Utiliza verificación de límites y/o rangos, Bloquea el código HTML, Impide el
uso de ciertos caracteres html
 Client-side vs server-side : El lado del servidor es más seguro (muchos sitios usan ambos)
 Input validation prevents : La validación de entrada evita, Desbordamiento de búfer,
inyección de SQL, inyección de comandos y ataques de secuencias de comandos entre
sitios
 Evita las condiciones de carrera, Ocurre cuando dos módulos intentan acceder al mismo
recurso, El primer módulo en completar el proceso gana, Los bloqueos de la base de datos
evitan las condiciones de carrera

Manejo de errores y excepciones

 Detecta errores y proporciona retroalimentación

 Evite que una entrada incorrecta bloquee una aplicación p
 proporcionar información a los atacantes
 Los errores para los usuarios deben ser generales
 La información registrada debe ser detallada

Conceptos de codificación segura

• Reutilización de código
– Evitar código muerto
• Códigos de desarrollo de software (SDK)
– Proporcionar herramientas de software fáciles de reutilizar
• Ofuscación de código
– Código de camuflaje

Modelos SDLC

Modelos de ciclo de vida de desarrollo de software (SDLC)

  Cascada
– Múltiples etapas que van de arriba abajo
– Estricto
 Ágil
– Comienza con un conjunto de principios
– Utiliza ciclos iterativos con cambios incrementales
– Flexible

26/10/22

Implementación de controles
Control de seguridad física :Cuartos de servidores, Hardware (candados), puerta de acceso, áreas
de trabajo seguro, construcción, registro, guardias de seguridad, cámaras

Gestión de activos: Debilidades de la arquitectura, Debilidades de diseño, Expansión del sistema,

Activos no documentados

Controles Ambientales
Sistemas HVAC

 Los sistemas HVAC de mayor tonelaje: proporcionan más capacidad de enfriamiento,

mantiene las salas de servidores a temperaturas de funcionamiento más bajas, Da como
resultado menos fallas y tiempos de MTBF más prolongados
 Sistemas de control de temperatura: Ayudar a asegurar una temperatura relativamente
constante
 Controles de humedad: Reducir el potencial de daños por ESD, Reducir los daños por
condensación

Sistemas de climatización: Debe estar integrado con los sistemas de alarma contra incendios,
Tener amortiguadores o la capacidad de apagarse en caso de incendio

Extinguir fuego: Quitar el calor, Quitar el oxígeno, Quitar el combustible, Interrumpir la reacción en
cadena

Blindaje

 Cables blindados: Protege contra EMI y RFI, Impedir que alguien capture el tráfico de la
red
 Blindaje EMI: Evita que las fuentes de interferencia externas dañen los datos, Evita que los
datos emanen fuera del cable
 Distribución protegida de cableado
 Jaula de Faraday

Redundancia y tolerancia a fallas

  Punto único de fallo: Cualquier componente cuya falla resulte en la falla de un sistema
completo
 Elimine los puntos únicos de falla con RAID (disco), Clúster de conmutación por error
(servidor), UPS y generadores (energía)
 Los puntos únicos de falla a menudo se pasan por alto hasta que ocurre un desastre.

Redundancias de disco

 Barato, Agrega tolerancia a fallas y aumenta la disponibilidad, RAID de hardware más

eficiente que el RAID de software
 RAID-0 sin redundancia: Dos o más discos
 RAID-1 utiliza dos discos como espejo
 RAID-5 puede sobrevivir a la falla de un disco: Tres o más discos
 RAID-6 puede sobrevivir a la falla de dos discos: Cuatro o más discos
 RAID-10 combina RAID-1 y RAID-0: Número par de discos

Redundancia de servidor

Clústeres de conmutación por error para alta disponibilidad, Eliminar un servidor como único
punto de error, Balanceo de carga para alta disponibilidad, Todos contra todos, Afinidad

Redundancias de energía

 UPS son fuentes de poder que no se apagan cuando hay un apagón, Proporciona
tolerancia a fallas a corto plazo para la energía, Puede proteger contra fluctuaciones de
energía
 Los generadores proporcionan tolerancia a fallas a largo plazo para la energía

Protección de datos con copias de seguridad

 Full backups/Copias de seguridad completas: El tiempo de recuperación más rápido, hace

las copias de todo
 Differential backup/Respaldo diferencial: Realiza una copia de seguridad de todos los
datos que han cambiado desde la última copia de seguridad completa o diferencial, como
one drive, solo va guardando lo que se modifica
 Incremental backup/Respaldo incremental: Realiza una copia de seguridad de todos los
datos que han cambiado desde la última copia de seguridad completa o incremental

Copia de seguridad de instantáneas/ snapshot backup

 Prueba de copias de seguridad

 Restauraciones de prueba: La mejor manera de probar la integridad de los datos de copia
de seguridad, Restauración de prueba completa
 Verifica que una copia de seguridad se pueda recuperar en su totalidad: Restauración de
prueba parcial
  Verifica que los archivos individuales se pueden restaurar

27/10/2022

SEGURIDAD OPERACIONAL
 Security polices: son politicas, son guias que nos ayudan a proteger la propiedad que
tenemos en ese entorno, hay diferentes controles que pueden ser técnicos,
administrativos y físicos.
 Politicas personales: son más enfocadas al empleado, son las reglas o lineamientos que
son para el usuario, como que debe cumplir, que debe realizar, el correcto uso del equipo
de trabajo.
 Separacion de deberes: previene que una tarea se complete, y no dejar como una
actividad vacia
 Job rotation: No dejar las actividades a una persona
 Clean desk policy: Tener organizado tu lugar de trabajo, para evitar accidentes.
 Background check: que la información confidencial, solo la pueda ver la persona que tiene
acceso.
 NDA: Los acuerdos que se hacen con el cliente
 Exit interview: Cambios que se puedan hacer con respecto a la salida de una persona.

Agreement types

 Service Level Agreement/SLA: son acuerdos con el cliente, de tratamiento de solución.

 Interconnection Security A ISA: protege los datos mientras están en transito
 MOU:es la documentación entre dos personas declarando sus responsabilidades y
obligaciones entre ellos
 Business partners agreement : Responsabilidades y obligaciones y lo que puede suceder
en caso de cumplir con ellas
 Clasificación de la Información: La información tiene que ser clasificada y nos ayuda a ver
cuánta protección debemos darle
 Clasificaciones definidas en la política de seguridad: Datos públicos, Información
confidencial, Datos de propiedad, Datos privados
 Etiquetado y manejo de datos: Ayuda a garantizar que el personal aplique los controles de
seguridad adecuados para proteger la información, Etiquetas físicas, Etiquetas digitales

Destrucción de datos y desinfección de medios

 Purga
  Destrucción de archivos
 Borrado y sobrescritura
 Incendio

Politicas de Retención de Datos

Se refiere a saber donde y cuanto tiempo va a estar almacenada la información

Personally identifiable information (PII) es información única y personal como la curp

Respuesta de incidentes

 Incidente: Un evento adverso o una serie de eventos, Puede afectar negativamente la

confidencialidad, integridad o disponibilidad de datos o sistemas
 Ejemplos: Ataques, Lanzamiento de malware, Violaciones de la política de seguridad,
Acceso no autorizado a los datos, Uso inapropiado de los sistemas

Plan de respuesta a incidentes

 Tipos de incidentes
 Equipos de respuesta a incidentes cibernéticos
 Funciones y responsabilidades
 Escalamiento
 Los requisitos de información
 Ejercicios

Proceso de respuesta a incidentes

 Preparación
 Identificación
 Contención
 Erradicación
 Recuperación
 Lecciones aprendidas

31/10/22
 Criptografía
Criptografía en integridad: que la data no sea modificada, esto se ve con los números hash, estos
números no son iguales a los otro, los hashes son algoritmos o sumas que le dan un único número
de documento

Nota: Un hash es un número derivado de realizar un cálculo de los datos

Criptografía en confidencialidad: se asegura la confidencialidad debido a la encriptación que hace

que la info no sea leíble, la forma de incriptar usa dos llaves, de dos maneras:

Simétrica: usas la misma llave para incriptar y desincriptar

Asimétrica: usa dos llaves, purblica y privada, creadas como un par coincidente

Conceptos

 Crifrado en cadena Va cifrando un bit a la vez

 Cifrado en bloques: va cifrando de bloques en bloques de bits
 Steganography: Va ocultar los datos detrás de otros datos
 Promueve integridad con hash en los archivos, el hash es unidireccional, no es reversible,
lleva un cheksum que es una suma de dato por dato que lo cifra

Protocolos de hash

 Para verificar la integridad está MD5 y SHA

 Integridad y autenticidad usa HMAC, IPsec y TLS use HMAC-MD5 y HMAC-SHA1

Hashing passwords:Las contraseñas son almacenadas en hashes, para un inicio de sesión

comparan las hashes

Key stretching: Ayuda a prevenir ataques de fuerza bruta y tablas arcoíris, usa Bcrypt y PBKDF2

Componentes básicos de la incriptacion:

Algoritmo: es aquel que nos va a ayudar a poder realizar cálculos matemáticos sobre los datos

Key: Un número que proporciona variabilidad, Se mantuvo en privado y/o se cambió con
frecuencia

Términos de incriptación:

 Números aleatorios y pseudoaleatorios

 Vector de inicialización (valor inicial)
 Nonce (número usado una vez)
 XOR (operación lógica que compara dos entradas)
 Confusión: Texto cifrado significativamente diferente al texto sin formato
 Difusión: Pequeños cambios en el texto cifrado dan como resultado grandes cambios en el
texto cifrado

Identidad y manejo de acceso

 Identificación, autenticación, autorización
 AAA(authentication, authorization, and accounting)
 Pista de auditoria : documentar las actividades del actor en el sistema

Factores de autenticación

 Algo que sabemos: como el nombre de usuario y el password

 Algo que tenemos: como una Smart card
 Algo que tu eres: como identificación con biométricos

Principios claves

 Necesidad de saber
 Separación de funciones
 Menor privilegio

01/11/2022
Network Tecnologies tools
TCP= protocolo que trabaja por tres vías, Para comenzar, debemos saber que TCP esel protocolo
que controla las comunicaciones entre dos computadores conectados en red.
El protocolo TCP es el que permite que nos conectemos a un servidor web y podamos navegar por
internet. También nos permite conectarnos a nuestro servidor de correos para enviar o recibir
correos electrónicos.
Ataques tcp spoofing= son ataques de enmascaramiento

Protocolos básicos de red

 OSI importan mas las 3 primeras capas

 TCP tiene tres vías de acuse de recibo (three-way handshake), este nos asegura el recibo
de información
 UDP se usa para mas rapidez ya que esta no asegura el recibo de información, se usa en
audio, video, streaming etc
 ICMP sirve para el ping
 ARP es para los descartes de capa 2, combierte una dirección IP a una MAC
 NDP es lo mismo que ARP pero para IPV6
 Vpn tiene dos fases : la primera trabaja con ike, la segunda con ip sec

NOTA: puerto 445 Net Bios de Windows usualmente se usa para temas de ransomwere

Protocolos y casos de uso

 Transport voice and video over network – RTP & SRTP

 Transfer files over a network – FTP – TFTP – SSH – SSL – TLS – IPsec – SFTP – FTPS
 Email and web usage – SMTP – POP3 & Secure POP – IMPA4 and Secure IMAP – HTTP –
HTTPS
 Directory services – LDAP – 389
 Port 636 when encrypted with SSL or TLS – Kerberos – Port 88 – Group Policy
 Remote access – SSH (22) – Netcat – RDP(TCP 3389)
 Time synchronization – NTP(UDP126) – SNTP(version segura de NTP)

DNS

 Puede tener varios archivos de configuración

 Resuelve nombres a direcciones IP
o A - Anfitrión IPv4
o AAAA: servidor IPv6
o PTR - Puntero
o MX - Servidor de correo
o CNAME: alias

NSLookup Resolver dominios

Entendiendo e identificando los puertos

CFO es el que importa al tratar de vender

FMA

Insignificante 1 Moderado 3 Catastrofico 5

Alto 5 5 15 25
Medio 3 3 9 15
Bajo 1 1 3 5

Preparación

Identificación

Contención

Erradicación

Recuperación

Lección aprendida

ITIL= Information Technology Infrastructure Library Fabricadores, intel,envidia

Pink Elefant

Service delivery=como se hacen escalaciones, penalizaciones

Conjunto de practicas que regula