Professional Documents
Culture Documents
Módulo IV: Diseña e instala redes LAN de acuerdo a las necesidades de la organización
y estándares oficiales
Manual
Equipo: Ivette Galeote Lázaro
Grupo: 602
Índice:
Tabla de contenido
Capítulo I.-
CAPITULO 1 INTRODUCCION ............................................................................................................... 5
1.1 Introducción .............................................................................................................................. 5
Capitulo 2.- objetivos .......................................................................................................................... 6
2.1Objetivos Generales ................................................................................................................... 6
2.2OBJETIVOS ESPECIFICOS ............................................................................................................. 6
Capítulo 3.- MARCO TEORICO O MARCO REFERENCIAL ..................................................................... 7
3.1 Que es un ataque: ..................................................................................................................... 7
3.2¿Cómo ocurren los Ataques? ..................................................................................................... 8
Ataques remotos........................................................................................................................... 9
Ataques DoS ................................................................................................................................. 9
Envenenamiento de DNS .......................................................................................................... 10
3.3 Como proteger tú equipo ........................................................................................................ 10
4.1 Un hacker: ............................................................................................................................... 11
5.1 Ataque por virus: ..................................................................................................................... 12
5.2Gusano ..................................................................................................................................... 13
5.3Troyano .................................................................................................................................... 13
6.1 Características de IDS .............................................................................................................. 13
7.1 Vulnerar Para Proteger............................................................................................................ 14
8.1 Firewalls .................................................................................................................................. 14
9.1 Wrappers ................................................................................................................................. 15
10.1 Sistemas de Prevención de Intrusos ..................................................................................... 16
Capitulo 3.- Desarrollo: ..................................................................................................................... 17
3.1 FALLAS COMUNES EN UNA RED DE ÁREA LOCAL .................................................................... 17
3.2Equipo no puede acceder a la red............................................................................................ 17
Posibles soluciones.................................................................................................................... 17
CAPITULO 1 INTRODUCCION
1.1 Introducción
2.1Objetivos Generales
Informar a las empresas como pueden diseñar o buscar estrategias para proteger
la red de posibles intrusos, y así poder tener una protección segura, mediante las
recomendaciones de la empresa ARI SERVICIE
2.2OBJETIVOS ESPECIFICOS
Identificar las fallas de seguridad relacionadas con el protocolo TCP/IP
Conocer los conceptos relacionados con los Sistemas de Detección de
Intrusos y el Monitoreo de Seguridad
Identificar los aspectos fundamentales en la implementación de Sistemas de
Detección de Intrusos y monitoreo de Seguridad Informática
Comprender los requerimientos y responsabilidades corporativas necesarias
para completar exitosamente un proyecto de Detección de Intrusos.
Ayudar a que el cliente comprenda los riesgos que puede tener si no conoce
las medidas de seguridad en la red
Los atacantes
Penetración en la red
Elevación de privilegios
Luego que el atacante ha penetrado con éxito la red, procura obtener los derechos
de Administrador a nivel de sistema. Por ejemplo, mientras que explota el servidor
Web, gana control de un proceso funcionando bajo el contexto LocalSystem. Este
proceso será utilizado para crear una cuenta de administrador. En general, la pobre
seguridad como resultado de usar configuraciones por defecto, permite que un
atacante obtenga el acceso a la red sin mucho esfuerzo.
Explotar vulnerabilidades
Borrado de huellas
Conflictos con direcciones IP: Los servicios DHCP en general, poseen sistemas
que les ayuda a prevenir que asignen una IP repetida a un equipo en la red. Sin
embargo ocasionalmente puede ocurrir que 2 equipos tengan la misma IP, ya que
uno de ellos puede estar configurado estáticamente. Este hecho se conoce como
IP Duplicada.
Ataques remotos
Técnicas especiales que permiten a los atacantes comprometer sistemas remotos.
Se dividen en varias categorías:
Ataques DoS
DoS, o Denegación de Servicios, es un intento de deshabilitar un equipo o red
para el uso de sus usuarios habituales. Los ataques DoS obstruyen las
comunicaciones entre los usuarios afectados, impidiendo que continúen siendo
funcionales. Un método frecuente de ataque implica la saturación del equipo
vulnerado con solicitudes de comunicaciones externas, de modo que este no
pueda responder al tráfico legítimo o lo haga con tal lentitud que se la considere
no diponible. Estos ataques usualmente conducen a una sobrecarga del servidor.
Los equipos expuestos a ataques suelen requerir el reinicio para así poder
funcionar apropiadamente.
ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56
barrio Tecomavaca calle Benito Juárez s/n
telefono: 236 107 83 70 - 951 505 50 56 ARI_SERVICE@HOTMAIL.COM
Manual para
c detectar y eliminar intrusos
en la red
Envenenamiento de DNS
Valiéndose del envenenamiento de DNS (Domain Name Server) los hackers
pueden engañar al servidor DNS de cualquier equipo logrando fingir que la
información falsa es legítima y auténtica.
Análisis de puertos
El análisis de puertos se emplea para determinar cuáles de los puertos del equipo
se encuentran abiertos en un host de red. Se trata de un programa diseñado para
encontrar tales puertos. El puerto de un equipo es un punto virtual que maneja la
información entrante y saliente – esto es crucial desde un punto de vista ligado a la
seguridad.
Desincronización de TCP
La desincronización de TCP es una técnica empleada en ataques de de "secuestro"
de TCP. Se desencadena mediante un proceso en el cual el número secuencial en
los paquetes entrantes difiere del número secuencial esperado. Los paquetes que
tienen un número secuencial diferente son rechazados (o guardados en un búfer de
almacenamiento si se encuentran presentes en la ventana de comunicación actual).
Contraseñas fuertes
Ni el nombre de nuestros hijos, ni el de nuestra mascota, ni el equipo de fútbol
favorito. Por supuesto no poner sólo números y que encima estén relacionados
con la contraseña de otro tipo de cuenta como puede ser la bancaria.
4.1 Un hacker:
Son intrusos que se dedican a estas tareas como pasa tiempo y como reto técnico,
entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia
y conocimientos de los entresijos de internet pero no pretenden dañar a estos
sistemas, sin embargo estos pueden tener acceso a información confidencial por lo
que se están considerando personas
ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56
barrio Tecomavaca calle Benito Juárez s/n
telefono: 236 107 83 70 - 951 505 50 56 ARI_SERVICE@HOTMAIL.COM
Manual para
c detectar y eliminar intrusos
en la red
Virus archivos: Atacan programas ejecutables, como aquellos que cuentan con
extensión ".exe" y ".com"
Virus Boot: Atacan los sectores de arranque (el sector de arranque de los medios
extraíbles o del disco maestro) y establecen sus propias rutinas de carga en el
arranque.
Virus macro: Atacan documentos en los cuales pueden ser insertados otros
comandos (macros). Estos virus habitualmente se hallan incrustados dentro de
aplicaciones para procesamiento de texto o generación de hojas de cálculo, debido
a que las macros se insertan fácilmente en esta clase de archivos.
5.2Gusano
Un gusano es un programa independiente que se replica a través de una red. A
diferencia de los virus (los cuales necesitan del archivo infectado para ser copiados
y replicarse), el gusano se propaga activamente enviando copias de sí mismo a
través de la red local o Internet, la comunicación por correo electrónico o
aprovechando errores de seguridad del sistema operativo.
5.3Troyano
Un troyano es un código malicioso que, a diferencia de los virus y gusanos, no puede
reproducirse por sí mismo e infectar archivos. Usualmente se encuentra en forma
de archivo ejecutable (.exe, .com) y no contiene ningún elemento más, a excepción
del propio código del troyano. Por esta razón la única solución consiste en
eliminarlo.
•Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una
caída del sistema.
•En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema
puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado.
•Debe hacer frente a los cambios de comportamiento del sistema según se añaden
nuevas aplicaciones al mismo.
8.1 Firewalls
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce
la una política de seguridad establecida. Es el mecanismo encargado de proteger
una red confiable de una que no lo es (por ejemplo Internet).
9.1 Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El
Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con
esto un más alto nivel de seguridad. Los Wrappers son usados dentro de la
seguridad en sistemas UNIXs. Estos programas nacieron por la necesidad de
modificar el comportamiento del sistema operativo sin tener que modificar su
funcionamiento.
•Debido a que el programa protegido se mantiene como una entidad separada, éste
puede ser actualizado sin necesidad de cambiar el Wrapper.
Un IPS realiza un monitoreo y análisis mas complejo y eficaz, tales como ver y
responder tanto a patrones de trafico como paquetes individuales.
Resumiendo un IPS:
Posible solución
Tenga un plan. Algunos problemas y soluciones son obvios; algunos no son. Los
síntomas que usted ve en su red pueden ser el resultado de los problemas en otra
área o capa. Antes de que usted salte a las conclusiones, intente verificar de una
manera estructurada qué trabaja y qué no lo hace. Puesto que las redes pueden
ser complejas, es útil aislar los dominios del Posible problema. Una manera de
hacer esto es utilizar el modelo de la siete-capa OSI. Por ejemplo: marque las
conexiones físicas implicadas (la capa 1); marque los problemas de conectividad
dentro del VLA N (la capa 2), y marca los problemas de conectividad a través de
diversos VLA N
(capa 3), etc. Si hay una configuración correcta en el Switch, muchos de los
problemas que usted encuentra se relacionan con los problemas de la capa física
(los puertos físicos y cableado). Hoy, el Switches está implicado en el capa tres y
cuatro problemas, que la inteligencia incorporada de conmutar los paquetes
basados en la información derivada del Routers, o realmente tiene el Routers que
vivo dentro del Switch (capa tres o transferencia de la capa-cuatro).
3.5Errores DNS
Básicamente los servidores DNS nos ayudan a resolver nombres, para acceder a
google.com después de escribirlo en nuestro navegador el sistema lo resuelve
y luego vemos la página en nuestro navegador. Puede darse el caso en que
Windows nos informe que tenemos acceso a internet, más al intentar acceder a
alguna Web nos dé error NAME NOT RESOLVED, verifica tus DNS.
Posibles soluciones:
3.6 Malware
Malware se refiere a software malintencionado que se están diseñado para dañar o
realizar acciones no deseadas en el sistema. Malware es de muchos tipos como
virus, gusanos, troyanos, etc., que pueden causar estragos en el disco duro de un
ordenador.
Solución
Programas que dicen poder eliminar virus, spyware y adware sin ningún tipo de
problema, pero muchas Para Windows existen muchos veces te decepcionan. Hay
muchos software antivirus que se ofrecen de forma gratuita, de manera que, una
vez instalado, solo ofrece una protección parcial, que es totalmente inútil.
ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56
barrio Tecomavaca calle Benito Juárez s/n
telefono: 236 107 83 70 - 951 505 50 56 ARI_SERVICE@HOTMAIL.COM
Manual para
c detectar y eliminar intrusos
en la red
Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del
agregado de otras actividades individuales que por sí solas no constituyen un
comportamiento intrusivo de ningún tipo. Así las intrusiones pueden clasificarse en:
Además de esas técnicas, existen otras que ayudan en la tarea de tratar con los
grandes volúmenes de información contenidos en los juegos de datos, conocidas
como técnicas de reducción de dimensionalidad (Vishwakarma et al., 2013). Dos
de esas técnicas son: Análisis de Componentes Principales (PCA) (Zhao et al.,
2013) que se basa en la reducción de la dimensionalidad a partir de
transformaciones aplicadas a los datos y la selección de atributos (Ahmed 2014;
Ma et al., 2014; Song et al., 2013), que es la aplicación de técnicas de aprendizaje
automático y de búsqueda, para seleccionar un subconjunto de atributos con el
Atributos TCP Básicos: son aquellos atributos que caracterizan una conexión
TCP/IP simple. Los nombres para esta categoría difieren entre los autores. En
(Dokas et al., 2002; Ertoz et al., 2003) usan el nombre de Atributos Básicos; (Lee
et al., 1999) usan Atributos Esenciales; KDD Cup 99 usa Atributos Básicos de una
conexión TCP individual, mientras (Lichodzijewski et al., 2002) propone Atributos
ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56
barrio Tecomavaca calle Benito Juárez s/n
telefono: 236 107 83 70 - 951 505 50 56 ARI_SERVICE@HOTMAIL.COM
Manual para
c detectar y eliminar intrusos
en la red
Básicos TCP como nombre para esta categoría. Finalmente (Mahoney and Chan,
2003) usa el nombre Flujos Estadísticos para un super conjunto de esta categoría,
la cual incluye protocolos no orientados a la conexión como UDP, ICMP.
Mientras que la primera categoría de atributos (Atributos TCP Básicos) son usados
para caracterizar y detectar ataques que usan una única conexión, la segunda
categoría es usada para detectar ataques que emplean múltiples conexiones al
mismo tiempo (Ej. Scanning, DDoS, Gusanos). Específicamente los atributos
dentro de la categoría de Atributos basados en Tiempo son utilizados en la
detección de ataques que ocurren en un corto intervalo de tiempo tales como
gusanos y DDoS. Por último Atributos basados en Conexión son usados para la
detección de ataques que ocurren en un largo período de tiempo, usualmente
varios minutos o incluso horas.
ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56
barrio Tecomavaca calle Benito Juárez s/n
telefono: 236 107 83 70 - 951 505 50 56 ARI_SERVICE@HOTMAIL.COM
Manual para
c detectar y eliminar intrusos
en la red
Construcción de atributo: tiene como propósito crear atributos adicionales con una
mejor capacidad discriminativa que el conjunto inicial de atributos. Esto puede
significar mejoras en los resultados de los algoritmos de aprendizaje automático que
se aplican. Los atributos pueden ser construidos manualmente, o usando métodos
de minería de datos como: análisis de secuencia, minería de asociación.
Aquí se puede ver que entramos a la subcarpeta llamada etc la cual se encontraba
dentro de la carpeta snort. Aquí se puede ver que dimos clic derecho al archivo
snort.conf para posteriormente seleccionar la opción Edit with Notepad. (Ver
imagen 4)
Aquí se puede abrir que ya se abrió el archivo anterior con Notepad, Aquí se
puede ver ejecutamos el Cmd del
ARI SERVICE telefono: 236 107 83 70 - 951 505 50 56
barrio Tecomavaca calle Benito Juárez s/n
telefono: 236 107 83 70 - 951 505 50 56 ARI_SERVICE@HOTMAIL.COM
Manual para
c detectar y eliminar intrusos
en la red
sistema para comprobar que el snort fue instalado. se puede ver que ya está
ejecutado el cmd del sistema, se puede ver que ejecutamos los comandos
siguientes: El primer comando que ejecutamos fue cd, posteriormente ejecutamos
el comando cd/snort, el siguiente comando que ejecutamos fue cd bin, y
finalmente ejecutamos el comando cls. (Ver imagen 8)
Aquí se puede ver que se escribió lo siguiente SHOME_NET pero con el signo de
admiración invertido y el signo pesos para obtener el root
En el siguiente paso lo que hicimos fue revisar la linea 103 para verificar que no
nos pueda salir un error
Lo que hicimos a continuación fue copiar la dirección de la carpeta para así poder
cambiar las librerías.
Lo que hicimos a continuación fue casi lo mismo que el paso anterior solo que
ahora copiamos la dirección de la carpeta Dynamicengine.
En la siguiente imagen lo que hicimos fue darle el nombre de black lista a nuestro
archivo.
En la siguiente imagen lo que hicimos fue dentro de la opción reemplazar dar clic
en donde dice reemplazar
En la siguiente imagen lo que hicimos fue ejecutar el cmd para comprobar el snort
funciona correctamente
En la siguiente imagen lo que hicimos fue ejecutar el comando snort para así
comprobar su funcionamiento.
En la siguiente imagen lo que hicimos fue ejecutar el comando snort-W para que
así nos muestre el apartado.
En la siguiente imagen se puede ver qué fue lo que nos salió con el comando
anterior.
En la siguiente imagen se puede ver lo que nos salió con el comando ejecutado
anteriormente.
Imagen 38
En la siguiente imagen se puede apreciar que ejecutamos el comando snort-dv-
rpacket.log ( ver imagen 39)
En la siguiente imagen se puede ver lo que nos salió con el último comando
ejecutado.
En la PC 2, haga clic en Inicio > Panel de control > Centro de redes y recursos
compartidos > ícono Red.
Haga doble clic en la PC 1.
Paso 2
Paso 3
Paso 4
Puede agregar aplicaciones a esta lista. Esto puede ser necesario si el cliente
tiene una aplicación que requiere comunicaciones externas pero, por alguna
razón, el Firewall de Windows no puede realizar la configuración automáticamente.
Para completar este procedimiento, debe iniciar sesión en la PC como
administrador.
Haga clic en ¿Cuáles son los riesgos de permitir que un programa se comunique?
Paso 5
En la PC 1:
Haga clic en la ventana Programas permitidos para activarla.
En la PC 2:
Abra la conexión de red a la PC 1.
Haga clic en Inicio > Panel de control > Centro de redes y recursos compartidos >
ícono Red.
¿Puede conectarse a la PC 1?
En la PC 1:
Para activar una excepción, agregue una marca de verificación a Compartir
archivos e impresoras > Aceptar.
En la PC 2:
Actualice la pantalla Red y conéctese a la PC 1.
¿Puede conectarse a la PC 1?
Cierre sesión en la PC 2; utilice la PC 1 para el resto de la práctica de laboratorio.
Paso 6
Haga clic en Inicio > Panel de control > Sistema y seguridad > Herramientas
administrativas > Firewall de Windows con seguridad avanzada > Reglas de
entrada.
Expanda la ventana para ver el nombre completo de todas las reglas de entrada.
Busque Compartir archivos e impresoras (solicitud de eco, ICMPv4 de entrada).
Paso 7
Existen numerosas aplicaciones que los usuarios generalmente no ven y que
también necesitan atravesar el Firewall de Windows para acceder a la PC. Se trata
de los comandos de nivel de red que dirigen el tráfico de la red y de Internet.
En este ejemplo, la opción Permitir solicitud de eco entrante es la que permite que
los usuarios de la red hagan ping a su PC para determinar si está presente en la
red. También le permite ver con qué velocidad se transfiere la información desde
la PC y hacia ella.
En el siguiente espacio, indique los tipos de ICMP específicos.
Cierre todas las ventanas.
Capítulo 7.-Bibliografía
http://dspace.ucbscz.edu.bo/dspace/bitstream/123456789/4714/1/8544.pdf
https://www.ecured.cu/Ataque_a_las_redes_de_datos
Chapman, D. Brent, and Elizabeth D. Zwicky. Construya Firewalls para Internet. No. Z699. 5 Ch46e.
McGraw-Hill, 1997.
CHAPMAN, D. Brent; ZWICKY, Elizabeth D. Construya Firewalls para Internet. McGraw-Hill, 1997.
Chapman, D. B., & Zwicky, E. D. (1997). Construya Firewalls para Internet (No. Z699. 5 Ch46e).
McGraw-Hill.
https://www.adslzone.net/2016/.../las-mejores-herramientas-detectar-intrusos-red-wi-fi
https://debian-handbook.info/browse/es-ES/stable/sect.firewall-packet-filtering.html
DAVIS, J. J. AND A. J. CLARK Data preprocessing for anomaly based network intrusion
detection: A review. Computers & Security, 2011, 30(6), 353-375.
DOKAS, P., L. ERTOZ, V. KUMAR, A. LAZAREVIC, et al., Data mining for network
intrusion detection. In Proc. NSF Workshop on Next Generation Data Mining. 2002, p.
21-30.