firewall perimetral cuestionario.

 1.Que es firewall perimetral:

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet

2.Para que sirve el firewall perimetral: añade protección extra a su red de computadoras limitando los ataques a puertos con vulnerabilidades de equipos y servidores, los accesos no autorizados, y la mayoría de los códigos maliciosos automatizados.

4:¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware, software, datos, etc.).

5:¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir.

tipos de firewall:

1. Filtrado de Paquetes 
2. Proxy-Gateways de Aplicaciones 
3. Dual-Homed Host 
4. Screened Host 
5. Screened Subnet 
6. Inspección de Paquetes
   SISTEMA DE DETECCION DE INTRUSOS.
   1.concepto de intruso: un intruso es cualquiera que intente interrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.
   2.cuales son las ventajas y desventajas de sistema de detección de intrusos:
   puede prestar un mayor grado de integridad al resto de su infraestructura de seguridad ,los IDS proporcionan capas adicionales de protección a un sistema asegurado ,la estrategia de un atacante del sistema incluirá a menudo los dispositivos de seguridad que atacan ,que anulen o protegen., pero la seguridad es un área compleja con posibilidades y dificultades innumerables. No hay soluciones mágicas a los problemas de la seguridad de la red, y los productos de la detección de la intrusión no son ninguna anomalía a esta regla. Sin embargo, como parte de una gerencia comprensiva de la seguridad saben desempeñar un papel vital en la protección de sus sistemas

3.Que es red IDS: Usualmente una red IDS tiene dos componentes lógicos: el sensor y la estación administradora. El sensor radica en un segmento de red, y los monitores para detectar tráfico sospechoso. La estación administradora recibe alarmas de los sensores y las muestra al operador.

Los sensores usualmente son sistemas dedicados que existen solo para monitorear la red. Estos tienen una interface de red que recibe todo el tráfico no solo aquel destinado para su dirección IP, además capturan y analizan todo el tráfico que fluye en la red. Si detectan algo que parezca inusual lo envían a una estación de análisis.

4.¿Qué pasa fuera de un Firewall?

Es importante mencionar que por el momento no se ha discutido el poner un sensor fuera del firewall. Algunas fuentes recomiendan o defienden un sensor de IDS fuera del firewall con el fin de supervisar ataques del Internet. Miremos esa idea en un ambiente operacional ver lo que significa.

5.Como un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se encuentra en curso:

Patrón

Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y pre configurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque.

Heurística

Un IDS basado en heurística, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como anómalo.


PROTOCOLOS DE SEGURIDAD.

1.Que es un protocolo: es un conjunto de intercambios en los que intervienen normalmente dos o tres entidades: La entidad iniciadora del protocolo (entidad a), la entidad receptora (entidad b) y una tercera entidad opcional (entidad c) con la misión de autenticación de los intercambios, distribución de claves .

2.Por qué se usan protocolos: El protocolo se diseña como la mejor opción para resolver un problema. De esta forma se garantiza que todo el mundo actuará siguiendo el mejor procedimiento para resolver un problema. 

3.en cuantas categorías se puede dividir un protocolo de seguridad: se puede dividir en varias categorías una de las mas estudiadas es el OSI, según la osi la comunicación de varios dispositivos se puede estudiar  dividiéndola en 7 niveles que son expuestos desde su nivel mas alto hasta el nivel mas bajo.

4.algunos de los protocolos de las capa de red son: ip,OSPF,is/is,ARP,RARP,RIP,ICMP,IGMP etc.

5.como funcionan los protocolos: los pasos del protocolo se tienen que llevar a cabo en un orden apropiado y que sea el mismo en cada uno de los equipos de la red,en el equipo origen estos pasos se tienen que llevar a cabo de arriba hacia abajo ,en el equipo de destino estos pasos se tiene que llevar acabo  de abajo hacia arriba.

Sistema de Deteccion de Intrusos

Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion Detection System) es un programa de detección de accesos no autorizados a un computador o a una red.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, las anomalías que pueden ser indicio de la presencia de ataques y falsas alarmas.

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Existen dos tipos de sistemas de detección de intrusos:

1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Snort

Para instalar snort en un sistema windows necesitamos seguir los siguientes pasos:

• Descargamos una copia de Winpcap.exe de www.winpcap.org.

Después de instalar Win-Pcap, reiniciar el sistema.

• Descargar la última versión de Snort paraWindows de la página: www.snort.org. e instalar

• Durante la instalación real, Snort crea una estructura de directorio en C: \ Snort que separece a esto:

· C: \snort \ bin directorio donde se encuentra el ejecutable de la herramienta

· C: \ snort \ contrib

· C: \snort \ doc documentación de la herramienta

· C: \snort \ etc directorio principal para los archivos de configuración

· C: \snort \ log

· C: \snort\ rules juegos de reglas

Los ficheros más importantes son:

· etc/snort.conf: archivo de configuración principal.

· etc/classification.config: información sobre la priorización de las reglas, incluyendo un nombre clasificatorio y una pequeña descripción.

· etc/gen-msg.map: incluye correspondencia entre un identificador de elemento generador de un evento  y su descripción.

· etc/reference.config: define las URL asociadas a las referencias de más información que suelen indicarse junto a las reglas de detección.

· etc/sid-msg.map: hace corresponder el identificador de una alerta (Snort ID, SID) con su mensaje descriptivo.

· etc/threshold.conf: configuración de umbrales límite que permiten la reducción de alarmas por repetición de eventos.

· etc/unicode.map: correspondencias de formato entre diferentes tipos de código.

Una vez que está instalado Snort, debemos continuar con la configuración

• Lo primero que tenemos que hacer es accedera la carpeta C:\Snort\etc en este directorio encontraremos un fichero llamado snort.conf, que es el fichero de configuración que utilizaremos para configurar Snort.

Accedemos al fichero con un editor de texto que no corrompa el formato original del archivo (notepad o wordpad). En la parte final donde hay una serie de “includes” con tipos de reglas, que en función de que tengan delante el signo almohadilla, “#”, o no, se incluirán en la revisión de los paquetes.

Para ello vamos a utilizar notepad++

• Antes de todo descargamos  las reglas y sobre escribimos  todos los ficheros… Uno de ellos es snort.conf, ficheros que vamos a modificar ahora.

Quitamos la # a las siguientes líneas y las dejamos de la siguiente forma:

# decoder and preprocessor event rules

include $PREPROC_RULE_PATH/preprocessor.rules

include $PREPROC_RULE_PATH/decoder.rules

include $PREPROC_RULE_PATH/sensitive-data.rules

Con esto,  las reglas descargadas ya están operativas.

• En el archivo snort.conf, cambiar por:

var RULE_PATH c:\snort\rules

var SO_RULE_PATH c:\snort\so_rules

var PREPROC_RULE_PATH c:\snort\rules\preproc_rules

• Buscamos la declaración de la variable var HOME_NET Any. Se puede modificar de tres modos dependiendo de lo que se quiera:1) Una red C: var HOME_NET 192.168.1.0/242) Host específico : var HOME_NET 192.168.1.3/323) Varios Host: var HOME_NET 192.168.1.2/32,192.168.1.3/32,192.168.1.4/32Ojo: por defecto vendrá ipvar en vez de var. Deberemos cambiarlo para que no se nos produzca un error.Cambie a la configuración de la red (por ejemplo, var HOME_NET 192.168.1.1/24).Vamos a eliminar# ipvar HOME_NET any
  Y en su lugar por ejemplo:
  var HOME_NET 192.168.1.102/32

• Buscamos  la declaración include classification.config y realizamos el siguiente cambioComentamos el primero y añadimos el segundo…# include classification.configinclude c:\snort\etc\classification.config
• Buscamos la declaración include reference.config y cambiarlo para incluir c:\snort\etc\reference.configComentamos el primero y añadimos el segundo…# include reference.configinclude c:\snort\etc\reference.config

• Y finalmente guardamos el archivo

• Antes de ejecutar snort es conveniente bajarse las últimas reglas de detección. Para esto hay que ir a la página de snort, downloads ->rules.

• Solamente nos queda por modificar lo siguiente, cambiar la línea donde aparece:

Dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

por:

dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor

• Y la línea que pone:

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

Por:

dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll

• Ademas dynamicdetection directory /usr/local/lib/snort_dynamicrules

por

dynamicdetection directory c:\snort\lib\snort_dynamicrules

• Una vez realizados estos cambios podemos probar Snort desde la línea de comandos. Accedemos a la carpeta c:\Snort\biny en este directorio escribimos:

C:\Snort\bin>snort -dev -c c:\snort\etc\snort.conf -l c:\snort\log -i2

 Errores que pueden producirse

Error.Missing/incorrect dynamic engine lib specifier.

Dejamos el código de snort.conf de la siguiente forma:

# dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor\

 dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_dce2.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_dnp3.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_dns.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_gtp.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_imap.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_modbus.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_pop.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_reputation.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_sdf.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_sip.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_smtp.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_ssh.dll

dynamicpreprocessor c:\snort\lib\snort_dynamicpreprocessor\sf_ssl.dll

 

Error. Unable to  open rules file “c:\snort\etc\c:\snort\rules\preproc_rules/preprocessor.rules”:

 Invalid argument.

El código en snort.conf:

var SO_RULE_PATH c:\snort\so_rules

var PREPROC_RULE_PATH c:\snort\rules\preproc_rules

cambiar por

var SO_RULE_PATH ..\so_rules

var PREPROC_RULE_PATH ..\preproc_rules

 Error. Unknown preprocessor: “normalize_ip4”.

 Cambiar código en snort.conf:

#preprocessor normalize_ip4

#preprocessor normalize_tcp: ips ecn stream

#preprocessor normalize_icmp4

#preprocessor normalize_ip6

#preprocessor normalize_icmp6

Error. Unable to open address file c:\snort\etc\../rules/white_list.rules, Error: No such file or directory

var WHITE_LIST_PATH ../rules

var BLACK_LIST_PATH ../rules

Por

var WHITE_LIST_PATH ..\rules

var BLACK_LIST_PATH ..\rules

Y

   whitelist $WHITE_LIST_PATH/white_list.rules, \

   blacklist $BLACK_LIST_PATH/black_list.rules

por

   whitelist $WHITE_LIST_PATH\white_list.rules, \

   blacklist $BLACK_LIST_PATH\black_list.rules

Error. Unable to open address file c:\snort\etc\rules\white_list.rules, Error: No such file or directory

Creamos white_list.rules y black_list.rules en la ruta…. Usamos notepad, se crean vacíos. Estos ficheros solo se descargan para usuarios suscriptores. No es suficiente ser registrado.

• Finalmente ya funciona…

snort -dev -c c:\snort\etc\snort.conf -l c:\snort\log -i2

Las opciones que le hemos pasado en la línea de comandos a Snort son:

· -d: visualizar los campos de datos que pasan porla interface de red.

· -e: snort nos mostrará información más detallada.

· -v: Iniciamos snort en modo sniffer visualizando en pantalla las cabeceras de los paquetes TCP/IP.

· -c: archivo que utilizará snort como fichero de configuración.

· -l: directorio donde guardar las alertas y logs.

· -i: interfaz que monitorizaremos.

Prueba final

Si ejecutamos aun comando agresivo veremos el resultado:

nmap -T4 -A -v 192.168.1.1 (escan intenso contra la puerta de enlace)

En alert.ids aparece la información detectada…

[**] [119:31:1] (http_inspect) UNKNOWN METHOD [**]

[Classification: Unknown Traffic] [Priority: 3]

06/13-20:07:20.197014 00:1F:3C:16:56:0B -> 00:0F:66:4D:45:2E type:0x800 len:0x1AD

192.168.1.102:1353 -> 192.168.1.1:80 TCP TTL:64 TOS:0x0 ID:19479 IpLen:20 DgmLen:415 DF

***A**** Seq: 0xB531B7EF  Ack: 0x3F41FDBF  Win: 0x1920  TcpLen: 20

……………..

Significado de la captura.

Por ejemplo:

• Tipo aviso y clasificación de la amenaza… Inclusive su prioridad. clasificación de la alerta contenida en el archivo classification.config.
• Marca de tiempo
• MAC Address origen y MAC Address destino
• Tipo del paquete y tamaño
• IP origen e IP destino
• Protocolo asociado a la generación de la alerta
• TTL:64 tiempo de vida
• TOS:0×0 tipo de servicio
• ID:43469 Identificador de sesión
• IpLen:20 corresponde con la cabecera IP Tamaño de la cabecera o Header Length (20 bytes).
• DgmLen:40 corresponde con total Length (40)

Permiso de archivos y carpetas compartidas

1.-Primero dar click derecho a la carpeta que desea compartir:

2.-Dar click derecho en la carpeta que desea compartir:


3.-Mover el mouse hacia la opción que dice compartir:

4.-Dar click en la opción de compartir y compartir:v

Protocolo de IPsec y https

Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.

https

Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP.
Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales y/o contraseñas.

El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. De este modo se consigue que la información sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar.
El puerto estándar para este protocolo es el 443.

Un repaso por la etimología del término protocolo nos lleva de manera inmediata a protocollum, un vocablo latino. Éste, a su vez, deriva de un concepto de la lengua griega. En concreto, emana de la palabra griega “protokollon”, que es fruto de la suma de dos elementos diferenciados: “protos”, que puede traducirse como “primero”, y “kollea”, que es sinónimo de “pegamento” o “cola”.

IPSEC
Los protocolos de IPSEC actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código

HTTP
HTTP de HyperText Transfer Protocol (Protocolo de transferencia de hipertexto) es el método más común de intercambio de información en la world wide web, el método mediante el cual se transfieren las páginas web a un ordenador.

Cuentas de usuario.

Definición.

Una cuenta de usuario es una colección de información que indica a Windows los archivos y carpetas a los que puede obtener acceso, los cambios que pueden realizar el equipo y las preferencias personales como el fondo de escritorio o de protector de pantalla.

Las cuentas de usuario permiten compartir un equipo con varias personas pero manteniendo sus propios archivos y configuraciones.

Cada persona obtiene acceso a su propia cuenta de usuario con un nombre de usuario y una contraseña.

Tipos de cuentas de usuario

Hay tres tipos de cuentas:

Las cuentas estándar son para el trabajo diario con el equipo.

Tipo de cuenta de usuario que permite a los usuarios instalar software y cambiar la configuración del sistema que no afecte a otros usuarios o a la seguridad del equipo. Este tipo de cuenta es el que se recomienda para el uso diario.

Las cuentas de administrador, proporcionan el máximo control sobre un equipo y solo se debe usar cuando sea necesario.

Tipo de cuenta de usuario que permite un acceso completo al equipo.

Los administradores pueden realizar cualquier cambio que deseen. Este tipo de cuenta no se recomienda para el uso diario sino que solamente debe utilizarse cuando ello sea necesario.

Las cuentas de invitado se destinan principalmente a personas que necesitan utilizar temporalmente el equipo.

Procedimiento

Panel de control

Cuentas de usuario

Agregar y quitar cuentas de usuario

Dar nombre a la cuenta y elegir el tipo de cuenta

….

Cifrado de archivos

¿Qué es el sistema de cifrado de archivos?

¿Cómo cifrar un archivo o carpeta?

El cifrado es el proceso de conversión de datos en un formato que no puede leer otros usuarios. Puede usar EFS para cifrar automáticamente sus datos almacenarlos en el disco duro. Tengan en cuenta que los administradores pueden recuperar los datos cifrados por otro usuario.

Puede cifrar un archivo, solo puedes cifrar archivos en los volúmenes en los que se le han dado formato con el sistema de archivo NTFS (New  Technology File System). Para cifras un archivo realice los siguientes:

1.- Buscar el archivo que desea cifrar, haga clic con el botón secundario del mouse (ratón) y a continuación haga clic en “propiedades”.

2.- En la flecha general, haga clic en “avanzados”.

3.- En atributos de comprensión y cifrado la casilla de verificación Cifrar contenido para proteger datos y a continuación haga clic en “aceptar”.

4.- De nuevo haga clic en “aceptar”, si el archivo se encuentra en una carpeta no cifrada, recibirá un cuadro de dialogo Advertencia de cifrado.

5.- Si desea eliminar el cifrado de archivos repita el procedimiento

……

Compartir archivos y carpetas

¿Cómo compartir un archivo o carpeta?

Windows hace que resulte más fácil que nunca compartir documentos, música, imágenes y otros archivos con otros usuarios en la oficina y el hogar.

Para compartir: Clic con el botón derecho del mouse sobre el elemento que deseas compartir y te aparecerán las opciones a elegir.

………