Ataques a la red. Denegación de servicio. Métodos administrativos de protección contra ataques remotos.
20/06/05 37KInternet cambia por completo nuestra forma de vida: trabajo, estudio, ocio. Estos cambios se producirán tanto en áreas que ya conocemos (comercio electrónico, acceso a información en tiempo real, mayores capacidades de comunicación, etc.) como en aquellas sobre las que aún no tenemos idea.
Puede llegar el momento en que una corporación realice todas sus llamadas telefónicas a través de Internet, de forma totalmente gratuita. En la vida privada, pueden aparecer sitios web especiales con la ayuda de los cuales los padres pueden saber en cualquier momento cómo están sus hijos. Nuestra sociedad apenas está comenzando a darse cuenta de las posibilidades ilimitadas de Internet.
Introducción
Simultáneamente con el enorme crecimiento de la popularidad de Internet, surge un peligro sin precedentes de divulgación de datos personales, recursos corporativos críticos, secretos de estado, etc.
Cada día, los piratas informáticos amenazan estos recursos intentando acceder a ellos mediante ataques especiales que poco a poco son cada vez más sofisticados, por un lado, y más fáciles de ejecutar, por otro. Dos factores principales contribuyen a esto.
En primer lugar, se trata de la penetración generalizada de Internet. Hoy en día hay millones de dispositivos conectados a Internet, y muchos millones de dispositivos estarán conectados a Internet en un futuro próximo, lo que hace cada vez más probable que los piratas informáticos obtengan acceso a dispositivos vulnerables.
Además, el uso generalizado de Internet permite a los piratas informáticos intercambiar información a escala global. Una simple búsqueda de palabras clave como “hacker”, “hacking”, “hack”, “crack” o “phreak” le arrojará miles de sitios, muchos de los cuales contienen códigos maliciosos y cómo utilizarlos.
En segundo lugar, se trata de la amplia distribución de sistemas operativos y entornos de desarrollo fáciles de usar. Este factor reduce drásticamente el nivel de conocimientos y habilidades requeridos por un hacker. Anteriormente, para crear y distribuir aplicaciones fáciles de usar, un hacker debía tener buenas habilidades de programación.
Ahora, para acceder a la herramienta de un hacker, sólo es necesario conocer la dirección IP del sitio deseado y, para llevar a cabo un ataque, basta con hacer clic con el ratón.
Clasificación de ataques a la red.
Los ataques a la red son tan variados como los sistemas a los que se dirigen. Algunos ataques son muy complejos, mientras que otros están dentro de las capacidades de un operador común y corriente, que ni siquiera imagina las consecuencias de sus actividades. Para evaluar los tipos de ataques, es necesario conocer algunas de las limitaciones inherentes del protocolo TPC/IP. Neto
Internet se creó para la comunicación entre agencias gubernamentales y universidades para ayudar en el proceso educativo y la investigación científica. Los creadores de esta red no tenían idea de su extensión. Como resultado, las especificaciones de las primeras versiones del Protocolo de Internet (IP) carecían de requisitos de seguridad. Esta es la razón por la que muchas implementaciones de IP son inherentemente vulnerables.
Después de muchos años, después de muchas quejas (Solicitud de Comentarios, RFC), finalmente se comenzaron a implementar medidas de seguridad para IP. Sin embargo, debido a que inicialmente no se desarrollaron medidas de seguridad para el protocolo IP, todas sus implementaciones comenzaron a complementarse con una variedad de procedimientos, servicios y productos de red que reducen los riesgos inherentes a este protocolo. A continuación, veremos brevemente los tipos de ataques que se usan comúnmente contra redes IP y enumeraremos formas de combatirlos.
rastreador de paquetes
Un rastreador de paquetes es un programa de aplicación que utiliza una tarjeta de red que funciona en modo promiscuo (en este modo, el adaptador de red envía todos los paquetes recibidos a través de canales físicos a la aplicación para su procesamiento).
En este caso, el rastreador intercepta todos los paquetes de red que se transmiten a través de un dominio específico. Actualmente, los rastreadores operan en las redes de forma totalmente legal. Se utilizan para diagnóstico de fallas y análisis de tráfico. Sin embargo, debido al hecho de que algunas aplicaciones de red transmiten datos en formato de texto ( Telnet, FTP, SMTP, POP3, etc..), utilizando un rastreador puede encontrar información útil y, a veces, confidencial (por ejemplo, nombres de usuario y contraseñas).
La interceptación de inicios de sesión y contraseñas plantea una gran amenaza porque los usuarios suelen utilizar el mismo inicio de sesión y contraseña para múltiples aplicaciones y sistemas. Muchos usuarios generalmente tienen una única contraseña para acceder a todos los recursos y aplicaciones.
Si la aplicación se ejecuta en modo cliente-servidor y los datos de autenticación se transmiten a través de la red en formato de texto legible, lo más probable es que esta información se pueda utilizar para acceder a otros recursos corporativos o externos. Los piratas informáticos conocen y explotan demasiado bien las debilidades humanas (los métodos de ataque a menudo se basan en métodos de ingeniería social).
Saben muy bien que utilizamos la misma contraseña para acceder a muchos recursos y, por lo tanto, a menudo logran acceder a información importante aprendiendo nuestra contraseña. En el peor de los casos, un pirata informático obtiene acceso a un recurso de usuario a nivel del sistema y lo utiliza para crear un nuevo usuario que puede utilizar en cualquier momento para acceder a la red y sus recursos.
Puede reducir la amenaza de rastreo de paquetes utilizando las siguientes herramientas::
Autenticación. La autenticación sólida es la forma más importante de protegerse contra el rastreo de paquetes. Por "fuerte" nos referimos a métodos de autenticación que son difíciles de eludir. Un ejemplo de este tipo de autenticación son las contraseñas de un solo uso (OTP).
OTP es una tecnología de autenticación de dos factores que combina lo que tienes con lo que sabes. Un ejemplo típico de autenticación de dos factores es el funcionamiento de un cajero automático normal, que le identifica, en primer lugar, por su tarjeta de plástico y, en segundo lugar, por el código PIN que introduce. También se requieren un código PIN y su tarjeta personal para la autenticación en el sistema OTP.
Por "tarjeta" (token) nos referimos a una herramienta de hardware o software que genera (mediante un principio aleatorio) una contraseña única y única. Si un hacker descubre esta contraseña utilizando un rastreador, entonces esta información será inútil, ya que en ese momento la contraseña ya estará utilizada y retirada.
Tenga en cuenta que este método de combatir el rastreo sólo es eficaz en casos de interceptación de contraseñas. Los rastreadores que interceptan otra información (como mensajes de correo electrónico) siguen siendo eficaces.
Infraestructura conmutada. Otra forma de combatir el rastreo de paquetes en su entorno de red es crear una infraestructura conmutada. Si, por ejemplo, toda la organización utiliza Ethernet de acceso telefónico, los piratas informáticos sólo pueden acceder al tráfico que ingresa al puerto al que están conectados. Una infraestructura conmutada no elimina la amenaza del rastreo, pero reduce significativamente su gravedad.
Antisniffers. La tercera forma de combatir el rastreo es instalar hardware o software que reconozca los rastreadores que se ejecutan en su red. Estas herramientas no pueden eliminar completamente la amenaza, pero, como muchas otras herramientas de seguridad de red, están incluidas en el sistema de protección general. Los antisniffers miden los tiempos de respuesta del host y determinan si los hosts tienen que procesar tráfico innecesario. Uno de esos productos, disponible en LOpht Heavy Industries, se llama AntiSniff.
Criptografía. Esta es la forma más eficaz de combatir el rastreo de paquetes, aunque no impide la interceptación y no reconoce el trabajo de los rastreadores, pero hace que este trabajo sea inútil. Si el canal de comunicación es criptográficamente seguro, entonces el hacker no intercepta el mensaje, sino el texto cifrado (es decir, una secuencia incomprensible de bits). La criptografía de la capa de red de Cisco se basa en el protocolo IPSec, que es un método estándar para la comunicación segura entre dispositivos que utilizan el protocolo IP. Otros protocolos de gestión de redes criptográficas incluyen los protocolos SSH (Secure Shell) y SSL (Secure Socket Layer).
suplantación de propiedad intelectual
La suplantación de IP ocurre cuando un pirata informático, dentro o fuera de una corporación, se hace pasar por un usuario autorizado. Esto se puede hacer de dos maneras: el pirata informático puede utilizar una dirección IP que esté dentro del rango de direcciones IP autorizadas o una dirección externa autorizada a la que se le permita acceder a ciertos recursos de la red.
Los ataques de suplantación de IP suelen ser el punto de partida de otros ataques. Un ejemplo clásico es un ataque DoS, que comienza desde la dirección de otra persona y oculta la verdadera identidad del hacker.
Normalmente, la suplantación de IP se limita a insertar información falsa o comandos maliciosos en el flujo normal de datos transmitidos entre una aplicación cliente y servidor o a través de un canal de comunicación entre dispositivos pares.
Para una comunicación bidireccional, el pirata informático debe cambiar todas las tablas de enrutamiento para dirigir el tráfico a la dirección IP falsa. Algunos piratas informáticos, sin embargo, ni siquiera intentan obtener una respuesta de las aplicaciones; si el objetivo principal es obtener un archivo importante del sistema, entonces las respuestas de las aplicaciones no importan.
Si un hacker logra cambiar las tablas de enrutamiento y dirigir el tráfico a una dirección IP falsa, recibirá todos los paquetes y podrá responder a ellos como si fuera un usuario autorizado.
La amenaza de suplantación de identidad se puede mitigar (pero no eliminar) mediante las siguientes medidas:
- Control de acceso. La forma más sencilla de evitar la suplantación de IP es configurar correctamente los controles de acceso. Para reducir la efectividad de la suplantación de IP, configure el control de acceso para rechazar cualquier tráfico proveniente de una red externa con una dirección de origen que debe estar ubicada dentro de su red.
Es cierto que esto ayuda a combatir la suplantación de IP, cuando sólo se autorizan direcciones internas; si algunas direcciones de red externas también están autorizadas, este método deja de ser efectivo;
- Filtrado RFC 2827. Puede evitar que los usuarios de su red suplanten las redes de otras personas (y convertirse en un buen ciudadano en línea). Para hacer esto, debe rechazar cualquier tráfico saliente cuya dirección de origen no sea una de las direcciones IP de su organización.
Este tipo de filtrado, conocido como RFC 2827, también lo puede realizar su proveedor de servicios de Internet (ISP). Como resultado, se rechaza todo el tráfico que no tenga una dirección de origen esperada en una interfaz particular. Por ejemplo, si un ISP proporciona una conexión a la dirección IP 15.1.1.0/24, puede configurar un filtro para que solo se permita el tráfico que se origina desde 15.1.1.0/24 desde esa interfaz al enrutador del ISP.
Tenga en cuenta que hasta que todos los proveedores implementen este tipo de filtrado, su efectividad será mucho menor de lo posible. Además, cuanto más lejos esté de los dispositivos que se están filtrando, más difícil será realizar una filtración precisa. Por ejemplo, el filtrado RFC 2827 a nivel de enrutador de acceso requiere pasar todo el tráfico desde la dirección de red principal (10.0.0.0/8), mientras que a nivel de distribución (en una arquitectura determinada) es posible restringir el tráfico con mayor precisión (dirección - 10.1.5.0/24).
El método más eficaz para combatir la suplantación de IP es el mismo que en el caso del rastreo de paquetes: es necesario hacer que el ataque sea completamente ineficaz. La suplantación de IP sólo puede funcionar si la autenticación se basa en direcciones IP.
Por lo tanto, la introducción de métodos de autenticación adicionales hace que estos ataques sean inútiles. El mejor tipo de autenticación adicional es la criptográfica. Si esto no es posible, la autenticación de dos factores mediante contraseñas de un solo uso puede dar buenos resultados.
Denegación de servicio
La denegación de servicio (DoS) es sin duda la forma más conocida de ataques de piratería. Además, este tipo de ataques son los más difíciles de proteger al 100%. Entre los piratas informáticos, los ataques DoS se consideran un juego de niños y su uso provoca sonrisas de desprecio, ya que organizar DoS requiere un mínimo de conocimientos y habilidades.
Sin embargo, es precisamente la facilidad de implementación y la enorme magnitud del daño causado lo que atrae la atención de los administradores responsables de la seguridad de la red. Si desea obtener más información sobre los ataques DoS, debería considerar los tipos más conocidos, a saber:
- Inundación TCP SYN;
- Ping de la muerte;
- Tribe Flood Network (TFN) y Tribe Flood Network 2000 (TFN2K);
- Trinco;
- Stacheldracht;
- Trinidad.
Una excelente fuente de información sobre seguridad es el Equipo de Respuesta a Emergencias Informáticas (CERT), que ha publicado un excelente trabajo sobre la lucha contra los ataques DoS.
Los ataques DoS son diferentes de otros tipos de ataques. No tienen como objetivo obtener acceso a su red ni obtener información de esa red, pero un ataque DoS hace que su red no esté disponible para el uso normal al exceder los límites aceptables de la red, el sistema operativo o la aplicación.
En el caso de algunas aplicaciones de servidor (como un servidor web o un servidor FTP), los ataques DoS pueden implicar tomar todas las conexiones disponibles para esas aplicaciones y mantenerlas ocupadas, impidiendo que los usuarios comunes sean atendidos. Los ataques DoS pueden utilizar protocolos de Internet comunes como TCP e ICMP ( Protocolo de mensajes de control de Internet).
La mayoría de los ataques DoS no tienen como objetivo errores de software o agujeros de seguridad, sino debilidades generales en la arquitectura del sistema. Algunos ataques paralizan el rendimiento de la red al inundarla con paquetes no deseados e innecesarios o información engañosa sobre el estado actual de los recursos de la red.
Este tipo de ataque es difícil de prevenir porque requiere coordinación con el proveedor. Si no detiene el tráfico destinado a saturar su red en el proveedor, ya no podrá hacerlo en la entrada de la red, ya que todo el ancho de banda estará ocupado. Cuando este tipo de ataque se realiza simultáneamente a través de muchos dispositivos, hablamos de un ataque DoS distribuido (DoS distribuido, DDoS).
La amenaza de ataques DoS se puede reducir de tres formas:
- Funciones antisuplantación de identidad. Configurar correctamente las funciones anti-spoofing en sus enrutadores y firewalls ayudará a reducir el riesgo de DoS. Estas características deberían incluir, como mínimo, el filtrado RFC 2827. Si un hacker no puede ocultar su verdadera identidad, es poco probable que lleve a cabo un ataque.
- Funciones antiDoS. La configuración adecuada de las funciones anti-DoS en enrutadores y firewalls puede limitar la efectividad de los ataques. Estas funciones suelen limitar el número de canales medio abiertos en un momento dado.
- Limitación de la tasa de tráfico. Una organización puede pedirle a su proveedor de servicios de Internet (ISP) que limite la cantidad de tráfico. Este tipo de filtrado le permite limitar la cantidad de tráfico no crítico que pasa por su red. Un ejemplo típico es la limitación del volumen de tráfico ICMP, que se utiliza únicamente con fines de diagnóstico. (D) Los ataques DoS a menudo utilizan ICMP.
Ataques de contraseña
Los piratas informáticos pueden realizar ataques a contraseñas utilizando diversos métodos, como ataques de fuerza bruta, caballos de Troya, suplantación de IP y rastreo de paquetes. Aunque el inicio de sesión y la contraseña a menudo se pueden obtener mediante suplantación de IP y rastreo de paquetes, los piratas informáticos a menudo intentan adivinar la contraseña e iniciar sesión mediante múltiples intentos de acceso. Este enfoque se denomina búsqueda simple (ataque de fuerza bruta).
A menudo, en este tipo de ataques se utiliza un programa especial que intenta obtener acceso a un recurso público (por ejemplo, un servidor). Si, como resultado, al hacker se le concede acceso a los recursos, lo recibe con los derechos de un usuario normal cuya contraseña fue seleccionada.
Si este usuario tiene importantes privilegios de acceso, el hacker puede crear un "pase" para acceso futuro que seguirá siendo válido incluso si el usuario cambia su contraseña e inicio de sesión.
Otro problema surge cuando los usuarios utilizan la misma (incluso muy buena) contraseña para acceder a muchos sistemas: corporativos, personales y de Internet. Dado que la seguridad de una contraseña es igual a la del host más débil, un hacker que aprende la contraseña a través de ese host obtiene acceso a todos los demás sistemas donde se utiliza la misma contraseña.
Los ataques a contraseñas se pueden evitar si no se utilizan contraseñas de texto sin formato. Las contraseñas de un solo uso y/o la autenticación criptográfica pueden eliminar virtualmente la amenaza de tales ataques. Desafortunadamente, no todas las aplicaciones, hosts y dispositivos admiten los métodos de autenticación anteriores.
Cuando utilice contraseñas habituales, intente encontrar una que sea difícil de adivinar. La longitud mínima de la contraseña debe ser de al menos ocho caracteres. La contraseña debe incluir caracteres en mayúsculas, números y caracteres especiales (#, %, $, etc.).
Las mejores contraseñas son difíciles de adivinar y de recordar, lo que obliga a los usuarios a escribirlas en un papel. Para evitar esto, los usuarios y administradores pueden utilizar una serie de avances tecnológicos recientes.
Por ejemplo, existen programas de aplicación que cifran una lista de contraseñas que se pueden almacenar en una computadora de bolsillo. Como resultado, el usuario sólo necesita recordar una contraseña compleja, mientras que todas las demás estarán protegidas de forma fiable por la aplicación.
Existen varios métodos para que un administrador combata la adivinación de contraseñas. Uno de ellos es utilizar la herramienta L0phtCrack, que los piratas informáticos suelen utilizar para adivinar contraseñas en el entorno Windows NT. Esta herramienta le mostrará rápidamente si la contraseña elegida por el usuario es fácil de adivinar. Para obtener más información, visite http://www.l0phtcrack.com/.
Ataques de intermediario
Para un ataque Man-in-the-Middle, un hacker necesita acceso a los paquetes transmitidos a través de la red. Dicho acceso a todos los paquetes transmitidos desde un proveedor a cualquier otra red puede obtenerlo, por ejemplo, un empleado de este proveedor. Para este tipo de ataque se suelen utilizar rastreadores de paquetes, protocolos de transporte y protocolos de enrutamiento.
Los ataques se llevan a cabo con el objetivo de robar información, interceptar la sesión actual y obtener acceso a recursos privados de la red, analizar el tráfico y obtener información sobre la red y sus usuarios, realizar ataques DoS, distorsionar los datos transmitidos e ingresar información no autorizada. en sesiones de red.
Los ataques de tipo Man-in-the-Middle sólo pueden combatirse eficazmente mediante criptografía. Si un hacker intercepta datos de una sesión cifrada, lo que aparecerá en su pantalla no será el mensaje interceptado, sino un conjunto de caracteres sin sentido. Tenga en cuenta que si un pirata informático obtiene información sobre una sesión criptográfica (por ejemplo, una clave de sesión), esto podría hacer posible un ataque Man-in-the-Middle incluso en un entorno cifrado.
Ataques a nivel de aplicación
Los ataques a nivel de aplicación se pueden llevar a cabo de varias formas. El más común de ellos es el uso de vulnerabilidades conocidas en el software del servidor (sendmail, HTTP, FTP). Al explotar estas debilidades, los piratas informáticos pueden obtener acceso a una computadora como el usuario que ejecuta la aplicación (generalmente no un usuario normal, sino un administrador privilegiado con derechos de acceso al sistema).
La información sobre ataques a nivel de aplicación se publica ampliamente para brindar a los administradores la oportunidad de corregir el problema mediante módulos correctivos (parches). Lamentablemente, muchos piratas informáticos también tienen acceso a esta información, lo que les permite mejorar.
El principal problema con los ataques a nivel de aplicación es que los piratas informáticos suelen utilizar puertos a los que se les permite atravesar el firewall. Por ejemplo, un pirata informático que explota una debilidad conocida en un servidor web a menudo utilizará el puerto 80 en un ataque TCP. Dado que el servidor web proporciona páginas web a los usuarios, el firewall debe proporcionar acceso a este puerto. Desde el punto de vista del firewall, el ataque se trata como tráfico estándar en el puerto 80.
Los ataques a nivel de aplicación no se pueden eliminar por completo. Los piratas informáticos descubren y publican constantemente nuevas vulnerabilidades en programas de aplicación en Internet. Lo más importante aquí es una buena administración del sistema. A continuación se muestran algunas medidas que puede tomar para reducir su vulnerabilidad a este tipo de ataque:
- leer archivos de registro del sistema operativo y de la red y/o analizarlos usando aplicaciones analíticas especiales;
- Suscríbase al servicio de informes de vulnerabilidades de aplicaciones: Bugtrad (http://www.securityfocus.com).
Inteligencia de red
La inteligencia de red se refiere a la recopilación de información de la red utilizando datos y aplicaciones disponibles públicamente. Al preparar un ataque contra una red, un hacker normalmente intenta obtener la mayor cantidad de información posible sobre ella. El reconocimiento de la red se lleva a cabo mediante consultas de DNS, pings y escaneo de puertos.
Las consultas de DNS le ayudan a comprender quién es el propietario de un dominio en particular y qué direcciones están asignadas a ese dominio. Hacer ping a las direcciones reveladas por DNS le permite ver qué hosts se están ejecutando realmente en un entorno determinado. Después de recibir una lista de hosts, el pirata informático utiliza herramientas de escaneo de puertos para compilar una lista completa de los servicios admitidos por esos hosts. Finalmente, el hacker analiza las características de las aplicaciones que se ejecutan en los hosts. Como resultado, obtiene información que puede utilizarse para piratear.
Es imposible deshacerse por completo de la inteligencia de red. Si, por ejemplo, desactiva el eco ICMP y la respuesta de eco en los enrutadores de borde, se deshará de las pruebas de ping, pero perderá los datos necesarios para diagnosticar fallas de red.
Además, puede escanear puertos sin realizar pruebas de ping preliminares; simplemente llevará más tiempo, ya que tendrá que escanear direcciones IP inexistentes. Los sistemas IDS a nivel de red y host generalmente hacen un buen trabajo al notificar al administrador sobre el reconocimiento de red en curso, lo que les permite prepararse mejor para un próximo ataque y alertar al proveedor de servicios (ISP) en cuya red está instalado un sistema que muestra una curiosidad excesiva. :
- utilizar las últimas versiones de sistemas operativos y aplicaciones y los últimos módulos de corrección (parches);
- Además de la administración del sistema, utilice sistemas de detección de ataques (IDS), dos tecnologías de identificación complementarias:
- Network IDS System (NIDS) monitorea todos los paquetes que pasan a través de un dominio específico. Cuando el sistema NIDS ve un paquete o una serie de paquetes que coinciden con la firma de un ataque conocido o probable, genera una alarma y/o finaliza la sesión;
- El sistema IDS (HIDS) protege el host mediante agentes de software. Este sistema sólo combate ataques contra un único host.
En su trabajo, los sistemas IDS utilizan firmas de ataque, que son perfiles de ataques o tipos de ataques específicos. Las firmas definen las condiciones bajo las cuales el tráfico se considera hacker. Los análogos del IDS en el mundo físico pueden considerarse un sistema de alerta o una cámara de vigilancia.
La mayor desventaja del IDS es su capacidad para generar alarmas. Para minimizar la cantidad de falsas alarmas y garantizar el correcto funcionamiento del sistema IDS en la red, es necesaria una configuración cuidadosa del sistema.
abuso de confianza
En rigor, este tipo de acción no constituye en el pleno sentido de la palabra un ataque o agresión. Representa la explotación maliciosa de las relaciones de confianza que existen en una red. Un ejemplo clásico de tal abuso es la situación en la parte periférica de la red corporativa.
Este segmento suele albergar servidores DNS, SMTP y HTTP. Como todos pertenecen al mismo segmento, hackear cualquiera de ellos conduce a hackear todos los demás, ya que estos servidores confían en otros sistemas de su red.
Otro ejemplo es un sistema instalado en el exterior del firewall que tiene una relación de confianza con un sistema instalado en el interior del firewall. Si un sistema externo se ve comprometido, el pirata informático puede utilizar la relación de confianza para penetrar el sistema protegido por el firewall.
El riesgo de abuso de confianza se puede reducir controlando más estrictamente los niveles de confianza dentro de su red. Los sistemas ubicados fuera del firewall nunca deberían tener confianza absoluta en los sistemas protegidos por el firewall.
Las relaciones de confianza deben limitarse a protocolos específicos y, si es posible, autenticarse mediante parámetros distintos de las direcciones IP.
Reenvío de puertos
El reenvío de puertos es una forma de abuso de confianza en la que se utiliza un host comprometido para pasar tráfico a través de un firewall que de otro modo sería rechazado. Imaginemos un firewall con tres interfaces, cada una de las cuales está conectada a un host específico.
Un host externo puede conectarse a un host compartido (DMZ), pero no a uno instalado en el interior del firewall. Un host compartido puede conectarse a un host interno y externo. Si un pirata informático se apodera de un host compartido, puede instalar en él un software que redirija el tráfico desde el host externo directamente al interno.
Aunque esto no viola ninguna de las reglas en la pantalla, el host externo obtiene acceso directo al host protegido como resultado de la redirección. Un ejemplo de una aplicación que puede proporcionar dicho acceso es netcat. Puede encontrar más información en http://www.avian.org.
La principal forma de combatir el reenvío de puertos es utilizar modelos de confianza sólidos (consulte la sección anterior). Además, un sistema IDS de host (HIDS) puede impedir que un pirata informático instale su software en un host.
Acceso no autorizado
El acceso no autorizado no puede identificarse como un tipo de ataque independiente, ya que la mayoría de los ataques a la red se llevan a cabo precisamente para obtener acceso no autorizado. Para adivinar un inicio de sesión Telnet, un hacker primero debe obtener una pista Telnet en su sistema. Después de conectarse al puerto Telnet, aparecerá el mensaje “se requiere autorización para utilizar este recurso” (“ Se requiere autorización para utilizar este recurso.»).
Si el pirata informático continúa intentando acceder después de esto, se considerará no autorizado. La fuente de tales ataques puede estar dentro o fuera de la red.
Los métodos para combatir el acceso no autorizado son bastante sencillos. Lo principal aquí es reducir o eliminar por completo la capacidad del pirata informático de acceder al sistema mediante un protocolo no autorizado.
Como ejemplo, considere evitar que los piratas informáticos accedan al puerto Telnet en un servidor que proporciona servicios web a usuarios externos. Sin acceso a este puerto, un hacker no podrá atacarlo. En cuanto al firewall, su tarea principal es impedir los intentos más simples de acceso no autorizado.
Virus y aplicaciones de caballos de Troya
Las estaciones de trabajo de los usuarios finales son muy vulnerables a virus y caballos de Troya. Los virus son programas maliciosos que se insertan en otros programas para realizar una función específica no deseada en la estación de trabajo del usuario final. Un ejemplo es un virus que se escribe en el archivo command.com (el intérprete principal de los sistemas Windows) y borra otros archivos, además de infectar todas las demás versiones de command.com que encuentre.
Un caballo de Troya no es un inserto de software, sino un programa real que a primera vista parece una aplicación útil, pero que en realidad desempeña un papel perjudicial. Un ejemplo de un caballo de Troya típico es un programa que parece un juego sencillo en la estación de trabajo del usuario.
Sin embargo, mientras el usuario juega, el programa envía una copia de sí mismo por correo electrónico a cada suscriptor en la libreta de direcciones de ese usuario. Todos los suscriptores reciben el juego por correo, lo que provoca su posterior distribución.
La lucha contra virus y caballos de Troya se lleva a cabo con la ayuda de un software antivirus eficaz que funciona a nivel de usuario y, posiblemente, a nivel de red. Los productos antivirus detectan la mayoría de los virus y caballos de Troya y detienen su propagación.
Obtener la información más reciente sobre los virus le ayudará a combatirlos de forma más eficaz. A medida que surgen nuevos virus y caballos de Troya, las empresas deben instalar nuevas versiones de herramientas y aplicaciones antivirus.
Al escribir este artículo, se utilizaron materiales proporcionados por Cisco Systems.
Bueno Malo
Protección de red y firewall
Al comprender el peligro de los ataques, muchos centros de investigación y empresas privadas han estado trabajando para resolver este problema. El método de protección desarrollado es similar a una pared que rodea una computadora por todos lados, de ahí el nombre Cortafuegos(muro de fuego), de lo contrario firewall o filtro, que filtra las solicitudes de los usuarios de la red al sistema. En la versión oficial rusa. WindowsXP se traduce como cortafuegos.
Cortafuegos– software especial suministrado con el sistema operativo o instalado por el usuario, que permite prohibir cualquier acceso de usuarios no deseados desde la red al sistema. Cortafuegos Ayuda a mejorar la seguridad informática. Limita la información que ingresa a su computadora desde otras computadoras, lo que le permite controlar mejor los datos de su computadora y le brinda a su computadora una línea de defensa contra personas o programas (incluidos virus y gusanos) que intentan conectarse sin autorización a su computadora. Cortafuegos es un puesto fronterizo en el que se controla la información (tráfico) procedente de Internet o de una red local. Durante la inspección cortafuegos rechaza o pasa información al ordenador de acuerdo con los parámetros establecidos.
Incluido WindowsXP versión incorporada incluida cortafuegos(en el paquete de actualización SP2 Para Cortafuegos de Microsoft Windows XP habilitado de forma predeterminada), cuyo algoritmo operativo principal proporciona protección contra usuarios no autorizados. Es casi imposible encontrar una vulnerabilidad que permita a un atacante penetrar en un sistema protegido por un firewall. Funciones realizadas cortafuegos:
Bloquear el acceso a su computadora en busca de virus y gusanos;
Solicitar al usuario que elija bloquear o permitir ciertas solicitudes de conexión;
Mantener un registro de seguridad y, si el usuario lo desea, registrar los intentos permitidos y bloqueados de conectarse a la computadora puede ser útil para diagnosticar problemas.
La idea de los ataques de piratas informáticos se basa en el trabajo de algoritmos de bajo nivel para procesar solicitudes de red; en algunas versiones anteriores del software, podrían usarse para posiblemente penetrar un firewall. En versiones modernas cortafuegos, si lo configuras correctamente, podrás evitar cualquier ataque de piratas informáticos.
Cuando su computadora recibe una solicitud inesperada (alguien intenta conectarse desde Internet o la red local), cortafuegos bloquea la conexión. Si su computadora utiliza programas de mensajería instantánea o juegos en línea que necesitan recibir información de Internet o de la red local, cortafuegos pide al usuario que bloquee o permita la conexión. Si el usuario permite la conexión, cortafuegos crea una excepción para no molestar al usuario en el futuro con solicitudes relacionadas con la recepción de información para este programa. También es posible apagar cortafuegos para conexiones individuales a Internet o a redes locales, pero esto aumenta la probabilidad de que se produzca una violación de la seguridad informática.
Configurar un cortafuegos
Si cortafuegos conectado, entonces para configurarlo debes:
Inicie sesión con una cuenta de administrador del sistema;
Abra la carpeta que contiene las conexiones de red:
Inicio\Configuración\Panel de control\Conexiones de red(Figura 1.);
Seleccione una línea, por ejemplo, (Figura 2.);
en la pestaña General haga clic en el botón Propiedades(Figura 2.);
Aparecerá una ventana adicional Propiedades, en el que seleccionar una pestaña Además(Figura 1.2.);
en la pestaña Además presione el botón Opciones(Figura 3.);
Aparecerá una ventana del programa. Cortafuegos de Windows(Figura 3.).
Aparecerá una ventana similar cuando seleccione un programa. Cortafuegos de Windows de la lista de programas en Paneles de control:
Inicio – Configuración – Panel de control – Firewall de Windows(Figura 4.)
Para obtener información detallada en la ventana del programa. Cortafuegos de Windows debes hacer clic en el enlace Obtenga más información sobre el firewall de Windows. Aparecerá una ventana Centro de ayuda y soporte, que le proporcionará toda la información sobre la finalidad y uso cortafuegos.
Figura 1. Ventana del programa Conexiones de red
Figura 2. Ventanas del programa Conexión de red local
Figura 3. Ventana de pestaña Además y la ventana del programa Cortafuegos
Figura 4. Ventana Panel de control y la ventana del programa Cortafuegos de Windows
Marcador General ventanas de configuración cortafuegos es el principal por defecto cortafuegos encendido (Fig. 4.). El marcador contiene varias opciones.
Opción Habilitar (recomendado) incluye cortafuegos. Opción No permitir excepciones sólo se puede utilizar junto con la opción Habilitar (recomendado). Le permite aumentar el nivel de seguridad del sistema si se utiliza en lugares públicos, como aeropuertos, cafeterías, cines, etc., equipados con acceso a Internet. El nivel de seguridad se incrementará al prohibir el funcionamiento de programas a los que se permite acceder desde una red bloqueada por un filtro de red. El sistema no generará mensajes sobre la denegación de acceso de los usuarios a dichas aplicaciones.
Opción Desactivar (no recomendado) se apaga completamente cortafuegos. En este caso, el sistema queda completamente desprotegido de ataques externos. El único caso en el que esto puede justificarse es cuando es necesario probar brevemente el funcionamiento de una aplicación que no quiere funcionar con un firewall activo.
Cortafuegos de Windows bloquea las conexiones de red entrantes, excluyendo programas y servicios seleccionados por el usuario. Agregar excepciones mejora el rendimiento de algunos programas, pero aumenta los riesgos de seguridad. Marcador Excepciones le permite especificar programas y servicios a los que se pueden realizar conexiones de usuario desde Internet (Fig. 5). De hecho, el filtro de red no funcionará para estos productos de software y les pasará todas las solicitudes a través de él mismo.
Figura 5. Marcador Excepciones
Marcador Excepciones es una lista de programas y servicios a los que puede permitir el acceso desde Internet marcando la casilla junto a ellos. Opción Mostrar notificación, cuando el firewall bloquea un programa, si está activado, fuerza ventanas mostrar un mensaje sobre un intento de acceso desde la red. De forma predeterminada, la opción está habilitada, porque ayuda a comprender mejor los procesos que ocurren dentro del sistema. Si en el marcador General opción instalada No permitir excepciones no se emitirá ningún mensaje.
Para eliminar un programa o servicio de la lista de objetos permitidos para acceder desde Internet, seleccione el objeto de la lista de la ventana y haga clic en el botón Borrar. Esta operación debe realizarse con programas o servicios que ya no deberían ser accesibles a los usuarios desde Internet.
Para editar un objeto específico de la lista de programas y servicios a los que se permite acceder desde Internet, seleccione el objeto que está editando y haga clic en el botón Cambiar, aparecerá una ventana cambio de programa(Figura 6). El cuadro de diálogo contiene el nombre del programa que se está editando y la ruta a su archivo ejecutable. Botón Cambiar área le permite especificar qué computadoras de la red tendrán acceso al programa o servicio seleccionado. En esta ventana, puede especificar tres modos según los cuales se proporcionará acceso desde la red a un programa o servicio ubicado en el sistema.
Modo Cualquier computadora (incluso desde Internet) indica que el acceso a este programa será posible desde todos los ordenadores de la red, incluidos los ubicados en Internet. No se recomienda seleccionar el modo a menos que sea absolutamente necesario, porque... Cualquier usuario externo tendrá la oportunidad de intentar conectarse a un software específico. Y si contiene vulnerabilidades, el usuario puede acceder al sistema o interrumpir su funcionamiento normal.
Modo Sólo red local (subred) permite acceder al software solo desde la red en la que se encuentra el sistema, lo que reduce significativamente el riesgo de piratería incluso si existen vulnerabilidades en el software. Si necesita permitir el acceso sólo desde algunas computadoras en red, se recomienda utilizar la tercera opción.
Figura 6. Cuadro de diálogo cambio de programa
Figura 7. Cuadro de diálogo Cambiando el área
Modo lista especial le permite especificar una lista en el campo de entrada subyacente direcciones IP(dirección de red como a.b.c.d) computadoras a las que se les permitirá el acceso al servicio o programa seleccionado. Esta es la forma más conveniente y segura de otorgar permiso de acceso desde la red, ya que en este caso siempre puedes controlar las computadoras que lo reciben y estar seguro de que el sistema está protegido de manera confiable contra ataques. Se recomienda utilizar este modo (si la situación lo permite) como el más óptimo de todos. Botón DE ACUERDO guarda los cambios realizados en la ventana, botón Cancelar– los cancela.
Figura 8. Cuadro de diálogo Agregar un programa
Marcado como favorito Excepciones botón Agregar un programa le permite agregar programas a los que se debe permitir el acceso desde la red (Fig. 8.). De la lista propuesta, debe seleccionar la aplicación deseada o usar el botón Revisar y especifique su archivo ejecutable en el sistema de archivos de la computadora. Usando el botón Cambiar área Podrás especificar desde qué red de ordenadores será posible el acceso a esta aplicación. Botón DE ACUERDO guarda los cambios realizados cerrando la ventana Agregar programa, botón Cancelar
Marcado como favorito Excepciones presionando un botón Agregar puerto muestra un cuadro de diálogo Agregar un puerto(Figura 9.). El número de puerto representa un canal, expresado como un número decimal entero, a través del cual las aplicaciones pueden intercambiar información. Si la aplicación que está utilizando necesita abrir un canal específico, entonces en el campo Nombre debe ingresar el nombre de la aplicación en el campo Número de puerto– número de puerto informado por la aplicación. Opciones de casilla de verificación tcp Y UDP le permite especificar qué puerto requiere la aplicación. Si necesita crear dos puertos con los mismos números, pero de diferentes tipos ( tcp o UDP), entonces deberías usar la función de expansión de puerto dos veces (usando el Agregar puerto) (Fig.9.), y utilizando el botón Cambiar área especifique desde qué red los ordenadores podrán acceder a este puerto. Botón DE ACUERDO botón guarda los cambios realizados Cancelar provoca la cancelación de todas las adiciones realizadas a la ventana.
Figura 9. Cuadro de diálogo Agregar un puerto
Una vez que instale Ubuntu como su sistema operativo principal, debe aprender cómo protegerse contra las cargas útiles de Rubber Ducky, la incautación de sus datos por parte de las autoridades y, en general, reducir la cantidad de objetivos que puede alcanzar. Al defenderse contra ataques de red, debe minimizar la divulgación de información sobre su hardware, evitar que se ejecuten rastreadores de paquetes, reforzar las reglas de firewall y mucho más.
Continuamos nuestra miniserie sobre cómo fortalecer la protección del sistema operativo Ubuntu. En esta parte, aprenderá cómo falsificar una dirección MAC para confundir a los piratas informáticos pasivos, desactivar servicios de red no utilizados como CUPS y Avahi, crear reglas de firewall para puertos específicos para bloquear intentos de acceso no autorizados y tomar sus datos, proteger contra el rastreo de contraseñas y cookies. . archivos en sus paquetes usando una VPN.
Si te perdiste el artículo anterior, asegúrate de consultarlo, incluso si ya tienes Ubuntu instalado y solo quieres fortalecer su seguridad. Descubrirá qué nos motivó a escribir esta serie de cuatro partes.
Paso 1: Protéjase de la detección de su hardware
Al conectarse a nuevas redes y enrutadores Wi-Fi, falsifique la dirección MAC de su adaptador Wi-Fi. Por supuesto, esto no impedirá que un hacker motivado sepa qué sistema operativo está utilizando, pero podría confundirlo e impedirle recopilar información sobre su hardware.
Por ejemplo, un hacker conectado a una red Wi-Fi en una cafetería podría centrar sus esfuerzos en piratear dispositivos distintos a Apple. Si apareces en la red con , el atacante ignorará por completo tu dispositivo. O podría intentar algunos ataques específicos de MacOS en su dispositivo que no funcionarán porque en realidad no está usando una MacBook, solo aparece en línea como si estuviera usando hardware de Apple. Combinado con un User-Agent falso del navegador, esto realmente puede confundir a un adversario no tan inteligente.
Para cambiar la dirección MAC en Ubuntu, abra Network Manager y vaya al menú "Editar" de su conexión Wi-Fi. En la pestaña Identidad, ingrese la dirección MAC que desea usar en el campo Dirección clonada.
Paso 2: Protéjase contra ataques a los servicios de escucha
Cuando un proceso (o servicio) en segundo plano está en el estado " " (escucha), significa que otros servicios y aplicaciones en su dispositivo y red pueden interactuar con él. Estos servicios de “escucha” siempre esperan algunos datos como entrada, al recibirlos el servicio debe dar una respuesta específica. Cualquier servicio con dirección local 0.0.0.0, mientras esté en estado de escucha, probablemente estará disponible para todos los usuarios de esa red local y posiblemente también de Internet.
Un Ubuntu recién instalado sólo tendrá unos pocos servicios en ejecución, por lo que no hay necesidad de preocuparse por el temido puerto que escucha de forma predeterminada. Pero ten siempre presente las aplicaciones que instalarás en el futuro. Es posible que abran puertos de escucha sin avisarle.
Para realizar un seguimiento de qué procesos en segundo plano están escuchando, usaremos netstat, una herramienta utilizada para mostrar información sobre conexiones de red, puertos abiertos y servicios en ejecución. Dado que utilizamos una instalación mínima de Ubuntu, el conjunto de utilidades net-tools que necesitamos para trabajar con redes (incluido netstat) deberá instalarse manualmente. Esto se puede hacer usando el comando sudo apt-get install net-tools.
Sudo apt-get install net-tools Leyendo listas de paquetes... Listo Construyendo árbol de dependencias Leyendo información de estado... Listo Se instalarán los siguientes paquetes NUEVOS: net-tools 0 actualizado, 1 recién instalado, 0 para eliminar y 0 no actualizado . Necesita obtener 194 kB de archivos. Después de esta operación, se utilizarán 803 kB de espacio adicional en disco. Seleccionar el paquete net-tools no seleccionado previamente. (Leyendo la base de datos... 149085 archivos y directorios actualmente instalados). Preparándose para descomprimir.../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb... Desempaquetando net-tools (1.60+git20161116.90da8a0-1ubuntu1) ... Procesamiento de activadores para man-db (2.8.3-2) ... Configuración de net-tools (1.60+git20161116.90da8a0-1ubuntu1) ...
Utilice el siguiente comando netstat para ver los servicios en el estado "ESCUCHAR".
Sudo netstat -ntpul Conexiones activas a Internet (solo servidores) Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado PID/Nombre del programa tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 651/systemd-resolve tcp 0 0 127.0 .0.1:631 0.0.0.0:* ESCUCHAR 806/cupsd tcp6 0 0::1:631:::* ESCUCHAR 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0.0:* 651/systemd-resolve udp 0 0 0.0.0.0:631 0.0.0.0:* 812/cups-browsed udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.0.0:38284 0.0.0.0:* 750/ avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r
Systemd-resolve se utiliza para resolver nombres de dominio y, por supuesto, no debe cambiarse ni eliminarse. Hablaremos de “cupsd” y “avahi-daemon” a continuación en las siguientes secciones.
Deshabilitar o eliminar CUPS
En 2011, se descubrió una vulnerabilidad DDoS en avahi-daemon. Aunque este CVE es bastante antiguo y tiene un nivel de gravedad muy bajo, demuestra cómo un pirata informático en una red local descubre vulnerabilidades en los protocolos de red y manipula los servicios en ejecución en el dispositivo de la víctima.
Si no planea interactuar con productos o servicios de Apple en otros dispositivos, avahi-daemon se puede desactivar usando el siguiente comando: sudo systemctl disa avahi-daemon.
Sudo systemctl deshabilita avahi-daemon Estado de sincronización de avahi-daemon.service con el script de servicio SysV con /lib/systemd/systemd-sysv-install. Ejecutando: /lib/systemd/systemd-sysv-install deshabilitar avahi-daemon Se eliminó /etc/systemd/system/dbus-org.freedesktop.Avahi.service. Se eliminó /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.
Avahi también se puede eliminar por completo usando sudo apt-get purge avahi-daemon.
Sudo apt-get purge avahi-daemon Leyendo listas de paquetes... Listo Construyendo árbol de dependencias Leyendo información de estado... Hecho Los siguientes paquetes serán ELIMINADOS: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1 ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 actualizados, 0 recién instalados, 3 para eliminar y 0 no actualizados. Después de esta operación, se liberarán 541 kB de espacio en disco. ¿Quieres continuar?
y
Paso 3: Protege tus puertos
Para administrar la disponibilidad de puertos, usaremos un programa que proporciona una interfaz simple para configurar firewalls. UFW significa literalmente Firewall sin complicaciones. Actúa como una interfaz para (filtro de paquetes) y no está destinado a proporcionar una funcionalidad completa de firewall, sino que es un medio conveniente para agregar o eliminar reglas de firewall.
1. Denegar todas las conexiones entrantes y salientes
Para habilitar UFW, use el comando sudo ufw enable.
Sudo ufw enable Firewall está activo y habilitado al iniciar el sistema
Deshabilite todas las conexiones entrantes con este comando:
Sudo ufw por defecto denegar entrada
Luego deshabilite todas las redirecciones:
Sudo ufw por defecto denegar reenvío
Y negar todas las conexiones salientes:
Sudo ufw por defecto denegar salida
A partir de ahora, ya no tendrás acceso a Internet mediante Firefox ni ninguna otra aplicación.
2. Encuentra tu interfaz Wi-Fi
Para permitir conexiones salientes, primero debe buscar el nombre del adaptador Wi-Fi usando el comando ifconfig -a.
Ifconfig -a enp0s8: banderas = 4163
Para los propósitos de este artículo, usamos Ubuntu en VirtualBox, por lo que el nombre de nuestra interfaz es "enp0s8". El comando ifconfig podría mostrar su interfaz inalámbrica como "wlp3s0", "wlp42s0" o algo así.
3. Cree excepciones de firewall y configure una resolución DNS segura
Puede permitir el tráfico DNS, HTTP y HTTPS en la interfaz inalámbrica usando estos tres comandos.
Sudo ufw permite la salida a 1.1.1.1 proto udp puerto 53 comentario "permitir DNS en " sudo ufw permite la salida a cualquier puerto proto tcp 80 comentario "permite HTTP en " sudo ufw permite la salida a cualquier puerto proto tcp 443 comentario "permitir HTTPS en "
La dirección "1.1.1.1" en el comando DNS es el nuevo solucionador de DNS. Muchos usuarios de Internet no se dan cuenta de que incluso si navegan por un sitio web utilizando una conexión cifrada (el pequeño candado verde en la barra de URL), los ISP aún pueden ver el nombre de cada dominio visitado mediante consultas DNS. El uso del solucionador de DNS de CloudFlare ayudará a evitar que los proveedores de servicios de Internet (ISP) intenten espiar su tráfico.
4. Actualice la configuración de DNS en Network Manager
Después de configurar las reglas de UFW en Network Manager, vaya al menú "Editar" de su conexión Wi-Fi y cambie el campo DNS a 1.1.1.1. Desconéctate y vuelve a conectarte a tu red Wi-Fi para que los cambios de DNS surtan efecto.
Vea las reglas recién creadas usando el comando sudo ufw status numerado.
Estado de Sudo ufw numerado Estado: activo A acción desde -- ------ ---- [ 1] 1.1.1.1 53/udp PERMITIR SALIDA En cualquier lugar en enp0s8 (fuera) # permitir DNS en enp0s8 [ 2] 443/tcp PERMITIR SALIDA en cualquier lugar en enp0s8 (fuera) # permitir HTTPS en enp0s8 [ 3] 80/tcp PERMITIR SALIDA en cualquier lugar en enp0s8 (fuera) # permitir HTTP en enp0s8
Ubuntu podrá realizar solicitudes HTTP/HTTPS estándar en los puertos 80 y 443 en la interfaz inalámbrica que especifique. Si estas reglas son demasiado estrictas para sus actividades diarias, puede permitir todos los paquetes salientes usando este comando:
Sudo ufw por defecto permite salida
5. Supervise su firewall
Si está intentando depurar conexiones entrantes o salientes, puede usar el comando tail con el argumento -f para monitorear mensajes y discrepancias en los registros de UFW en tiempo real. Este comando se verá así en su totalidad:
Cola -f /var/log/ufw.log kernel: [3900.250931] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47090 DF PROTO=TCP SPT=35944 DPT=9999 VENTANA=29200 RES=0x00 SYN URGP=0 kernel: [3901.280089] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 = 470 91 DF PROTO=TCP SPT=35944 DPT=9999 VENTANA=29200 RES=0x00 SYN URGP=0
En los registros anteriores, UFW está bloqueando las conexiones salientes (OUT=) desde nuestra dirección IP local (192.168.1.44) al servidor Null Byte (104.193.19.59) usando TCP con puerto de destino (DPT) 9999. Esto se puede resolver usando este comando UFW:
Sudo ufw permite la salida desde 192.168.1.44 a 104.193.19.59 proto tcp puerto 9999
Para obtener más información sobre UFW, puede leer el mana (páginas del manual) - man ufw.
Los lectores interesados en ajustar muy bien un firewall definitivamente deberían hacerlo.
Paso 4: Protéjase contra el rastreo de paquetes y la interceptación de cookies
Los ataques de manipulación de paquetes se pueden prevenir mediante el uso de una red privada virtual (VPN). VPN ofrece un conjunto de tecnologías que:
- Evite que los piratas informáticos de las redes Wi-Fi manipulen paquetes y rastreen su actividad.
- Prohibir a los proveedores de Internet monitorear su actividad y vender sus datos a terceros.
- Ayudan a evitar el bloqueo de las autoridades de censura (como RKN), cuando los proveedores de Internet o los cortafuegos de la red bloquean el acceso a determinados sitios web.
La mayoría de los servicios VPN pagos comienzan en $5 por mes. Algunos proveedores de VPN dignos de mención son: ProtonVPN, Mullvad, VyprVPN y .
El siguiente paso es fortalecer la protección de las aplicaciones y crear entornos sandbox.
Eso es todo para establecer protección para su presencia y actividades en línea. En el próximo artículo, hablaremos sobre aplicaciones para crear entornos sandbox y mantener su sistema seguro en caso de que se esté ejecutando algún malware en su dispositivo. Después de eso, nos sumergiremos en la auditoría con software antivirus y monitorearemos los registros del sistema.
Descargo de responsabilidad: Este artículo está escrito únicamente con fines educativos. El autor o editor no publicó este artículo con fines maliciosos. Si los lectores desean utilizar la información para beneficio personal, el autor y el editor no son responsables de ningún daño o perjuicio causado.Cada ataque a la red generalmente se puede dividir en 5 etapas (Tabla 3). En una situación real, es posible que se omitan algunos pasos.
Tabla 3. Principales clases de ataques a la red
|
Clase de ataque de red |
Descripción de clase |
|
1. Investigación |
Obtención de información general sobre el sistema informático (CS) |
|
1.1 Sociotecnia |
Obtener información a través de cortesías por teléfono, correo electrónico, etc. |
|
1.2 Invasión directa |
Obtención de información mediante acceso físico a equipos de red. |
|
1.3 Remoción de escombros |
Recuperar información de contenedores de basura o archivos |
|
1.4 búsqueda WEB |
Obtener información de Internet mediante buscadores públicos |
|
1.5 Investigación WHOIS |
Obtención de información a partir de datos de registro sobre los propietarios de nombres de dominio, direcciones IP y sistemas autónomos. |
|
1.6 Estudiar zonas DNS |
Obtener información mediante el uso de un servicio de nombres de dominio |
|
2. Escanear |
Obtención de información sobre la infraestructura y estructura interna del CS. |
|
2.1 Buscar dispositivos activos |
Obtener información sobre dispositivos CS activos |
|
2.2 Seguimiento de ruta |
Determinación de la topología CS. |
|
2.3 Escaneo de puertos |
Obtención de información sobre servicios activos que operan en el CS. |
|
3. Obtener acceso |
Obtención de derechos privilegiados para gestionar nodos CS |
|
3.1 Desbordamiento de pila |
Ejecución de código arbitrario como resultado de una falla de software causada por un atacante |
|
3.2 Ataque a las contraseñas |
Selección de contraseñas de una lista de contraseñas estándar o utilizando un diccionario especialmente generado, interceptación de contraseñas |
|
3.3 Ataques a aplicaciones WEB |
Obtener acceso como resultado de la explotación de vulnerabilidades en aplicaciones WEB CS abiertas |
|
3.4 Olfatear |
Obtener acceso mediante la interceptación pasiva (escucha) y activa (sustitución de destinatarios) del tráfico CS |
|
3.5 Intercepción de sesión |
Explotación de derechos adquiridos para lograr objetivos de piratería. |
|
4.1 Mantener el acceso |
Instalación de sistemas de administración remota. |
|
4.2 ataques DOS |
Desactivación de dispositivos y servicios CS individuales. |
|
4.3 Procesamiento de información confidencial |
Interceptación, copia y/o destrucción de información |
|
5. Cubriendo tus huellas |
Ocultar el hecho de la penetración en el CS de los sistemas de seguridad. |
|
5.1 Borrar registros del sistema |
Eliminar datos archivados de aplicaciones y servicios de CS |
|
5.2 Ocultar señales de presencia online |
Túnel dentro de protocolos estándar (HTTP, ICMP, encabezados TCP, etc.) |
Consideremos los principales métodos y medios de protección contra las amenazas de red enumeradas.
Sociotécnica. La mejor defensa contra la ingeniería social es la concienciación del usuario. Es necesario informar a todos los empleados sobre la existencia de tecnología social y definir claramente los tipos de información que no pueden divulgarse por teléfono bajo ningún pretexto. Si la organización ofrece opciones para proporcionar cualquier información por teléfono (números de teléfono, datos de identificación, etc.), entonces estos procedimientos deben regularse claramente, por ejemplo, utilizando métodos de autenticación de llamadas.
Invasión directa:
* sistema de control de acceso (sistemas de control de acceso, registro de visitantes, credenciales, etc.);
* seguridad física de los equipos (cerraduras mecánicas, electrónicas);
* bloqueo de computadora, protectores de pantalla;
* cifrado del sistema de archivos.
Acumular basura. La conocida máquina cortadora de papel (trituradora) es la mejor defensa contra quienes hurgan en los contenedores de basura. Los empleados deben tener acceso sin obstáculos a dichas máquinas para que puedan destruir cualquier información valiosa. Otra opción: a cada usuario se le proporciona una bandeja separada para los papeles que contienen información importante, desde donde los documentos se envían todas las noches a la máquina cortadora de papel. Los empleados deben estar claramente informados sobre cómo manejar la información confidencial.
Buscar en WEB. El principal método de protección es la no divulgación de información. Es necesario hacer una lista necesaria y suficiente de información para publicar en recursos públicos en Internet. El exceso de datos sobre una empresa puede "ayudar" a un atacante a realizar sus intenciones. Los empleados deben ser responsables de difundir información confidencial. La información pública debe revisarse periódicamente, ya sea internamente o con terceras empresas.
Estudia WHOIS. No existen defensas generales contra un atacante que obtenga sus credenciales de inicio de sesión. Existen recomendaciones según las cuales la información de las bases de datos pertinentes debe ser lo más precisa y plausible posible. Esto permite a los administradores de diferentes empresas comunicarse sin problemas entre sí y ayudar a encontrar intrusos.
Estudiando zonas DNS. En primer lugar, debe verificar que no haya fugas de datos en el servidor DNS, lo que ocurre debido a la presencia de información innecesaria allí. Dicha información puede ser nombres que contengan el nombre de los sistemas operativos, registros HINFO o TXT. En segundo lugar, el servidor DNS debe estar configurado correctamente para limitar las transferencias de zona. En tercer lugar, debe configurar el enrutador perimetral para que solo los servidores DNS de respaldo que se sincronizan con el servidor central tengan acceso al puerto 53 (TCP y UDP). También debería utilizar la separación de servidores DNS externos e internos. El servidor interno está configurado para resolver solo nombres de redes internas y se utilizan reglas de reenvío para resolver nombres de redes externas. Es decir, el servidor DNS externo no debería “saber” nada sobre la red interna.
Busque dispositivos activos y rastree rutas. El método de protección consiste en instalar y configurar firewalls para filtrar paquetes de tal manera que se filtren las solicitudes de los programas utilizados por un atacante. Por ejemplo, bloquear solicitudes ICMP de fuentes no confiables dificultará mucho el rastreo.
Escaneo de puertos. Lo primero y más importante es cerrar todos los puertos no utilizados. Por ejemplo, si no utiliza TELNET, deberá cerrar el puerto correspondiente. Al implementar un nuevo sistema, necesita conocer de antemano los puertos que utiliza y abrirlos según sea necesario. En sistemas particularmente importantes, se recomienda eliminar los programas correspondientes a servicios innecesarios. Se considera que la mejor configuración del sistema es aquella en la que la cantidad de servicios y herramientas instalados es mínima. En segundo lugar, debe probar de forma independiente la penetración de su propio sistema, predeterminando así las acciones del intruso. Para protegerse contra escáneres más avanzados, se recomienda utilizar filtros de paquetes con monitoreo del estado del sistema. Estos filtros examinan los paquetes de protocolo y pasan sólo aquellos que coinciden con las sesiones establecidas.
Las recomendaciones generales contra el escaneo son el uso oportuno de paquetes de seguridad, el uso de sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) para la red y los hosts, y su actualización oportuna.
Desbordamiento de pila. Los métodos de protección contra este tipo de ataques se pueden dividir en dos categorías.
- 1. Métodos que utilizan los administradores de sistemas y responsables de seguridad al operar, configurar y mantener sistemas: aplicación oportuna de parches a los sistemas, seguimiento de actualizaciones de productos instalados, paquetes de servicios para ellos, eliminación de programas y servicios innecesarios, monitoreo y filtrado del tráfico entrante/saliente. configurar una pila no ejecutable. Muchos IDS son capaces de detectar ataques de desbordamiento de memoria basándose en firmas.
- 2. Métodos utilizados por los desarrolladores de software en el proceso de creación de programas: eliminar errores de programación verificando el espacio de memoria disponible, la cantidad de información de entrada que pasa por la aplicación. Abstenerse de utilizar funciones problemáticas desde el punto de vista de la seguridad; compilación de programas utilizando herramientas especiales.
Los métodos anteriores ayudan a minimizar la cantidad de ataques de desbordamiento de pila, pero no garantizan la seguridad completa del sistema.
Ataques de contraseña. Lo primero y más importante son las contraseñas "seguras". Estas son contraseñas que tienen al menos 9 caracteres y contienen caracteres especiales. Lo siguiente es cambiar las contraseñas con regularidad. Para que esto funcione correctamente, se recomienda desarrollar una política de contraseñas adaptada a una organización concreta y dar a conocer su contenido a todos los usuarios. Sería una buena idea proporcionar a los empleados pautas específicas para la creación de contraseñas. En segundo lugar, se recomienda utilizar sistemas con una comprobación integrada de contraseñas "débiles". Si no existe tal verificación, entonces se debe implementar software adicional que realice una funcionalidad similar. La forma más eficaz es rechazar las contraseñas y utilizar sistemas de autenticación (tarjetas inteligentes, etc.). Se recomienda realizar periódicamente pruebas de "descanso" de sus propias contraseñas. Es una buena práctica proteger los archivos de contraseñas con hash, así como sus instantáneas.
Ataques a aplicaciones WEB. Para protegerse contra el robo de cuentas, es necesario mostrar el mismo error en la pantalla cuando ingresa un nombre de usuario o contraseña incorrectos. Esto hará que a un atacante le resulte difícil adivinar su ID o contraseña. La mejor protección contra ataques de espionaje de conexiones es codificar la información de conexión transmitida, cambiar dinámicamente el ID de la sesión y finalizar una sesión inactiva. Los ataques más peligrosos son la inyección de SQL en una aplicación. La protección contra ellos es el desarrollo de aplicaciones WEB de tal manera que puedan filtrar cuidadosamente los datos especificados por el usuario. La aplicación no debe confiar ciegamente en la información de entrada, ya que puede contener caracteres que pueden usarse para modificar comandos SQL. La aplicación debe eliminar los caracteres especiales antes de procesar la solicitud del usuario.
Cabe señalar que hoy en día se está desarrollando activamente la dirección WAF (Web Application Firewall), un firewall a nivel de aplicación que proporciona métodos integrales para proteger los recursos WEB. Desafortunadamente, estas soluciones sólo están disponibles para grandes empresas debido a su alto coste.
Olfateando. El primero es el cifrado de los datos transmitidos a través de la red. Los protocolos utilizados para ello son HTTPS, SSH, PGP, IPSEC. El segundo es el manejo cuidadoso de los certificados de seguridad e ignorar los certificados dudosos. Utilizando conmutadores modernos que le permiten configurar el filtrado MAC en los puertos e implementar una tabla ARP estática. Utilice VLAN.
Suplantación de propiedad intelectual. Esta amenaza se puede minimizar con las siguientes medidas.
- 1. Control de acceso. Los filtros de paquetes se instalan en el borde de la red para filtrar todo el tráfico de la red externa donde la dirección de origen de los paquetes es una de las direcciones de la red interna.
- 2. Filtrado RFC2827. Consiste en cortar el tráfico saliente de la red interna en el que la dirección de origen no indica ninguna de las direcciones IP de tu organización.
- 3. La introducción de tipos adicionales de autenticación (de dos factores) y cifrado criptográfico hace que estos ataques sean completamente ineficaces.
Interceptar una sesión de comunicación. Este tipo de ataque sólo puede combatirse eficazmente mediante criptografía. Este podría ser el protocolo SSL, redes VPN, etc. Para los sistemas más críticos, es recomendable utilizar cifrado en redes internas. Un atacante que intercepte el tráfico de una sesión cifrada no podrá obtener ninguna información valiosa de ella.
Ataques DOS. Para describir los medios de protección contra ataques de DOS, consideremos su clasificación. Estos ataques generalmente se dividen en dos categorías: terminación del servicio y agotamiento de recursos (Tabla 5). La terminación de los servicios es la falla o el apagado de un servidor específico utilizado en la red. El agotamiento de recursos es el gasto de recursos de la computadora o de la red para evitar que los usuarios obtengan el servicio atacado. Ambos tipos de ataques pueden llevarse a cabo de forma local o remota (a través de una red).
Protección contra la terminación de servicios locales: parches de seguridad actuales para sistemas locales, corrección periódica de errores, diferenciación de derechos de acceso, uso de programas de verificación de integridad de archivos.
Protección contra el agotamiento de los recursos locales: aplicar el principio de privilegio mínimo al asignar derechos de acceso, aumentar los recursos del sistema (memoria, velocidad del procesador, ancho de banda de comunicación, etc.), utilizar IDS.
Protección contra terminación remota de servicios: aplicación de parches, respuesta rápida.
La mejor defensa contra el agotamiento de los recursos remotos es responder rápidamente a un ataque. En esto pueden ayudar los sistemas IDS modernos y la cooperación con el proveedor. Como en los párrafos anteriores, los sistemas deben actualizarse y parchearse con prontitud. Utilice funciones anti-suplantación de identidad. Limite la cantidad de tráfico por parte del proveedor. Para los sistemas más críticos, es necesario contar con un ancho de banda adecuado y enlaces de comunicación redundantes.
Mantener el acceso. Virus y caballos de Troya. La mejor protección es un software antivirus eficaz que funcione tanto a nivel de usuario como a nivel de red. Para garantizar un alto nivel de seguridad contra estas amenazas, se requieren actualizaciones periódicas del software antivirus y firmas de virus conocidos. El segundo paso es obtener las últimas actualizaciones del sistema operativo y configurar las políticas de seguridad de las aplicaciones de acuerdo con las recomendaciones actuales de sus desarrolladores. Es necesario formar a los usuarios en habilidades para trabajar "seguro" en Internet y con el correo electrónico. La protección contra ROOTKIT la proporcionan políticas de control de acceso, software antivirus, el uso de señuelos y sistemas de detección de intrusos.
Cubriendo huellas. Después de un ataque, el atacante normalmente intenta evitar la detección por parte de los administradores de seguridad. Para estos efectos, modifica o elimina archivos de registro que almacenan el historial de las acciones del infractor. Crear una protección eficaz que impida que un atacante modifique los archivos de registro es un requisito de seguridad fundamental. La cantidad de esfuerzo que se debe invertir para proteger la información de registro de un sistema determinado depende de su valor. El primer paso para garantizar la integridad y utilidad de los archivos de registro es permitir el registro en sistemas críticos. Para evitar una situación en la que, en caso de fuerza mayor, los registros estén desactivados, es necesario crear una política de seguridad que regule los procedimientos para mantener los registros. Se recomienda que los sistemas sean auditados periódicamente para garantizar el cumplimiento de esta política. Otra medida necesaria para proteger los archivos de registro es diferenciar los derechos de acceso a estos archivos. Un método eficaz para proteger la información de registro es instalar un servidor de registro de eventos dedicado, garantizando un nivel adecuado de seguridad. También son buenos métodos de protección como cifrar archivos de registro y permitir escribir solo al final del archivo. Uso de sistemas IDS. Puede protegerse contra el túnel en dos lugares: en la computadora de destino y en la red. En la computadora de destino, la protección la brindan derechos de acceso, software antivirus, configuración segura e instalación de actualizaciones. A nivel de red, los sistemas de detección de intrusiones pueden detectar la creación de túneles.
Los principales métodos de protección contra ataques a la red se enumeran anteriormente. Sobre su base, se construyen soluciones complejas que pueden combinar una serie de funciones de protección de la información y usarse en un módulo de infraestructura de red específico.
¾ programas en medios de almacenamiento externos
¾ RAM
¾ áreas del sistema de la computadora
¾ hardware de computadora
37. El principal medio de protección antivirus es...
¾ comprobar periódicamente la lista de programas descargados automáticamente
¾ uso de firewalls al trabajar en Internet
¾ análisis periódicos de su computadora utilizando software antivirus
¾ verificación periódica de la lista de programas descargados
38. La firma digital electrónica permite...
¾ reenviar mensajes a través de un canal secreto
¾ restaurar mensajes dañados leniya
¾ verificar la autenticidad del remitente y la integridad del mensaje
¾ cifrar el mensaje para mantener su secreto
39. La protección absoluta de su computadora contra ataques de red es posible con...
¾ usando las últimas herramientas antivirus
¾ uso de software con licencia
¾ instalar un firewall
¾ sin conexión
40. La parte más peligrosa de un correo electrónico en términos de actividad viral es...
¾ archivo adjunto
¾ título
41. Una amenaza intencional a la seguridad de la información es...
¾ daños en el cable de transmisión debido a las condiciones climáticas
¾ error de administrador
¾ inundación
42. El registro de acciones del usuario permite...
¾ reconstruir el curso de los acontecimientos cuando ocurre una amenaza a la seguridad de la información
¾ garantizar la confidencialidad de la información
¾ resolver problemas de control de acceso
43. Un paquete antivirus NO es...
¾ Kaspersky Antivirus
¾ Symantec AntiVirus
¾ Norton antivirus
¾ Antivirus de Microsoft
44. Los gusanos de red son...
¾ programas que modifican archivos en discos y se distribuyen dentro de la computadora
¾ programas que no cambian archivos en discos, pero se distribuyen en una red informática, penetran en el sistema operativo de la computadora, encuentran las direcciones de otras computadoras o usuarios y envían copias de sí mismos a estas direcciones
¾ programas distribuidos únicamente por correo electrónico a través de Internet
¾ programas maliciosos, cuyas acciones son crear fallas cuando la computadora funciona con electricidad. redes
45. Los controles de seguridad informática NO incluyen...
¾ Programa AntiViral Toolking Pro (AVP)
¾ sistemas especiales basados en criptografía
¾ hojas de cálculo
¾ Programas WinZip y WinRar
46. Los virus informáticos son...
¾ malware que se produce debido a fallas en el hardware de la computadora
¾ programas escritos por piratas informáticos específicamente para dañar al usuario
¾ programas resultantes de errores en el sistema operativo
¾ virus similares en naturaleza a los virus biológicos
47. Las características distintivas de un virus informático son
¾ cantidad significativa de código de programa
¾ capacidad de ejecutarse de forma independiente y copiar código varias veces
¾ capacidad de interferir con el funcionamiento correcto de la computadora
¾ facilidad de reconocimiento
48. Métodos de seguridad informática para (indique la respuesta incorrecta)
¾ legales
¾ organizacional y técnico
¾ político
¾ económico
49. Las consecuencias negativas del desarrollo de las tecnologías de la información modernas incluyen...
¾ formación de un espacio de información unificado
¾ trabajar con información se convierte en el contenido principal de la actividad profesional
¾ uso generalizado de las tecnologías de la información en todas las esferas de la actividad humana
¾ disponibilidad de información personal para la sociedad, invasión de la tecnología de la información en la vida privada de las personas
50. Garantizar la seguridad de la información lo llevan a cabo los diseñadores y desarrolladores de software en las siguientes áreas (indique la respuesta incorrecta)
¾ protección contra fallas del equipo
¾ protección contra pérdida accidental de información
¾ protección contra la distorsión deliberada de la información
¾ desarrollo de un marco legal para combatir los delitos en el campo de la tecnología de la información
¾ protección contra el acceso no autorizado a la información
51. El mercado desarrollado de productos y servicios de información, los cambios en la estructura de la economía y el uso masivo de las tecnologías de la información y las comunicaciones son signos de:
¾ cultura de la información
¾ el mayor grado de desarrollo de la civilización
¾ crisis de información
¾ sociedad de la información
¾ dependencia de la información
52. ¿Qué no se aplica a los objetos de seguridad de la información de la Federación de Rusia?
¾ recursos naturales y energéticos
¾ recursos de información de todo tipo
¾ sistemas de información de diversas clases y finalidades, tecnologías de la información.
¾ sistema para la formación de la conciencia pública
¾ los derechos de los ciudadanos, las personas jurídicas y el estado a recibir, distribuir, utilizar y proteger la información y la propiedad intelectual
53. Para escribir un trabajo independiente, copiaste el texto completo del acto jurídico de Internet. ¿Violaste los derechos de autor al hacerlo?
¾ no, ya que los actos jurídicos reglamentarios no están sujetos a derechos de autor
¾ no, si hay permiso del propietario del sitio
54. ¿Es posible utilizar artículos de diversas revistas y periódicos sobre temas políticos, económicos, religiosos o sociales para preparar material educativo a partir de ellos?
¾ sí, habiendo recibido el consentimiento de los titulares de los derechos de autor
¾ sí, indicando fuentes de endeudamiento
¾ sí, sin pedir el consentimiento de los titulares de los derechos de autor, pero con la indicación obligatoria de la fuente del préstamo y los nombres de los autores.
55. ¿Se considera que un artículo publicado en Internet está sujeto a derechos de autor?
¾ no, si el artículo fue publicado por primera vez en Internet
¾ sí, siempre que el mismo artículo se publique impreso dentro de 1 año
¾ sí, ya que cualquier artículo está sujeto a derechos de autor como obra científica o literaria.
56. ¿En qué casos no se violarán los derechos de autor al compartir tus juegos de computadora con otras personas?
¾ si se publicaron copias de estos juegos de ordenador y se pusieron en circulación pública con el consentimiento del autor
¾ si los propietarios de las copias intercambiadas de juegos de ordenador las compraron en virtud de un acuerdo de compraventa/intercambio
¾ si se cumplen simultáneamente las condiciones especificadas en los párrafos anteriores
¾ si se distribuyen por alquiler
57. Principales acciones (fases) que realiza un virus informático:
¾ infección
¾ bloqueo de programa
¾ manifestación
¾ reproducción
¾ disfrazar
58. Los programas antivirus no incluyen:
¾ intérpretes
¾ auditores
¾ vigilante
¾ vacunas
59. Finalidad de los programas detectores de antivirus:
¾ detección y destrucción de virus.
¾ detección de virus
¾ tratamiento de archivos infectados
¾ destrucción de archivos infectados
¾ tratamiento de archivos infectados
¾ control de las vías de propagación del virus
60. Las desventajas de los productos antivirus incluyen:
¾ imposibilidad de tratar objetos “sospechosos”
¾ variedad de configuraciones
¾ escaneo automático de todos los archivos abiertos
¾ la necesidad de actualizar constantemente las bases de datos de virus
61. Un paquete antivirus es:
¾ Kaspersky Antivirus
¾ Symantec AntiVirus
¾ Norton antivirus
¾ Antivirus de Microsoft
62. Los medios mínimos requeridos de protección contra virus incluyen:
¾ certificación de locales
¾ control de salida
¾ control de entrada
¾ archivar
¾ prevención
63. La transformación criptográfica de la información es:
¾ introducción de un sistema de contraseñas
¾ cifrado de datos
¾ restricción de acceso a la información
¾ respaldo de información
64. Los medios más eficaces para protegerse contra ataques a la red:
¾ uso de firewalls o FireWall
¾ visitar sólo sitios de Internet confiables
¾ uso de programas antivirus
¾ utilice únicamente navegadores certificados al acceder a Internet
65. Firewall es:
¾ programa de correo
¾ igual que el navegador de Internet
¾ igual que el firewall
¾ editor gráfico
66. Registrar las acciones del usuario le permite:
¾ garantizar la confidencialidad
¾ gestionar el acceso a la información
¾ reconstruir eventos cuando ocurre una amenaza a la seguridad de la información
¾ recuperar información perdida
67. La auditoría de la red incluye:
¾ escaneo de red antivirus
¾ auditoría selectiva de usuarios
¾ auditoría de seguridad de cada nuevo sistema cuando se instala en la red
¾ registrar las acciones de todos los usuarios en la red
68. Capa de sockets seguros:
¾ no utiliza cifrado de datos
¾ garantiza una transferencia de datos segura
¾ no puede utilizar cifrado de clave pública
¾ esto no es un protocolo, un programa
69. El medio más eficaz para protegerse contra ataques a la red es...
¾ Uso de firewalls, o Firewall;
¾ Visite únicamente sitios de Internet "confiables";
¾ Uso de programas antivirus;
¾ Utilice únicamente programas de navegación certificados cuando acceda a Internet.
70. Generalmente se utiliza una imagen comprimida del texto fuente...
¾ Como clave para cifrar texto;
¾ Crear una firma digital electrónica;
¾ Como clave pública en algoritmos simétricos;
¾ Como resultado de cifrar texto para enviarlo a través de un canal inseguro.
71. De lo siguiente: 1) contraseñas de acceso, 2) descriptores, 3) cifrado, 4) hash, 5) establecimiento de derechos de acceso, 6) prohibición de impresión,
Los medios de protección de la información informática incluyen:
72. No puede ocurrir una infección por un virus informático.
¾ Al abrir un archivo adjunto al correo;
¾ Al encender y apagar la computadora;
¾ Al copiar archivos;
¾ Cuando se inicia para ejecutar un archivo de programa.
73. Una firma digital electrónica de un documento le permite resolver el problema de ______________ documento(s)
¾ Modo de acceso
¾ Valores
¾ Autenticidad
¾ Secreto
74. El resultado de la implementación de amenazas a la seguridad de la información puede ser
¾ Destrucción de dispositivos de entrada/salida
¾ Cambiar la configuración de los dispositivos periféricos
¾ Destrucción de canales de comunicación.
¾ Introducción de desinformación
75. Una firma digital electrónica establece ____ información
¾ Consistencia
¾ Autenticidad
¾ Contradicción
76. Las herramientas de software para proteger la información en una red informática son:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Copia de seguridad.
77. Para el uso seguro de los recursos en Internet se diseña un protocolo...
