SlideShare una empresa de Scribd logo

Qué es un cortafuegos

Jose Manuel Ortega Candel
Jose Manuel Ortega Candel

Definiciones seguridad informatica

Tecnología
1 de 17
Descargar para leer sin conexión
¿Qué es un Firewall? Un firewall o cortafuegos es un sistema físico, lógico o una combinación de ambos, diseñado para bloquear los accesos no autorizados y permitir los autorizados basándose en un conjunto de reglas o normas definidas. Tipos de cortafuegos: • Firewalls de filtrado de paquetes o a nivel de red: Estos firewall se encargan de examinar las direcciones para determinar, basándose en su cabecera, si se le permite pasar/salir hacia/desde la red local o no. Por ejemplo, con este sistema se pueden bloquear todos los paquetes que provengan de un sitio, de un usuario o de una IP concreta. • Firewalls a nivel de aplicación: Estos firewall trabajan a nivel aplicación controlando el tráfico entre dos redes. Por ejemplo con este sistema se pueden hacer filtros por URL, por tráfico etc. La recomendación RFC 2979 de la IETF http://www.ietf.org/rfc/rfc2979.txt define las características de comportamiento y requerimientos de interoperabilidad para los cortafuegos de Internet. ¿Qué es un IDS? Un sistema de detección de intrusos (IDS Intrusion Detection System) es un sistema usado para detectar accesos no autorizados a un equipo o red. Estos sistemas a través de sensores virtuales (sniffers) realizan análisis del tráfico de red comparándolas con firmas de ataques conocidos o comportamientos sospechosos (escaneo de puertos, paquetes malformados, etc). ¿Qué es un IPS? Un Sistema de Prevención de Intrusos (IPS) al igual que un IDS, es un sistema usado para detectar accesos no autorizados a un equipo o red, con la diferencia de que el IPS no solo detecta, si no que es capaz de establecer políticas de seguridad para proteger el equipo o la red del ataque ¿Qué es una honey? Una honey es un dispositivo utilizado como señuelo, lo que permite estudiar los métodos utilizados por los atacantes e implementar políticas de seguridad acordes en los verdaderos sistemas. ¿Qué es una DMZ ( Zona desmilitarizada)? Una DMZ es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de la DMZ es permitir que los equipos que estén situados en la misma, puedan dar servicios a la red externa a la vez que protegen la red Interna, esto se debe a que las DMZ permiten las conexiones entrantes desde la red interna y la externa, pero no permiten las conexiones salientes desde la DMZ a la red interna. De esta forma, si un atacante consigue comprometer la seguridad de un equipo de la DMZ no puede acceder a la red interna.
¿Qué es una VPN ( Red Privada Virtual)? Una red privada virtual es una tecnología de red que permite una extensión segura de la red local sobre una red pública o no controlada como Internet. Es decir una VPN permite que maquina envié y reciba datos por una red pública o compartida, normalmente internet, como si estuviera en una red privada (red Local), con todas las funcionalidades y seguridad de la red Local. Existen diferentes tipos de VPN, las más comunes son: • VPN de acceso remoto, que son las VPN que permiten al usuario conectarse a la red de la compañía desde el exterior (casa, hoteles, etc.) utilizando Internet. Una vez logeado en el sistema el usuario trabaja como si estuviera en la compañía. • VPN punto a punto, normalmente utilizadas para la interconexión de dos sedes a través de internet, permitiendo a los usuarios trabajar como si estuvieran todos en la misma red. • VPN sobre LAN, estas VPN se montan sobre la propia LAN, normalmente son utilizadas para aislar zonas especificas dentro de una red interna, por ejemplo para redes que necesitan unas seguridad adicional(cifrado, mayores niveles de autentificación etc). DoS (Ataques de Denegación de Servicio) Un ataque de denegación de servicio consiste en colapsar totalmente un servidor y hacer imposible (o muy lenta ) la navegación a través de él. Existen dos variantes del ataque, la primera de ella, se basa en el envío de miles de peticiones desde una única IP al servidor hasta que lo satura: Este ataque es fácil de parar, basta con bloquear la IP atacante. La segunda variante, llamado comúnmente ataque distribuido, se basa en el envío de miles de peticiones desde distintas IP´S , de tal manera que el servidor no da abasto para bloquear todas las IP's, y el servidor termina por saturarse. A parte de estas dos variantes, los ataques se pueden clasificar en tres tipos: • Los ataques enfocados a inundación de conexiones, que como su nombre indica se basa en inundar el servidor a peticiones. • Los ataques por Inundación de ancho de banda que se basan en saturar el ancho de banda de tal manera que no se permite el envío y recepción de paquetes legítimos. Los ataques de vulnerabilidad, que son aquellos que se centran en alguna vulnerabilidad del servidor para explotarla y provocar un fallo en la maquina. ¿Qué son los Ataques de escaneo de red? Los ataques de escaneo se dedican recopilar que puertos que se encuentran abiertos (escuchando) en la red, para posteriormente acceder a los recursos a través de ellos. Dentro de los ataques de escaneo de red podemos encontrar diferentes tipos como: • Ataques de escaneo TCP: El protocolo TCP/IP utiliza puertos virtuales para realizar el envío y recepción de los datos por la red, estos puertos se encuentran en escucha permanente por determinados puertos, para recibir los datos que se van a transmitir de un equipo a otro. Esta comunicación se basa en unos dígitos de control específicos que son los que marcan el establecimiento, mantenimiento y fin de las conexiones. El ataque se basa en utilizar esos dígitos de control para ver que puertos están escuchando.
• Ataque Snnifing: Este tipo de ataques se basa en recopilar y almacena toda la información que circula por la red. ¿Qué es la Securización de equipos (Bastionado de equipos)? El bastionado o securización de equipos, es el conjunto de tareas aplicadas a un equipo destinadas a fortalecer la seguridad que lleva por defecto el equipo. Dependiendo del equipo a bastionar deben realizarse unas tareas u otras, sin embargo existen unas tareas básicas que deberían realizarse en todos los equipos: • Actualización constante del sistema operativo y aplicaciones: El sistema operativo, así como las aplicaciones instaladas, deben estar siempre actualizadas a la última versión de parches de seguridad. La mayoría de malware actual se basa en vulnerabilidades conocidas de un servicio o aplicación para el sistema. • Configuración de la seguridad de las aplicaciones instaladas y eliminar aquellas que no sean necesarias, de nada sirve un servidor altamente securizado si la configuración de las aplicaciones instaladas tienen vulnerabilidades. • Configuración de los permisos de los ficheros, es necesario comprobar los permisos de ciertos ficheros o directorios, para evitar que usuarios no autorizados puedan leerlos o modificarlos. Debe tenerse especial cuidado con las unidades compartidas para propósitos administrativos. • Restringir el acceso a cuentas privilegiadas, es aconsejable deshabilitar las cuentas por defecto del sistema como root, administrador, invitado etc. • Configurar las cuentas de usuario, es aconsejables es reducir al mínimo el uso de usuarios locales del sistema. Los privilegios de los que dispone un usuario en el sistema se deben limitar de manera estricta, teniendo en mente la filosofía de otorgar el menor privilegio. • Monitorizar el acceso a cuentas privilegiadas, es aconsejable no solo restringir el acceso a cuentas privilegias, sino crear un log donde se registren los accesos y acciones realizadas con esas cuentas. • Eliminar servicios innecesarios, es necesario comprobar que servicios se encuentran activos en el sistema y eliminar aquellos que no sea imprescindibles. • Habilitar protecciones en el arranque, es aconsejable establecer contraseñas en la Bios al fin de evitar arranques no permitidos del sistema. También es recomendable configurar el control de sesiones, de tal manera que se active el protector de pantalla que bloque el terminal con contraseña al cabo de un tiempo de inactividad. • Establecer las directivas de seguridad oportunas, si el sistema pertenece al dominio de Indra tomará las directrices de seguridad del dominio, en caso contrario es necesario configurar las directivas de seguridad, en especial aquellas relacionadas con la política de contraseñas y cuentas (longitud de contraseñas, requisitos de complejidad, caducidad de cuentas y contraseñas, cambios periódicos de contraseñas etc.). • Establecer los mecanismo necesarios para la protección del sistema ante el malware, activación de firewall del esquipo, instalación y configuración de antivirus etc. • Configurar la sincronización de tiempo, debe configurarse la sincronización de tiempo del sistema, en el caso de que este pertenezca al dominio de Indra utilizara el servicio de hora interno, en caso contrario deberá tomar como referencia de tiempo un servidor de tiempo valido y aceptado. • Habilitar los servicios de auditoría del sistema, deben habilitarse los registros de auditoría del sistema, debe estudiarse que registros proporcionan información relevante y cuáles no ya que un exceso de registros puede impactar negativamente en el rendimiento del
sistema. • Configurar tareas básicas como: monitorización del sistema, backups, etc. Obviamente, estas son unas indicaciones generales de securización de un sistema, cada responsable deberá valorar qué medidas serán adecuadas y cuáles serán excesivas de implantar por no ser necesario o por no merecer la pena la implantación por el coste en recursos que ello supondría. ¿Qué es la Lista CVE? La Lista CVE, de su nombre en ingles ,Common Vulnerabilities and Exposures, es una lista de las vulnerabilidades conocidas de seguridad, donde cada referencia tiene un número de identificación único. Con ello se persigue una nomenclatura común para el conocimiento público de este tipo de problemas y así facilitar la compartición de datos sobre dichas vulnerabilidades. La idea de este listado fue promovida por The MITRE Corporation con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de América. Forma parte del llamado Security Content Automation Protocol. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades. El Proceso de incorporación de una vulnerabilidad es dicho listado pasa por tres fases: • Etapa de presentación inicial • Etapa de candidatura • Etapa de ingreso en la lista (si es que la candidatura es aceptada) ¿Como puedo saber cuales son las vulnerabilidades de mi sistema? A través del National Vulnerability Database, podemos acceder al National Checklist Program (NCP), un repositorio publico del gobierno de los EE.UU. Este repositorio proporciona unas guías de configuración de seguridad para los sistemas operativos y las aplicaciones.
¿Qué es un SIEM? Un SIEM es un sistema de Gestión de la Seguridad de la Información y Gestión de Eventos, es decir, una combinación de SEM (Gestión de Eventos) y SIM (Gestión de la Seguridad de la Información). Por un lado, el SEM, proporciona monitorización en tiempo real, correlación de eventos, notificaciones y vistas de la consola que comúnmente se conoce como Gestión de Eventos de Seguridad. Y por el otro, el SIM, ofrece alm acenamiento a largo plazo, el análisis y la comuni cación de los datos de registro, y se conoce como Gestión de Seguridad de la Información. Por tanto un SIEM debe proporcionar: • Administración de logs: Debe ser capaz de agrupar en un unico sistema de logs desde muchas fuentes, incluyendo redes, seguridad, servidores, bases de datos, aplicaciones, proporcionando la capacidad de consolidar los datos recopilados, para ayudar a evitar la pérdida de los acontecimientos cruciales. • Correlación de datos: Debe ser capaz de buscar atributos comunes, y relacionar eventos. • Alertas: Debe realizar el análisis automatizado de eventos correlacionados y producir alertas, para notificar a los destinatarios de los problemas inmediatamente. • Tablas informativas: Debe recopilar los datos y convertirlos en tablas informativas para ayudar a ver patrones que permitan identificar una actividad que no está siguiendo un patrón estándar. ¿Qué es el Ransomware? El Ransomware es un software malicioso que al infectar el equipo le da al ciberdelincuente la capacidad de cifrar los archivos quitando al usuario el control de toda la información y datos almacenados, solicitando posteriormente el pago de un rescate a las víctimas para recuperar la información
¿Cómo funciona? Existen diversas maneras de infectarse, por ejemplo visitando una página web comprometida, o través de un correo malicioso o de otro malware. En ocasiones, para incrementar la posibilidad de que el usuario descargue el Ransomware suplantan la identidad de un organismo o empresa conocido, por ejemplo compañías de correos, eléctricas, gas etc. Una vez el Ransomware llega al equipo se conecta a internet para descargar una clave que cifra archivos importantes para el usuario, como .doc, .xls, .pdf, etc. de tal manera que el usuario no puede acceder a ellos. Una vez ha terminado, muestra un mensaje al usuario informándole del secuestro de sus datos y dándole instrucciones sobre cómo debe efectuar el pago si quiere recuperar dichos archivos. ¿Qué puedes hacer para protegerte? • Haz copias de seguridad regularmente de tus archivos importantes. • No abras correos de remitentes desconocidos, con asuntos o adjuntos sospechosos. Ten especial cuidado con los archivos con extensiones .exe, .vbs, .scr. • Piensa dos veces antes de hacer clic en un enlace. No abras correos bloqueados por el correo corporativo fuera de Red Indra: El adjunto o el enlace puede estar infectado. • Actualiza y parchea regularmente tu sistema operativo, antivirus, navegadores, reproductor de Flash, Java, etc. • Desactiva el uso compartido de archivos. • Mejora la seguridad de los componentes de Microsoft Office, deshabilita macros, ActiveX y bloquea el contenido externo, etc. • Bloquea las ventanas emergentes de tu navegador, ya que también pueden suponer un punto de entrada para los ataques. • Usa contraseñas seguras. • Desactiva la reproducción automática de medios externos, tales como USB, DVD, etc. • Apague las conexiones inalámbricas cuando no las uses, Bluetooth, infrarrojos, Wifi, etc. • Habilita la función de mostrar extensiones de archivo, de esta manera podrás descubrir los archivos ejecutables camuflados como documentos de texto, imágenes etc. Puedes consultar como realizar estos cambios de configuración en la categoría Guías de Seguridad/Configuración.
¿Qué puedes hacer para protegerte? • Haz copias de seguridad regularmente de tus archivos importantes. • No abras correos de remitentes desconocidos, con asuntos o adjuntos sospechosos. Ten especial cuidado con los archivos con extensiones .exe, .vbs, .scr. • Piensa dos veces antes de hacer clic en un enlace. No abras correos bloqueados por el correo corporativo fuera de Red Indra: El adjunto o el enlace puede estar infectado. • Actualiza y parchea regularmente tu sistema operativo, antivirus, navegadores, reproductor de Flash, Java, etc. • Desactiva el uso compartido de archivos. • Mejora la seguridad de los componentes de Microsoft Office, deshabilita macros, ActiveX y bloquea el contenido externo, etc. • Bloquea las ventanas emergentes de tu navegador, ya que también pueden suponer un punto de entrada para los ataques. • Usa contraseñas seguras. • Desactiva la reproducción automática de medios externos, tales como USB, DVD, etc. • Apague las conexiones inalámbricas cuando no las uses, Bluetooth, infrarrojos, Wifi, etc. • Habilita la función de mostrar extensiones de archivo, de esta manera podrás descubrir los archivos ejecutables camuflados como documentos de texto, imágenes etc. Puedes consultar como realizar estos cambios de configuración en la categoría Guías de Seguridad/Configuración. Buenas prácticas de seguridad para dispositivos móviles Adicionalmente a los requisitos de seguridad recogidos en la normativa de Indra, deben tenerse en consideración las siguientes buenas prácticas: • Implementa una solución de seguridad integral, la cual debe permitirte detectar proactivamente los códigos maliciosos, filtrar mensajes no solicitados, revisar la correcta configuración del teléfono y ofrecer la posibilidad de borrar remotamente toda la información almacenada en caso de robo o extravío del dispositivo. • Solo instala aplicaciones provenientes de repositorios o tiendas oficiales. Utiliza software legítimo proveniente de fuentes y repositorios oficiales ayuda a minimizar la posibilidad de convertirse en una víctima de códigos maliciosos. • Actualizar el sistema operativo y las aplicaciones del Smartphone: Al igual que con los ordenadores, actualizar tanto el sistema operativo como los programas es fundamental para obtener mejoras de seguridad y nuevas funcionalidades. • Establece una contraseña de bloqueo: Si es posible que ésta posea más de cuatro caracteres. • Desactiva las opciones no utilizadas como Bluetooth o GPS: De este modo, se evita la propagación de códigos maliciosos y el gasto innecesario de la batería. • Evita utilizar redes inalámbricas públicas: De ser imprescindible, al momento de conectarse a una red inalámbrica púbica, se recomienda no utilizar servicios que requieran de información sensible como transacciones bancarias, compras, etc. Preferentemente se deben utilizar redes 3G. • Respalda la información almacenada: Es recomendable realizar periódicamente copias de seguridad de la información almacenada en el dispositivo. También debes evitar escribir información sensible como contraseñas en forma de recordatorios o mensajes de texto. • Configura adecuadamente tus redes sociales: No compartas información de forma pública y
limita la cantidad de amigos. • No le des a hipervínculos sospechosos de correos, mensajes o sitios web. Ni tampoco escanees cualquier código QR. • Se cuidadoso con el dispositivo para evitar su robo o pérdida. A continuación se muestran una serie de guías de seguridad para dispositivos móviles. Recuerda si tienes alguna duda ponte en contacto con la Dirección de Seguridad de la Información. • Guía de Seguridad en dispositivos móviles • Seguridad de dispositivos móviles: iPhone (iOS 7.x) • Seguridad en Windows Mobile 6.5 • Seguridad de dispositivos móviles: ANDROID 4.x Habilitar la opción para poder ver las extensiones verdaderas de los archivos en Windows 1. Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta. 2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes: 3. Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar. 4. Para ocultar las extensiones de nombre de archivo, active la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
Desactivar el uso compartido de archivos e impresoras. Active esta opción para redes domésticas o cuando conozca y confíe en los usuarios y dispositivos de la red. Esta configuración permite que el equipo se conecte a dispositivos de la red, como impresoras. Desactívela para redes en lugares públicos (como cafeterías o aeropuertos), o si no conoce o no confía en los usuarios y dispositivos de la red. Esta configuración no está disponible para redes de dominios 1. Para abrir Centro de redes y de recursos compartidos, haga clic en el botón Inicio, en Panel de control, en Red e Internet y, finalmente, en Centro de re des y de recursos compartidos. 2. En el panel derecho haga clic sobre CAmbiar configuración de uso compartido avanzado. 3. En la neuva ventana marque las opciones de "desactivar la detección de redes" y "desactivar el uso compartido de archivos e impresoras". 4. A continuación, haga clic en Guardar cambios Deshabilitar macros, ActiveX y bloqueo de contenido externo en Microsoft Office 1. Haga clic en el botón Microsoft Office Office y, después, haga clic en Opciones de Word. 2. Haga clic en Centro de confianza y, a continuación, en Configuración del Centro de confianza. 3. Haga clic en el área de seguridad que desee. • Configuración de macros.Deshabilitar todas las macros con notificación. • Configuración de Active X .Preguntar antes de habilitar. Desactivar la reproducción automática 1. Para abrir Reproducción automática, haga clic en el botón Inicio y, a continuación, haga clic en Panel de control. En el cuadro de búsqueda, escriba reproducción automática y, a continuación, en la lista de resultados, haga clic en Reproducción automática. 2. Para desactivar la Reproducción automática, desactive la casilla Usar la reproducción automática para todos los medios y dispositivos. 3. Haga clic en Guardar.
Comprobación de la dirección del remitente. Uno de los puntos débiles del correo electrónico es precisamente la comprobación de la autenticidad de remitente. Para ello lo primero que debemos hacer es comprobar de donde viene el correo, para ellos vamos a mirar las cabeceras del correo electrónico para comprobar dónde se originó el mensaje. Una cabecera típica de correo electrónico muestra varias líneas que empiezan con "Recibido". Fíjate en la última línea de "Recibido"; esta tendrá un aspecto similar al siguiente: Received from genericwebsite.org (123.456.789.101) Si la información "Recibido de" no coincide con la dirección de correo del remitente o la empresa que se representa en el correo, normalmente significa que el mensaje no procede realmente de esa persona o empresa. Como ver la cabecera en Microsoft Outlook Para ello abrimos el mensaje. En la pestaña Mensaje, vamos al grupo Etiquetas y hacemos clic para que se muestren todas las opciones. Se nos abrirá la ventana Propiedades donde podremos ver "Encabezados de Internet". Como ver la cabecera en Mozilla Thunderbird Seleccionamos el mensaje y le damos a menú Ver/Formato Original del mensaje. Como ver la cabecera en Mozilla Google Mail Abrimos el mensaje y nos vamos al desplegable que hay junto al botón Responder y le damos a Mostrar Original. Comprobación legitimidad de un sitio web Para verificar la legitimidad de una página web, puedes comprobar su certificado digital. Para que este proceso sea más intuitivo las últimas versiones de los navegadores interpretan los certificados mediante códigos de colores, de manera que por el simple color de la barra de navegación se pueda comprobar la legitimidad de la página. Al acceder a la página web, si la barra de direcciones del navegador es de color verde, puedes estar seguro de que la página web es de la entidad que dice ser. Pero ten en cuenta que, dependiendo del navegador que utilices, lo verás de una forma u otra. Echa un vistazo a las siguientes imágenes:
Si la página sigue manteniendo "HTTPS", pero la barra de direcciones no se pone de color verde, deberás tener alguna consideración más. Para ello debemos comprobar el contenido del certificado clicando sobre el icono del candado para que te aparezca una ventana emergente con información sobre quién confirmó el certificado. Haz clic en Más información, en esa ventana, haz clic en Seguridad y luego en "Ver certificado". Los certificados de sitio web seguro contienen la siguiente información: • Número de Serie: Identifica únicamente el certificado. • Asunto: Identifica tanto al propietario del certificado como al nombre de la organización propietaria del mismo. • Emisor: Identifica la entidad que emitió el certificado. Verifica que el emisor sea un sitio de confianza, ten cuidado con los certificados gratuitos, se están detectado usos fraudulentos de los mismos. (http://blog.trendmicro.com/trendlabs-security- intelligence/lets-encrypt-now-being-abused-by-malvertisers/)
¿Qué es un ataque Cross-Site Scripting (Xss)? Un ataque de XSS se basa en aprovechar la falta de mecanismos de filtrado y validación de los campos de entrada, permitiendo de esta manera el envío de scripts completos con secuencias de comandos maliciosos con el fin de obtener una salida "no habitual" del sistema. La finalidad de este tipo de ataque es múltiple, desde el robo de información, la propagación de amenazas, o la obtención de las cookies de acceso, hasta la realización de un ataque de phishing. El desarrollo de estas amenazas se encuentra normalmente en lenguajes como JavaScript, HTML, VBScript, ActiveX o Flash. A grandes rasgos se identifican dos categorías: XSS No persistente Este tipo de ataques no se ejecutan en la propia aplicación o sitio web, sino que es una inyección de código que se inicia en el momento en el que el usuario accede. Esta limitación se debe a que el código HTML se interpreta en el navegador del usuario y no en el servidor del sitio web o la aplicación. Existen dos tipos básicos: • Las inyecciones de código que capturan la sesión del usuario para enviársela al atacante y que este pueda ejecutar acciones haciéndose pasar por el usuario. • Las inyecciones de código que hacen creer al usuario que se encuentra en una página legítima, de tal manera que cuando el usuario mete sus claves de acceso, estas son enviadas al atacante. XSS Persistente A diferencia de los ataques no persistentes, esta modalidad si inserta el código en el sitio web o aplicación, lo que hace que no solo afecta a un usuario, sino a todos los usuarios que accedan. Estos tipos de ataques se encuentran principalmente en sitios web que permiten alguna clase de entrada de datos como por ejemplo blogs y formularios, etc. Los ataques de XSS persistentes permiten tomar el control del navegador, capturar información de las aplicaciones y hasta incluso la ejecución de exploits basados en el navegador. Además de las recomendaciones específicas de cada lenguaje para prevenir XSS en una aplicación es importante tener en cuenta los siguientes factores: • Validación de entrada. Es necesario utilizar un mecanismo estándar de validación de entrada para validar toda la información entrante contra longitud, tipo, sintaxis, y reglas de negocio antes de permitir que la información sea visualizada o almacenada. De igual forma se debe utilizar una estrategia de validación de "aceptar solo lo bueno". Se debe rechazar la información inválida en lugar de rehabilitar posible información hostil y no olvidar que los mensajes de errores pueden también contener información inválida. • Codificación fuerte de salida. Se debe asegurar que toda la información suministrada por el usuario sea apropiadamente codificada (sea HTML o XML dependiendo en el mecanismo de salida) antes de devolver la página, mediante la codificación de todos los caracteres a excepción de un pequeño subgrupo. • Especificación de la codificación de salida. (tales como ISO 8859-1 o UTF 8). No permitir que el atacante elija esto en nombre de los usuarios. • No utilizar la validación de lista negra "blacklist" para detectar XSS en la entrada o para
validar la salida. Buscar y reemplazar solo algunos caracteres ("<" ">" y otros caracteres similares o frases tales como "script") es una técnica débil y ha sido atacada satisfactoriamente con anterioridad. Incluso una etiqueta "<b>" sin verificar es inseguro en algunos contextos. XSS tiene un sorprendente número de variantes que hacen sencillo evitar la validación de listas negras. • Cuidado con los errores de forma. Los valores de entrada deben ser decodificados y "acondicionados" a la representación interna de la aplicación, antes de ser validados. Debe asegurarse que la aplicación no decodifique la misma entrada dos veces. Tales errores pueden ser usados para evadir los esquemas de listas blancas "whitelists" introduciendo entradas peligrosas, una vez han sido controladas ¿Qué es el cifrado MD5 (Message-Digest Algorithm 5)? Es un algoritmo de reducción criptográfico de 128 bits, cuya codificación es representada como un número de 32 dígitos hexadecimal. https://www.owasp.org/index.php/Glossary#MD5 ¿Cómo funciona la técnica MD5 con sal (salted-MD5)? Esta técnica funciona de la siguiente forma: la base de datos almacena el hash MD5 de la contraseña cuando el cliente hace una petición de la página de entrada, el servidor genera un número aleatorio, la sal, y lo envía al cliente junto con la página. Un código JavaScript de cliente se encarga de aplicar la función hash MD5 a la contraseña proporcionada por el usuario. El mismo código concatena la sal al resultado anterior y vuelve a aplicar MD5 al conjunto. El resultado se envía al servidor. El servidor toma el hash de la contraseña de la base de datos, le concatena la sal y le aplica de nuevo la función hash MD5. Si el usuario ha introducido correctamente la contraseña, los dos resultados deberían coincidir y, en tal caso, el usuario será autenticado. ¿Qué es la inyección SQL? La Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad en el nivel de validación de las entradas en una aplicación, para realizar consultas a una base de datos. Se dice que se produce un ataque de inyección SQL cuando de alguna manera, se inserta o "inyecta" código SQL dentro del código SQL de la aplicación, con el fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código incrustado, en la base de datos. La vulnerabilidad se produce cuando un programa "ejecuta" una sentencia SQL, normalmente en la que se pide al usuario parámetros a ingresar a efectos de consultar la base de datos, aprovechando esta petición, se inyecta dentro de los parámetros el código SQL intruso. Al ejecutarse la consulta en la base de datos, el código SQL intruso inyectado también se ejecutará, a través de esta ejecución se pueden realzar un sinfín de acciones; como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de código malicioso. La inyección SQL es fácil de evitar, por parte del desarrollador, en la mayoría de los lenguajes de programación que permiten desarrollar aplicaciones web, a través de las pertinentes validaciones de los datos de entrada. El método más efectivo para proteger una aplicación de la inyección de SQL es que se valide toda la información que provenga del cliente antes de ejecutar las sentencias SQL. Otro método seria la
prevención del uso de SQL dinámicas, mediante el uso de procedimientos almacenados y parámetros. ¿Qué es SSL Secure Socket Layer (Capa de conexión segura)? Es un protocolo criptográfico (un conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente y un servidor. Como funciona SSL: Cuando el cliente pide una página SSL, el servidor envía un certificado que es obtenido de una autoridad certificadora confiable. El certificado contiene la llave pública del servidor. Después de asegurarse que el certificado es correcto y que el servidor es genuino, el cliente genera un número aleatorio, la llave de sesión. La llave es encriptada con la llave pública del servidor y enviada. El servidor desencripta el mensaje con su llave privada. Ahora ambos lados tienen una llave de sesión conocida solamente por ellos dos. Toda comunicación desde y hacia ellos es encriptada y desencriptada con la llave de sesión. A pesar de que SSL proporciona un buen nivel de seguridad, no es suficiente. SSL proporciona seguridad en dos aspectos, por un lado cuando el cliente se conecta al servidor, puede estar seguro que esta comunicándose con el servidor correcto verificando el certificado que el servidor envía y por otro lado, SSL asegura la confidencialidad de los datos, dado que el cliente y el servidor intercambian mensajes encriptados que no pueden ser entendidos por nadie más. Existen herramientas que pueden modificar la información incluso cuando el sitio está corriendo sobre SSL. Supongamos que tenemos una herramienta qie tiene un certificado falso (con su llave publica y su llave privada). Cuando el cliente realizar una petición con SSL, la herramienta envía dicha petición tal cual al servidor, entonces el servidor envía como respuesta su certificado con su llave pública. La herramienta lo intercepta y genera una llave de sesión y la manda al servidor cifrada con la llave pública del servidor. De esta forma consigue establecer una conexión SSL con el servidor. A su vez, envía a la parte cliente su propio certificado y llave pública, el navegador cliente muestra un mensaje diciendo que el certificado no es de confianza y pregunta al usuario si quiere aceptarlo, (en este caso como la herramienta ha tomado el control del navegador acepta el certificado). El cliente genera una llave de sesión, la cifra con la llave pública de la herramienta y la envía. De esta forma ahora la herramienta ha establecido dos conexiones SSL – una con el servidor y otra con el cliente. De esta forma se descifra la información que proviene del servidor y se la muestra en texto plano al atacante y luego la cifra de nuevo con la llave del cliente y la envía. Para el tráfico en la otra dirección utiliza el mismo método.
¿Qué son los registros W3C? W3C es un formato de registro usado en los archivos de registro de los servidores Web. Estos registros guardan los detalles de acceso de cada petición: la fecha y hora, IP de origen, página solicitada, el método usado, versión del protocolo HTTP, tipo de navegador, la página de origen (referrer), el código de respuesta, etc. Nótese de que se trata de registros de acceso, por lo que existirá un registro para cada petición. Cuando se descarga un página con varios ficheros gif, se guardará una entrada por cada uno de ellos; por tanto, estos registros suelen ser voluminosos. ¿Qué es un ataque por fuerza bruta? Se denomina ataque de fuerza bruta al procedimiento de obtención de una clave, probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Normalmente a través de uso de diccionarios. Entre los métodos más sencillo de evitar ataques que un ataque por fuerza bruta nos afecte, son: • Evitar que el esquema de códigos de usuarios no sea predecible ni de información pública. • La función de cambio de contraseña debe incluir la contraseña antigua y una confirmación de la nueva. • Implementar que las cuentas de usuario sean bloqueadas si la contraseña se ingresa más de un determinado nº de veces (aunque puede provocar denegación de servicio). Presentar mensajes de error que no revelen que parte de las credenciales son incorrectas.
¿Qué son los ataques por vulnerabilidades en la gestión de usuarios (Broken Authentication y Session Management)? A menudo, a la hora de implementar aplicaciones web, no suele darse importancia a la validación de las sesiones de usuario, muchas veces en los desarrollos se crean esquemas propios de autenticación o gestión de sesiones que cuentan con vulnerabilidades en las secciones de cierre de sesión, gestión de contraseñas, tiempo de desconexión, función para recordar contraseña, pregunta secreta y actualización de cuenta entre otros, que pueden poner en riesgo información sensible del usuario. Las vulnerabilidades más frecuentes en la gestión de usuarios son: • Configuración inapropiada del timeout de sesión (Inappropriate Applicaction's timeouts): La vulnerabilidad reside en que los timeouts de las aplicaciones no son configurados adecuadamente, por tanto la sesión permanece abierta hasta que el usuario se desloguearse para cerrar la sesión. • El problema radica en que normalmente los usuarios no se desloguean de los sistemas, sino que simplemente los cierran, lo cual puede provocar que si otro usuario utiliza el mismo equipo pueda acceder a esa sesión abierta. • El uso inseguro del lado del cliente de tokens de autenticación (Escalating privileges): En este caso el atacante posee una cuenta en la aplicación, tras loguearse chequea las cookies del sitio y a partir de ellas crea una nueva cookies con distinto valor, por ejemplo, cambiando el UID. Otra de las amenazas más frecuentes es la inyección de código SQL de la cual hemos hablado anteriormente. ¿Qué es un ataque basado en referencias inseguras y directas a objetos (Insecure Direct Object References? Una referencia directa a objetos ("direct object reference") ocurre cuando se expone una referencia hacia un objeto interno de la aplicación, como por ejemplo un fichero, un directorio, un registro de base de datos, o una clave. Esta vulnerabilidad puede ser utilizada para manipular este tipo de referencias en la aplicación para acceder a otros objetos sin autorización, a menos que se aplique un control de accesos como medida de prevención. Por ejemplo, en las aplicaciones, es común utilizar un numero ID de usuario (por ejemplo; inicial del nombre y el apellido) como clave primaria, si se tomara como parámetro como único parámetro para la validación dicha clave, esta podría ser modificada para acceder a información de otros usuarios). ¿Es segura la validación de la entrada mediante JavaScripts de Cliente? No. A pesar de que la validación de la entrada en el cliente impide que un atacante introduzca código malicioso directamente sobre los campos de entrada, solo esto no es suficiente para evitar ataques de Inyección de SQL. Los Scripts de cliente sólo validan la entrada en el navegador. Pero esto no es garantía de que la información será la misma cuando llegue al servidor. Existen herramientas que pueden capturar la información que viaja desde el navegador al servidor y que pueden manipular dicha información antes de ser enviada al servidor. El atacante podría además introducir comandos en las variables de URL, ya que estas no son verificadas por los Scripts de cliente.
Qué es un cortafuegos

Recomendados

Clase 03
Clase 03Clase 03
Clase 03Titiushko Jazz
 
Firewalls
FirewallsFirewalls
FirewallsEugenia Nuñez
 
Firewall
FirewallFirewall
FirewallJAV_999
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informaticaJESSIKADG86
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusosalvaro alcocer sotil
 
Firewall
FirewallFirewall
FirewallIngeSistemas Redes
 
Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion NiverNiver Daniel Navarro Garrido
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 

Recomendados

Clase 03
Clase 03Clase 03
Clase 03Titiushko Jazz
 
Firewalls
FirewallsFirewalls
FirewallsEugenia Nuñez
 
Firewall
FirewallFirewall
FirewallJAV_999
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informaticaJESSIKADG86
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusosalvaro alcocer sotil
 
Firewall
FirewallFirewall
FirewallIngeSistemas Redes
 
Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion NiverNiver Daniel Navarro Garrido
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewallleandryu5
 
Cortafuegos
CortafuegosCortafuegos
CortafuegosRaquel Carretero
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informaticaJESSIKADG86
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLisreal
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALLisreal
 
Ultimo trabajo de informatica
Ultimo trabajo de informaticaUltimo trabajo de informatica
Ultimo trabajo de informaticaysabel moreno
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001Inacap
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegosjmtorresc
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewallmaryr_
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacionUVM
 
Firewall
FirewallFirewall
FirewallMarcelo
 
Firewall
FirewallFirewall
FirewallMiguel Guamán Bravo
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
Firewall
FirewallFirewall
Firewalljohusiro
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - softwareAnaylen Lopez
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridadJenny Ventura
 
Contrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESContrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESpablo
 
Firewall
FirewallFirewall
FirewallVania Vicente
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegosastrologia
 

Más contenido relacionado

La actualidad más candente

Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewallleandryu5
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informaticaJESSIKADG86
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLisreal
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALLisreal
 
Ultimo trabajo de informatica
Ultimo trabajo de informaticaUltimo trabajo de informatica
Ultimo trabajo de informaticaysabel moreno
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001Inacap
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewallmaryr_
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacionUVM
 
Firewall
FirewallFirewall
FirewallMarcelo
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - softwareAnaylen Lopez
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridadJenny Ventura
 
Contrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESContrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESpablo
 

La actualidad más candente (19)

Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewall
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informatica
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALL
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALL
 
Ultimo trabajo de informatica
Ultimo trabajo de informaticaUltimo trabajo de informatica
Ultimo trabajo de informatica
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewall
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)
 
Firewall
FirewallFirewall
Firewall
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - software
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridad
 
Contrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESContrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLES
 

Similar a Qué es un cortafuegos

Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprlastrologia
 
Firewall Yese
Firewall YeseFirewall Yese
Firewall Yeseyesenia
 
Elementos De Proteccion Para Redes
Elementos De Proteccion Para RedesElementos De Proteccion Para Redes
Elementos De Proteccion Para Redesradsen22
 
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Tu Instituto Online
 
Firewall_Como funciona.pdf
Firewall_Como funciona.pdfFirewall_Como funciona.pdf
Firewall_Como funciona.pdfFelipeTello6
 

Similar a Qué es un cortafuegos (20)

Firewall
FirewallFirewall
Firewall
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprl
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Firewall Yese
Firewall YeseFirewall Yese
Firewall Yese
 
Firewall
FirewallFirewall
Firewall
 
Clase 03
Clase 03Clase 03
Clase 03
 
Firewalls
FirewallsFirewalls
Firewalls
 
Beneficios de un fire wall
Beneficios de un fire wallBeneficios de un fire wall
Beneficios de un fire wall
 
Firewall
FirewallFirewall
Firewall
 
Elementos De Proteccion Para Redes
Elementos De Proteccion Para RedesElementos De Proteccion Para Redes
Elementos De Proteccion Para Redes
 
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
 
Què es un firewall
Què es un firewallQuè es un firewall
Què es un firewall
 
Firewalls.pdf
Firewalls.pdfFirewalls.pdf
Firewalls.pdf
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Firewall_Como funciona.pdf
Firewall_Como funciona.pdfFirewall_Como funciona.pdf
Firewall_Como funciona.pdf
 

Más de Jose Manuel Ortega Candel

Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfAsegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfJose Manuel Ortega Candel
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfJose Manuel Ortega Candel
 
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Jose Manuel Ortega Candel
 
Evolution of security strategies in K8s environments- All day devops
Evolution of security strategies in K8s environments- All day devops Evolution of security strategies in K8s environments- All day devops
Evolution of security strategies in K8s environments- All day devops Jose Manuel Ortega Candel
 
Evolution of security strategies in K8s environments.pdf
Evolution of security strategies in K8s environments.pdfEvolution of security strategies in K8s environments.pdf
Evolution of security strategies in K8s environments.pdfJose Manuel Ortega Candel
 
Implementing Observability for Kubernetes.pdf
Implementing Observability for Kubernetes.pdfImplementing Observability for Kubernetes.pdf
Implementing Observability for Kubernetes.pdfJose Manuel Ortega Candel
 
Seguridad en arquitecturas serverless y entornos cloud
Seguridad en arquitecturas serverless y entornos cloudSeguridad en arquitecturas serverless y entornos cloud
Seguridad en arquitecturas serverless y entornos cloudJose Manuel Ortega Candel
 
Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Jose Manuel Ortega Candel
 
Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python Jose Manuel Ortega Candel
 
Sharing secret keys in Docker containers and K8s
Sharing secret keys in Docker containers and K8sSharing secret keys in Docker containers and K8s
Sharing secret keys in Docker containers and K8sJose Manuel Ortega Candel
 
Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)Jose Manuel Ortega Candel
 
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodanShodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodanJose Manuel Ortega Candel
 
ELK para analistas de seguridad y equipos Blue Team
ELK para analistas de seguridad y equipos Blue TeamELK para analistas de seguridad y equipos Blue Team
ELK para analistas de seguridad y equipos Blue TeamJose Manuel Ortega Candel
 
Monitoring and managing Containers using Open Source tools
Monitoring and managing Containers using Open Source toolsMonitoring and managing Containers using Open Source tools
Monitoring and managing Containers using Open Source toolsJose Manuel Ortega Candel
 
Python memory managment. Deeping in Garbage collector
Python memory managment. Deeping in Garbage collectorPython memory managment. Deeping in Garbage collector
Python memory managment. Deeping in Garbage collectorJose Manuel Ortega Candel
 

Más de Jose Manuel Ortega Candel (20)

Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfAsegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdf
 
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
 
Evolution of security strategies in K8s environments- All day devops
Evolution of security strategies in K8s environments- All day devops Evolution of security strategies in K8s environments- All day devops
Evolution of security strategies in K8s environments- All day devops
 
Evolution of security strategies in K8s environments.pdf
Evolution of security strategies in K8s environments.pdfEvolution of security strategies in K8s environments.pdf
Evolution of security strategies in K8s environments.pdf
 
Implementing Observability for Kubernetes.pdf
Implementing Observability for Kubernetes.pdfImplementing Observability for Kubernetes.pdf
Implementing Observability for Kubernetes.pdf
 
Computación distribuida usando Python
Computación distribuida usando PythonComputación distribuida usando Python
Computación distribuida usando Python
 
Seguridad en arquitecturas serverless y entornos cloud
Seguridad en arquitecturas serverless y entornos cloudSeguridad en arquitecturas serverless y entornos cloud
Seguridad en arquitecturas serverless y entornos cloud
 
Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud
 
Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python
 
Sharing secret keys in Docker containers and K8s
Sharing secret keys in Docker containers and K8sSharing secret keys in Docker containers and K8s
Sharing secret keys in Docker containers and K8s
 
Implementing cert-manager in K8s
Implementing cert-manager in K8sImplementing cert-manager in K8s
Implementing cert-manager in K8s
 
Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)
 
Python para equipos de ciberseguridad
Python para equipos de ciberseguridad Python para equipos de ciberseguridad
Python para equipos de ciberseguridad
 
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodanShodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
 
ELK para analistas de seguridad y equipos Blue Team
ELK para analistas de seguridad y equipos Blue TeamELK para analistas de seguridad y equipos Blue Team
ELK para analistas de seguridad y equipos Blue Team
 
Monitoring and managing Containers using Open Source tools
Monitoring and managing Containers using Open Source toolsMonitoring and managing Containers using Open Source tools
Monitoring and managing Containers using Open Source tools
 
Python Memory Management 101(Europython)
Python Memory Management 101(Europython)Python Memory Management 101(Europython)
Python Memory Management 101(Europython)
 
SecDevOps containers
SecDevOps containersSecDevOps containers
SecDevOps containers
 
Python memory managment. Deeping in Garbage collector
Python memory managment. Deeping in Garbage collectorPython memory managment. Deeping in Garbage collector
Python memory managment. Deeping in Garbage collector
 

Último

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 

Último (19)

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 

Qué es un cortafuegos

  • 1. ¿Qué es un Firewall? Un firewall o cortafuegos es un sistema físico, lógico o una combinación de ambos, diseñado para bloquear los accesos no autorizados y permitir los autorizados basándose en un conjunto de reglas o normas definidas. Tipos de cortafuegos: • Firewalls de filtrado de paquetes o a nivel de red: Estos firewall se encargan de examinar las direcciones para determinar, basándose en su cabecera, si se le permite pasar/salir hacia/desde la red local o no. Por ejemplo, con este sistema se pueden bloquear todos los paquetes que provengan de un sitio, de un usuario o de una IP concreta. • Firewalls a nivel de aplicación: Estos firewall trabajan a nivel aplicación controlando el tráfico entre dos redes. Por ejemplo con este sistema se pueden hacer filtros por URL, por tráfico etc. La recomendación RFC 2979 de la IETF http://www.ietf.org/rfc/rfc2979.txt define las características de comportamiento y requerimientos de interoperabilidad para los cortafuegos de Internet. ¿Qué es un IDS? Un sistema de detección de intrusos (IDS Intrusion Detection System) es un sistema usado para detectar accesos no autorizados a un equipo o red. Estos sistemas a través de sensores virtuales (sniffers) realizan análisis del tráfico de red comparándolas con firmas de ataques conocidos o comportamientos sospechosos (escaneo de puertos, paquetes malformados, etc). ¿Qué es un IPS? Un Sistema de Prevención de Intrusos (IPS) al igual que un IDS, es un sistema usado para detectar accesos no autorizados a un equipo o red, con la diferencia de que el IPS no solo detecta, si no que es capaz de establecer políticas de seguridad para proteger el equipo o la red del ataque ¿Qué es una honey? Una honey es un dispositivo utilizado como señuelo, lo que permite estudiar los métodos utilizados por los atacantes e implementar políticas de seguridad acordes en los verdaderos sistemas. ¿Qué es una DMZ ( Zona desmilitarizada)? Una DMZ es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de la DMZ es permitir que los equipos que estén situados en la misma, puedan dar servicios a la red externa a la vez que protegen la red Interna, esto se debe a que las DMZ permiten las conexiones entrantes desde la red interna y la externa, pero no permiten las conexiones salientes desde la DMZ a la red interna. De esta forma, si un atacante consigue comprometer la seguridad de un equipo de la DMZ no puede acceder a la red interna.
  • 2. ¿Qué es una VPN ( Red Privada Virtual)? Una red privada virtual es una tecnología de red que permite una extensión segura de la red local sobre una red pública o no controlada como Internet. Es decir una VPN permite que maquina envié y reciba datos por una red pública o compartida, normalmente internet, como si estuviera en una red privada (red Local), con todas las funcionalidades y seguridad de la red Local. Existen diferentes tipos de VPN, las más comunes son: • VPN de acceso remoto, que son las VPN que permiten al usuario conectarse a la red de la compañía desde el exterior (casa, hoteles, etc.) utilizando Internet. Una vez logeado en el sistema el usuario trabaja como si estuviera en la compañía. • VPN punto a punto, normalmente utilizadas para la interconexión de dos sedes a través de internet, permitiendo a los usuarios trabajar como si estuvieran todos en la misma red. • VPN sobre LAN, estas VPN se montan sobre la propia LAN, normalmente son utilizadas para aislar zonas especificas dentro de una red interna, por ejemplo para redes que necesitan unas seguridad adicional(cifrado, mayores niveles de autentificación etc). DoS (Ataques de Denegación de Servicio) Un ataque de denegación de servicio consiste en colapsar totalmente un servidor y hacer imposible (o muy lenta ) la navegación a través de él. Existen dos variantes del ataque, la primera de ella, se basa en el envío de miles de peticiones desde una única IP al servidor hasta que lo satura: Este ataque es fácil de parar, basta con bloquear la IP atacante. La segunda variante, llamado comúnmente ataque distribuido, se basa en el envío de miles de peticiones desde distintas IP´S , de tal manera que el servidor no da abasto para bloquear todas las IP's, y el servidor termina por saturarse. A parte de estas dos variantes, los ataques se pueden clasificar en tres tipos: • Los ataques enfocados a inundación de conexiones, que como su nombre indica se basa en inundar el servidor a peticiones. • Los ataques por Inundación de ancho de banda que se basan en saturar el ancho de banda de tal manera que no se permite el envío y recepción de paquetes legítimos. Los ataques de vulnerabilidad, que son aquellos que se centran en alguna vulnerabilidad del servidor para explotarla y provocar un fallo en la maquina. ¿Qué son los Ataques de escaneo de red? Los ataques de escaneo se dedican recopilar que puertos que se encuentran abiertos (escuchando) en la red, para posteriormente acceder a los recursos a través de ellos. Dentro de los ataques de escaneo de red podemos encontrar diferentes tipos como: • Ataques de escaneo TCP: El protocolo TCP/IP utiliza puertos virtuales para realizar el envío y recepción de los datos por la red, estos puertos se encuentran en escucha permanente por determinados puertos, para recibir los datos que se van a transmitir de un equipo a otro. Esta comunicación se basa en unos dígitos de control específicos que son los que marcan el establecimiento, mantenimiento y fin de las conexiones. El ataque se basa en utilizar esos dígitos de control para ver que puertos están escuchando.
  • 3. • Ataque Snnifing: Este tipo de ataques se basa en recopilar y almacena toda la información que circula por la red. ¿Qué es la Securización de equipos (Bastionado de equipos)? El bastionado o securización de equipos, es el conjunto de tareas aplicadas a un equipo destinadas a fortalecer la seguridad que lleva por defecto el equipo. Dependiendo del equipo a bastionar deben realizarse unas tareas u otras, sin embargo existen unas tareas básicas que deberían realizarse en todos los equipos: • Actualización constante del sistema operativo y aplicaciones: El sistema operativo, así como las aplicaciones instaladas, deben estar siempre actualizadas a la última versión de parches de seguridad. La mayoría de malware actual se basa en vulnerabilidades conocidas de un servicio o aplicación para el sistema. • Configuración de la seguridad de las aplicaciones instaladas y eliminar aquellas que no sean necesarias, de nada sirve un servidor altamente securizado si la configuración de las aplicaciones instaladas tienen vulnerabilidades. • Configuración de los permisos de los ficheros, es necesario comprobar los permisos de ciertos ficheros o directorios, para evitar que usuarios no autorizados puedan leerlos o modificarlos. Debe tenerse especial cuidado con las unidades compartidas para propósitos administrativos. • Restringir el acceso a cuentas privilegiadas, es aconsejable deshabilitar las cuentas por defecto del sistema como root, administrador, invitado etc. • Configurar las cuentas de usuario, es aconsejables es reducir al mínimo el uso de usuarios locales del sistema. Los privilegios de los que dispone un usuario en el sistema se deben limitar de manera estricta, teniendo en mente la filosofía de otorgar el menor privilegio. • Monitorizar el acceso a cuentas privilegiadas, es aconsejable no solo restringir el acceso a cuentas privilegias, sino crear un log donde se registren los accesos y acciones realizadas con esas cuentas. • Eliminar servicios innecesarios, es necesario comprobar que servicios se encuentran activos en el sistema y eliminar aquellos que no sea imprescindibles. • Habilitar protecciones en el arranque, es aconsejable establecer contraseñas en la Bios al fin de evitar arranques no permitidos del sistema. También es recomendable configurar el control de sesiones, de tal manera que se active el protector de pantalla que bloque el terminal con contraseña al cabo de un tiempo de inactividad. • Establecer las directivas de seguridad oportunas, si el sistema pertenece al dominio de Indra tomará las directrices de seguridad del dominio, en caso contrario es necesario configurar las directivas de seguridad, en especial aquellas relacionadas con la política de contraseñas y cuentas (longitud de contraseñas, requisitos de complejidad, caducidad de cuentas y contraseñas, cambios periódicos de contraseñas etc.). • Establecer los mecanismo necesarios para la protección del sistema ante el malware, activación de firewall del esquipo, instalación y configuración de antivirus etc. • Configurar la sincronización de tiempo, debe configurarse la sincronización de tiempo del sistema, en el caso de que este pertenezca al dominio de Indra utilizara el servicio de hora interno, en caso contrario deberá tomar como referencia de tiempo un servidor de tiempo valido y aceptado. • Habilitar los servicios de auditoría del sistema, deben habilitarse los registros de auditoría del sistema, debe estudiarse que registros proporcionan información relevante y cuáles no ya que un exceso de registros puede impactar negativamente en el rendimiento del
  • 4. sistema. • Configurar tareas básicas como: monitorización del sistema, backups, etc. Obviamente, estas son unas indicaciones generales de securización de un sistema, cada responsable deberá valorar qué medidas serán adecuadas y cuáles serán excesivas de implantar por no ser necesario o por no merecer la pena la implantación por el coste en recursos que ello supondría. ¿Qué es la Lista CVE? La Lista CVE, de su nombre en ingles ,Common Vulnerabilities and Exposures, es una lista de las vulnerabilidades conocidas de seguridad, donde cada referencia tiene un número de identificación único. Con ello se persigue una nomenclatura común para el conocimiento público de este tipo de problemas y así facilitar la compartición de datos sobre dichas vulnerabilidades. La idea de este listado fue promovida por The MITRE Corporation con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de América. Forma parte del llamado Security Content Automation Protocol. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades. El Proceso de incorporación de una vulnerabilidad es dicho listado pasa por tres fases: • Etapa de presentación inicial • Etapa de candidatura • Etapa de ingreso en la lista (si es que la candidatura es aceptada) ¿Como puedo saber cuales son las vulnerabilidades de mi sistema? A través del National Vulnerability Database, podemos acceder al National Checklist Program (NCP), un repositorio publico del gobierno de los EE.UU. Este repositorio proporciona unas guías de configuración de seguridad para los sistemas operativos y las aplicaciones.
  • 5. ¿Qué es un SIEM? Un SIEM es un sistema de Gestión de la Seguridad de la Información y Gestión de Eventos, es decir, una combinación de SEM (Gestión de Eventos) y SIM (Gestión de la Seguridad de la Información). Por un lado, el SEM, proporciona monitorización en tiempo real, correlación de eventos, notificaciones y vistas de la consola que comúnmente se conoce como Gestión de Eventos de Seguridad. Y por el otro, el SIM, ofrece alm acenamiento a largo plazo, el análisis y la comuni cación de los datos de registro, y se conoce como Gestión de Seguridad de la Información. Por tanto un SIEM debe proporcionar: • Administración de logs: Debe ser capaz de agrupar en un unico sistema de logs desde muchas fuentes, incluyendo redes, seguridad, servidores, bases de datos, aplicaciones, proporcionando la capacidad de consolidar los datos recopilados, para ayudar a evitar la pérdida de los acontecimientos cruciales. • Correlación de datos: Debe ser capaz de buscar atributos comunes, y relacionar eventos. • Alertas: Debe realizar el análisis automatizado de eventos correlacionados y producir alertas, para notificar a los destinatarios de los problemas inmediatamente. • Tablas informativas: Debe recopilar los datos y convertirlos en tablas informativas para ayudar a ver patrones que permitan identificar una actividad que no está siguiendo un patrón estándar. ¿Qué es el Ransomware? El Ransomware es un software malicioso que al infectar el equipo le da al ciberdelincuente la capacidad de cifrar los archivos quitando al usuario el control de toda la información y datos almacenados, solicitando posteriormente el pago de un rescate a las víctimas para recuperar la información
  • 6. ¿Cómo funciona? Existen diversas maneras de infectarse, por ejemplo visitando una página web comprometida, o través de un correo malicioso o de otro malware. En ocasiones, para incrementar la posibilidad de que el usuario descargue el Ransomware suplantan la identidad de un organismo o empresa conocido, por ejemplo compañías de correos, eléctricas, gas etc. Una vez el Ransomware llega al equipo se conecta a internet para descargar una clave que cifra archivos importantes para el usuario, como .doc, .xls, .pdf, etc. de tal manera que el usuario no puede acceder a ellos. Una vez ha terminado, muestra un mensaje al usuario informándole del secuestro de sus datos y dándole instrucciones sobre cómo debe efectuar el pago si quiere recuperar dichos archivos. ¿Qué puedes hacer para protegerte? • Haz copias de seguridad regularmente de tus archivos importantes. • No abras correos de remitentes desconocidos, con asuntos o adjuntos sospechosos. Ten especial cuidado con los archivos con extensiones .exe, .vbs, .scr. • Piensa dos veces antes de hacer clic en un enlace. No abras correos bloqueados por el correo corporativo fuera de Red Indra: El adjunto o el enlace puede estar infectado. • Actualiza y parchea regularmente tu sistema operativo, antivirus, navegadores, reproductor de Flash, Java, etc. • Desactiva el uso compartido de archivos. • Mejora la seguridad de los componentes de Microsoft Office, deshabilita macros, ActiveX y bloquea el contenido externo, etc. • Bloquea las ventanas emergentes de tu navegador, ya que también pueden suponer un punto de entrada para los ataques. • Usa contraseñas seguras. • Desactiva la reproducción automática de medios externos, tales como USB, DVD, etc. • Apague las conexiones inalámbricas cuando no las uses, Bluetooth, infrarrojos, Wifi, etc. • Habilita la función de mostrar extensiones de archivo, de esta manera podrás descubrir los archivos ejecutables camuflados como documentos de texto, imágenes etc. Puedes consultar como realizar estos cambios de configuración en la categoría Guías de Seguridad/Configuración.
  • 7. ¿Qué puedes hacer para protegerte? • Haz copias de seguridad regularmente de tus archivos importantes. • No abras correos de remitentes desconocidos, con asuntos o adjuntos sospechosos. Ten especial cuidado con los archivos con extensiones .exe, .vbs, .scr. • Piensa dos veces antes de hacer clic en un enlace. No abras correos bloqueados por el correo corporativo fuera de Red Indra: El adjunto o el enlace puede estar infectado. • Actualiza y parchea regularmente tu sistema operativo, antivirus, navegadores, reproductor de Flash, Java, etc. • Desactiva el uso compartido de archivos. • Mejora la seguridad de los componentes de Microsoft Office, deshabilita macros, ActiveX y bloquea el contenido externo, etc. • Bloquea las ventanas emergentes de tu navegador, ya que también pueden suponer un punto de entrada para los ataques. • Usa contraseñas seguras. • Desactiva la reproducción automática de medios externos, tales como USB, DVD, etc. • Apague las conexiones inalámbricas cuando no las uses, Bluetooth, infrarrojos, Wifi, etc. • Habilita la función de mostrar extensiones de archivo, de esta manera podrás descubrir los archivos ejecutables camuflados como documentos de texto, imágenes etc. Puedes consultar como realizar estos cambios de configuración en la categoría Guías de Seguridad/Configuración. Buenas prácticas de seguridad para dispositivos móviles Adicionalmente a los requisitos de seguridad recogidos en la normativa de Indra, deben tenerse en consideración las siguientes buenas prácticas: • Implementa una solución de seguridad integral, la cual debe permitirte detectar proactivamente los códigos maliciosos, filtrar mensajes no solicitados, revisar la correcta configuración del teléfono y ofrecer la posibilidad de borrar remotamente toda la información almacenada en caso de robo o extravío del dispositivo. • Solo instala aplicaciones provenientes de repositorios o tiendas oficiales. Utiliza software legítimo proveniente de fuentes y repositorios oficiales ayuda a minimizar la posibilidad de convertirse en una víctima de códigos maliciosos. • Actualizar el sistema operativo y las aplicaciones del Smartphone: Al igual que con los ordenadores, actualizar tanto el sistema operativo como los programas es fundamental para obtener mejoras de seguridad y nuevas funcionalidades. • Establece una contraseña de bloqueo: Si es posible que ésta posea más de cuatro caracteres. • Desactiva las opciones no utilizadas como Bluetooth o GPS: De este modo, se evita la propagación de códigos maliciosos y el gasto innecesario de la batería. • Evita utilizar redes inalámbricas públicas: De ser imprescindible, al momento de conectarse a una red inalámbrica púbica, se recomienda no utilizar servicios que requieran de información sensible como transacciones bancarias, compras, etc. Preferentemente se deben utilizar redes 3G. • Respalda la información almacenada: Es recomendable realizar periódicamente copias de seguridad de la información almacenada en el dispositivo. También debes evitar escribir información sensible como contraseñas en forma de recordatorios o mensajes de texto. • Configura adecuadamente tus redes sociales: No compartas información de forma pública y
  • 8. limita la cantidad de amigos. • No le des a hipervínculos sospechosos de correos, mensajes o sitios web. Ni tampoco escanees cualquier código QR. • Se cuidadoso con el dispositivo para evitar su robo o pérdida. A continuación se muestran una serie de guías de seguridad para dispositivos móviles. Recuerda si tienes alguna duda ponte en contacto con la Dirección de Seguridad de la Información. • Guía de Seguridad en dispositivos móviles • Seguridad de dispositivos móviles: iPhone (iOS 7.x) • Seguridad en Windows Mobile 6.5 • Seguridad de dispositivos móviles: ANDROID 4.x Habilitar la opción para poder ver las extensiones verdaderas de los archivos en Windows 1. Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta. 2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes: 3. Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar. 4. Para ocultar las extensiones de nombre de archivo, active la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
  • 9. Desactivar el uso compartido de archivos e impresoras. Active esta opción para redes domésticas o cuando conozca y confíe en los usuarios y dispositivos de la red. Esta configuración permite que el equipo se conecte a dispositivos de la red, como impresoras. Desactívela para redes en lugares públicos (como cafeterías o aeropuertos), o si no conoce o no confía en los usuarios y dispositivos de la red. Esta configuración no está disponible para redes de dominios 1. Para abrir Centro de redes y de recursos compartidos, haga clic en el botón Inicio, en Panel de control, en Red e Internet y, finalmente, en Centro de re des y de recursos compartidos. 2. En el panel derecho haga clic sobre CAmbiar configuración de uso compartido avanzado. 3. En la neuva ventana marque las opciones de "desactivar la detección de redes" y "desactivar el uso compartido de archivos e impresoras". 4. A continuación, haga clic en Guardar cambios Deshabilitar macros, ActiveX y bloqueo de contenido externo en Microsoft Office 1. Haga clic en el botón Microsoft Office Office y, después, haga clic en Opciones de Word. 2. Haga clic en Centro de confianza y, a continuación, en Configuración del Centro de confianza. 3. Haga clic en el área de seguridad que desee. • Configuración de macros.Deshabilitar todas las macros con notificación. • Configuración de Active X .Preguntar antes de habilitar. Desactivar la reproducción automática 1. Para abrir Reproducción automática, haga clic en el botón Inicio y, a continuación, haga clic en Panel de control. En el cuadro de búsqueda, escriba reproducción automática y, a continuación, en la lista de resultados, haga clic en Reproducción automática. 2. Para desactivar la Reproducción automática, desactive la casilla Usar la reproducción automática para todos los medios y dispositivos. 3. Haga clic en Guardar.
  • 10. Comprobación de la dirección del remitente. Uno de los puntos débiles del correo electrónico es precisamente la comprobación de la autenticidad de remitente. Para ello lo primero que debemos hacer es comprobar de donde viene el correo, para ellos vamos a mirar las cabeceras del correo electrónico para comprobar dónde se originó el mensaje. Una cabecera típica de correo electrónico muestra varias líneas que empiezan con "Recibido". Fíjate en la última línea de "Recibido"; esta tendrá un aspecto similar al siguiente: Received from genericwebsite.org (123.456.789.101) Si la información "Recibido de" no coincide con la dirección de correo del remitente o la empresa que se representa en el correo, normalmente significa que el mensaje no procede realmente de esa persona o empresa. Como ver la cabecera en Microsoft Outlook Para ello abrimos el mensaje. En la pestaña Mensaje, vamos al grupo Etiquetas y hacemos clic para que se muestren todas las opciones. Se nos abrirá la ventana Propiedades donde podremos ver "Encabezados de Internet". Como ver la cabecera en Mozilla Thunderbird Seleccionamos el mensaje y le damos a menú Ver/Formato Original del mensaje. Como ver la cabecera en Mozilla Google Mail Abrimos el mensaje y nos vamos al desplegable que hay junto al botón Responder y le damos a Mostrar Original. Comprobación legitimidad de un sitio web Para verificar la legitimidad de una página web, puedes comprobar su certificado digital. Para que este proceso sea más intuitivo las últimas versiones de los navegadores interpretan los certificados mediante códigos de colores, de manera que por el simple color de la barra de navegación se pueda comprobar la legitimidad de la página. Al acceder a la página web, si la barra de direcciones del navegador es de color verde, puedes estar seguro de que la página web es de la entidad que dice ser. Pero ten en cuenta que, dependiendo del navegador que utilices, lo verás de una forma u otra. Echa un vistazo a las siguientes imágenes:
  • 11. Si la página sigue manteniendo "HTTPS", pero la barra de direcciones no se pone de color verde, deberás tener alguna consideración más. Para ello debemos comprobar el contenido del certificado clicando sobre el icono del candado para que te aparezca una ventana emergente con información sobre quién confirmó el certificado. Haz clic en Más información, en esa ventana, haz clic en Seguridad y luego en "Ver certificado". Los certificados de sitio web seguro contienen la siguiente información: • Número de Serie: Identifica únicamente el certificado. • Asunto: Identifica tanto al propietario del certificado como al nombre de la organización propietaria del mismo. • Emisor: Identifica la entidad que emitió el certificado. Verifica que el emisor sea un sitio de confianza, ten cuidado con los certificados gratuitos, se están detectado usos fraudulentos de los mismos. (http://blog.trendmicro.com/trendlabs-security- intelligence/lets-encrypt-now-being-abused-by-malvertisers/)
  • 12. ¿Qué es un ataque Cross-Site Scripting (Xss)? Un ataque de XSS se basa en aprovechar la falta de mecanismos de filtrado y validación de los campos de entrada, permitiendo de esta manera el envío de scripts completos con secuencias de comandos maliciosos con el fin de obtener una salida "no habitual" del sistema. La finalidad de este tipo de ataque es múltiple, desde el robo de información, la propagación de amenazas, o la obtención de las cookies de acceso, hasta la realización de un ataque de phishing. El desarrollo de estas amenazas se encuentra normalmente en lenguajes como JavaScript, HTML, VBScript, ActiveX o Flash. A grandes rasgos se identifican dos categorías: XSS No persistente Este tipo de ataques no se ejecutan en la propia aplicación o sitio web, sino que es una inyección de código que se inicia en el momento en el que el usuario accede. Esta limitación se debe a que el código HTML se interpreta en el navegador del usuario y no en el servidor del sitio web o la aplicación. Existen dos tipos básicos: • Las inyecciones de código que capturan la sesión del usuario para enviársela al atacante y que este pueda ejecutar acciones haciéndose pasar por el usuario. • Las inyecciones de código que hacen creer al usuario que se encuentra en una página legítima, de tal manera que cuando el usuario mete sus claves de acceso, estas son enviadas al atacante. XSS Persistente A diferencia de los ataques no persistentes, esta modalidad si inserta el código en el sitio web o aplicación, lo que hace que no solo afecta a un usuario, sino a todos los usuarios que accedan. Estos tipos de ataques se encuentran principalmente en sitios web que permiten alguna clase de entrada de datos como por ejemplo blogs y formularios, etc. Los ataques de XSS persistentes permiten tomar el control del navegador, capturar información de las aplicaciones y hasta incluso la ejecución de exploits basados en el navegador. Además de las recomendaciones específicas de cada lenguaje para prevenir XSS en una aplicación es importante tener en cuenta los siguientes factores: • Validación de entrada. Es necesario utilizar un mecanismo estándar de validación de entrada para validar toda la información entrante contra longitud, tipo, sintaxis, y reglas de negocio antes de permitir que la información sea visualizada o almacenada. De igual forma se debe utilizar una estrategia de validación de "aceptar solo lo bueno". Se debe rechazar la información inválida en lugar de rehabilitar posible información hostil y no olvidar que los mensajes de errores pueden también contener información inválida. • Codificación fuerte de salida. Se debe asegurar que toda la información suministrada por el usuario sea apropiadamente codificada (sea HTML o XML dependiendo en el mecanismo de salida) antes de devolver la página, mediante la codificación de todos los caracteres a excepción de un pequeño subgrupo. • Especificación de la codificación de salida. (tales como ISO 8859-1 o UTF 8). No permitir que el atacante elija esto en nombre de los usuarios. • No utilizar la validación de lista negra "blacklist" para detectar XSS en la entrada o para
  • 13. validar la salida. Buscar y reemplazar solo algunos caracteres ("<" ">" y otros caracteres similares o frases tales como "script") es una técnica débil y ha sido atacada satisfactoriamente con anterioridad. Incluso una etiqueta "<b>" sin verificar es inseguro en algunos contextos. XSS tiene un sorprendente número de variantes que hacen sencillo evitar la validación de listas negras. • Cuidado con los errores de forma. Los valores de entrada deben ser decodificados y "acondicionados" a la representación interna de la aplicación, antes de ser validados. Debe asegurarse que la aplicación no decodifique la misma entrada dos veces. Tales errores pueden ser usados para evadir los esquemas de listas blancas "whitelists" introduciendo entradas peligrosas, una vez han sido controladas ¿Qué es el cifrado MD5 (Message-Digest Algorithm 5)? Es un algoritmo de reducción criptográfico de 128 bits, cuya codificación es representada como un número de 32 dígitos hexadecimal. https://www.owasp.org/index.php/Glossary#MD5 ¿Cómo funciona la técnica MD5 con sal (salted-MD5)? Esta técnica funciona de la siguiente forma: la base de datos almacena el hash MD5 de la contraseña cuando el cliente hace una petición de la página de entrada, el servidor genera un número aleatorio, la sal, y lo envía al cliente junto con la página. Un código JavaScript de cliente se encarga de aplicar la función hash MD5 a la contraseña proporcionada por el usuario. El mismo código concatena la sal al resultado anterior y vuelve a aplicar MD5 al conjunto. El resultado se envía al servidor. El servidor toma el hash de la contraseña de la base de datos, le concatena la sal y le aplica de nuevo la función hash MD5. Si el usuario ha introducido correctamente la contraseña, los dos resultados deberían coincidir y, en tal caso, el usuario será autenticado. ¿Qué es la inyección SQL? La Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad en el nivel de validación de las entradas en una aplicación, para realizar consultas a una base de datos. Se dice que se produce un ataque de inyección SQL cuando de alguna manera, se inserta o "inyecta" código SQL dentro del código SQL de la aplicación, con el fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código incrustado, en la base de datos. La vulnerabilidad se produce cuando un programa "ejecuta" una sentencia SQL, normalmente en la que se pide al usuario parámetros a ingresar a efectos de consultar la base de datos, aprovechando esta petición, se inyecta dentro de los parámetros el código SQL intruso. Al ejecutarse la consulta en la base de datos, el código SQL intruso inyectado también se ejecutará, a través de esta ejecución se pueden realzar un sinfín de acciones; como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de código malicioso. La inyección SQL es fácil de evitar, por parte del desarrollador, en la mayoría de los lenguajes de programación que permiten desarrollar aplicaciones web, a través de las pertinentes validaciones de los datos de entrada. El método más efectivo para proteger una aplicación de la inyección de SQL es que se valide toda la información que provenga del cliente antes de ejecutar las sentencias SQL. Otro método seria la
  • 14. prevención del uso de SQL dinámicas, mediante el uso de procedimientos almacenados y parámetros. ¿Qué es SSL Secure Socket Layer (Capa de conexión segura)? Es un protocolo criptográfico (un conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente y un servidor. Como funciona SSL: Cuando el cliente pide una página SSL, el servidor envía un certificado que es obtenido de una autoridad certificadora confiable. El certificado contiene la llave pública del servidor. Después de asegurarse que el certificado es correcto y que el servidor es genuino, el cliente genera un número aleatorio, la llave de sesión. La llave es encriptada con la llave pública del servidor y enviada. El servidor desencripta el mensaje con su llave privada. Ahora ambos lados tienen una llave de sesión conocida solamente por ellos dos. Toda comunicación desde y hacia ellos es encriptada y desencriptada con la llave de sesión. A pesar de que SSL proporciona un buen nivel de seguridad, no es suficiente. SSL proporciona seguridad en dos aspectos, por un lado cuando el cliente se conecta al servidor, puede estar seguro que esta comunicándose con el servidor correcto verificando el certificado que el servidor envía y por otro lado, SSL asegura la confidencialidad de los datos, dado que el cliente y el servidor intercambian mensajes encriptados que no pueden ser entendidos por nadie más. Existen herramientas que pueden modificar la información incluso cuando el sitio está corriendo sobre SSL. Supongamos que tenemos una herramienta qie tiene un certificado falso (con su llave publica y su llave privada). Cuando el cliente realizar una petición con SSL, la herramienta envía dicha petición tal cual al servidor, entonces el servidor envía como respuesta su certificado con su llave pública. La herramienta lo intercepta y genera una llave de sesión y la manda al servidor cifrada con la llave pública del servidor. De esta forma consigue establecer una conexión SSL con el servidor. A su vez, envía a la parte cliente su propio certificado y llave pública, el navegador cliente muestra un mensaje diciendo que el certificado no es de confianza y pregunta al usuario si quiere aceptarlo, (en este caso como la herramienta ha tomado el control del navegador acepta el certificado). El cliente genera una llave de sesión, la cifra con la llave pública de la herramienta y la envía. De esta forma ahora la herramienta ha establecido dos conexiones SSL – una con el servidor y otra con el cliente. De esta forma se descifra la información que proviene del servidor y se la muestra en texto plano al atacante y luego la cifra de nuevo con la llave del cliente y la envía. Para el tráfico en la otra dirección utiliza el mismo método.
  • 15. ¿Qué son los registros W3C? W3C es un formato de registro usado en los archivos de registro de los servidores Web. Estos registros guardan los detalles de acceso de cada petición: la fecha y hora, IP de origen, página solicitada, el método usado, versión del protocolo HTTP, tipo de navegador, la página de origen (referrer), el código de respuesta, etc. Nótese de que se trata de registros de acceso, por lo que existirá un registro para cada petición. Cuando se descarga un página con varios ficheros gif, se guardará una entrada por cada uno de ellos; por tanto, estos registros suelen ser voluminosos. ¿Qué es un ataque por fuerza bruta? Se denomina ataque de fuerza bruta al procedimiento de obtención de una clave, probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Normalmente a través de uso de diccionarios. Entre los métodos más sencillo de evitar ataques que un ataque por fuerza bruta nos afecte, son: • Evitar que el esquema de códigos de usuarios no sea predecible ni de información pública. • La función de cambio de contraseña debe incluir la contraseña antigua y una confirmación de la nueva. • Implementar que las cuentas de usuario sean bloqueadas si la contraseña se ingresa más de un determinado nº de veces (aunque puede provocar denegación de servicio). Presentar mensajes de error que no revelen que parte de las credenciales son incorrectas.
  • 16. ¿Qué son los ataques por vulnerabilidades en la gestión de usuarios (Broken Authentication y Session Management)? A menudo, a la hora de implementar aplicaciones web, no suele darse importancia a la validación de las sesiones de usuario, muchas veces en los desarrollos se crean esquemas propios de autenticación o gestión de sesiones que cuentan con vulnerabilidades en las secciones de cierre de sesión, gestión de contraseñas, tiempo de desconexión, función para recordar contraseña, pregunta secreta y actualización de cuenta entre otros, que pueden poner en riesgo información sensible del usuario. Las vulnerabilidades más frecuentes en la gestión de usuarios son: • Configuración inapropiada del timeout de sesión (Inappropriate Applicaction's timeouts): La vulnerabilidad reside en que los timeouts de las aplicaciones no son configurados adecuadamente, por tanto la sesión permanece abierta hasta que el usuario se desloguearse para cerrar la sesión. • El problema radica en que normalmente los usuarios no se desloguean de los sistemas, sino que simplemente los cierran, lo cual puede provocar que si otro usuario utiliza el mismo equipo pueda acceder a esa sesión abierta. • El uso inseguro del lado del cliente de tokens de autenticación (Escalating privileges): En este caso el atacante posee una cuenta en la aplicación, tras loguearse chequea las cookies del sitio y a partir de ellas crea una nueva cookies con distinto valor, por ejemplo, cambiando el UID. Otra de las amenazas más frecuentes es la inyección de código SQL de la cual hemos hablado anteriormente. ¿Qué es un ataque basado en referencias inseguras y directas a objetos (Insecure Direct Object References? Una referencia directa a objetos ("direct object reference") ocurre cuando se expone una referencia hacia un objeto interno de la aplicación, como por ejemplo un fichero, un directorio, un registro de base de datos, o una clave. Esta vulnerabilidad puede ser utilizada para manipular este tipo de referencias en la aplicación para acceder a otros objetos sin autorización, a menos que se aplique un control de accesos como medida de prevención. Por ejemplo, en las aplicaciones, es común utilizar un numero ID de usuario (por ejemplo; inicial del nombre y el apellido) como clave primaria, si se tomara como parámetro como único parámetro para la validación dicha clave, esta podría ser modificada para acceder a información de otros usuarios). ¿Es segura la validación de la entrada mediante JavaScripts de Cliente? No. A pesar de que la validación de la entrada en el cliente impide que un atacante introduzca código malicioso directamente sobre los campos de entrada, solo esto no es suficiente para evitar ataques de Inyección de SQL. Los Scripts de cliente sólo validan la entrada en el navegador. Pero esto no es garantía de que la información será la misma cuando llegue al servidor. Existen herramientas que pueden capturar la información que viaja desde el navegador al servidor y que pueden manipular dicha información antes de ser enviada al servidor. El atacante podría además introducir comandos en las variables de URL, ya que estas no son verificadas por los Scripts de cliente.