SlideShare una empresa de Scribd logo

Lab1.4.5

UNAD
UNAD

Lab1.4.5

1 de 4
Descargar para leer sin conexión
Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad más importantes Objetivos de aprendizaje Al completar esta actividad, usted podrá:     Usar el sitio SANS para identificar rápidamente las amenazas de seguridad de Internet.   Explicar cómo se organizan las amenazas.   Enumerar varias vulnerabilidades de seguridad recientes.   Usar los vínculos de SANS para acceder a información adicional relacionada con la seguridad.  Información básica Uno de los sitios más conocidos y confiables relacionados con la defensa contra las amenazas de seguridad de computadoras y de redes es SANS. SANS proviene de SysAdmin, Audit, Network, Security (Administración del sistema, Auditoría, Red, Seguridad). SANS está formado por varios componentes, cada uno de los cuales contribuye en gran medida con la seguridad de la información. Para obtener información adicional sobre el sitio SANS, consulte http://www.sans.org/ y seleccione los temas en el menú Recursos. ¿Cómo puede un administrador de seguridad corporativa identificar rápidamente las amenazas de seguridad? SANS y el FBI han recopilado una lista de los 20 principales objetivos de ataques de seguridad en Internet en http://www.sans.org/top20/. Esta lista se actualiza periódicamente con información formateada por:      Sistemas operativos: Windows, Unix/Linux, MAC    Aplicaciones: interplataforma, incluyendo la Web, base de datos, punto a punto, mensajería instantánea, reproductores de medios, servidores DNS, software para copias de seguridad y servidores de administración  Dispositivos de red: dispositivos de infraestructura de red (routers, switches, etc.), dispositivos VoIP   Elementos humanos: políticas de seguridad, conducta humana, temas personales.   Sección especial: temas de seguridad no relacionados con ninguna de las categorías anteriores.  Escenario Esta práctica de laboratorio presentará a los estudiantes las vulnerabilidades en los asuntos de seguridad informática. Se usará el sitio Web de SANS como una herramienta para la identificación, comprensión y defensa de las amenazas de vulnerabilidad. Esta práctica de laboratorio debe completarse fuera del laboratorio de Cisco, desde una computadora con acceso a Internet. El tiempo estimado para completarla es de una hora. Todo el contenido es Copyright © 1992 – 2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 4
CCNA Exploration Aspectos básicos de redes: La vida en un mundo centrado en la red Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad más importantes Tarea 1: Ubicación de los Recursos SANS. Paso 1: Abrir la Lista SANS de los 20 principales. Con un navegador Web, vaya al URL http://www.sans.org. En el menú Recursos, elija Lista de los 20 principales, como se muestra en la Figura 1. Figura 1. Menú SANS La lista SANS de los 20 principales objetivos de ataques de seguridad en Internet está organizada por categorías. Una letra indica el tipo de categoría y los números separan los temas de la categoría. Los temas sobre router y switch se encuentran dentro de la categoría Dispositivos de red (Network Devices) N. Hay dos temas principales con hipervínculos: N1. Servidores y teléfonos VoIP N2. Debilidades comunes de configuración de dispositivos de red y de otro tipo Paso 2: Hacer clic en el hipervínculo N2. Debilidades comunes de configuración de dispositivos de red y de otro tipo, para ingresar en este tema. Tarea 2: Repaso sobre los Recursos SANS. Paso 1: Repasar el contenido de N2.2 Temas comunes de configuración predeterminada. Por ejemplo, N2.2.2 (en enero de 2007) contenía información sobre amenazas relacionadas con cuentas y valores predeterminados. Una búsqueda en Google sobre “contraseñas de router inalámbrico” arroja vínculos a diversos sitios que publican una lista de nombres de cuenta de administrador y contraseñas predeterminadas de routers inalámbricos. La imposibilidad de cambiar la contraseña predeterminada en estos dispositivos puede generar compromiso y vulnerabilidad hacia los atacantes. Paso 2: Observar las referencias CVE. La última línea debajo de varios temas se refiere a la Exposición común a la vulnerabilidad (CVE). El nombre CVE está relacionado con la Base de datos Nacional de Vulnerabilidad (NVD) del Instituto Nacional de Normas y Tecnología (NIST), patrocinado por la División de Seguridad Cibernética Nacional del Departamento de Seguridad Nacional (DHS) y por US-CERT, que contiene información sobre la vulnerabilidad. Todo el contenido es Copyright © 1992 – 2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 4
CCNA Exploration Aspectos básicos de redes: La vida en un mundo centrado en la red Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad más importantes Tarea 3: Recolección de datos. El resto de esta práctica de laboratorio lo guiará a través de la investigación y solución de una vulnerabilidad. Paso 1: Seleccionar un tema para investigar y hacer clic en un hipervínculo CVE de ejemplo. Nota: Debido a que la lista CVE cambia, la lista actual puede no contener las mismas vulnerabilidades que en enero de 2007. El vínculo debe abrir un nuevo explorador Web conectado a http://nvd.nist.gov/ y la página resumen de vulnerabilidades de CVE Vulnerabilidad summary for CVE-2009-1738. Paso 2: Completar la información sobre la vulnerabilidad: Fecha de lanzamiento original: _ 05/20/2009 Última revisión: _05/21/2009 Fuente: _ US-CERT/NIST Cross-site scripting (xss) la vulnerabilidad en el bloque de alimentación 6.x antes de 6.x-1.x-1.1, u modulo para drupal permite a usuarios remotos autenticados con permisos de administrador de los piensos para inyectar web arbitrario script o HTML a través de vectores no identificados en agregador de de artículos En Impacto hay varios valores. Se muestra la severidad del Sistema de puntaje de vulnerabilidades comunes (CVSS), que contiene un valor entre 1 y 10. Paso 3: Completar la información sobre el impacto de vulnerabilidad: Severidad CVSS: 3.5 (low) Rango: _ 2.9 Autenticación: no requiere Tipo de impacto: _ permite la modificación no autorizada El próximo encabezado contiene vínculos con información sobre la vulnerabilidad y las posibles soluciones. Todo el contenido es Copyright © 1992 – 2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 4
CCNA Exploration Aspectos básicos de redes: La vida en un mundo centrado en la red Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad más importantes Paso 4: Con la ayuda de los hipervínculos, escribir una breve descripción sobre la solución encontrada en esas páginas. Actualizar a la versión más reciente si utiliza alimentación 6.x-1.x bloque de alimentación de actualizar 6.x-1.1. Tarea 4: Reflexión La cantidad de vulnerabilidades para las computadoras, redes y datos sigue creciendo. Los gobiernos han dedicado importantes recursos para coordinar y difundir información sobre las vulnerabilidades y las posibles soluciones. Sigue siendo responsabilidad del usuario final la implementación de la solución. Piense de qué manera pueden los usuarios ayudar a fortalecer la seguridad. Piense qué hábitos de los usuarios crean riesgos en la seguridad. El sistema operativo que utilice nuestro computador debe tener instaladas las últimas actualizaciones. Nuestro ordenador debe contar con un antivirus actualizado. El PC debe contar con un sistema de firewall ya sea por defecto del sistema operativo de hardware o un software alternativo. Nuestro PC lo debe utilizar la misma persona o personas de mucha confianza. Tarea 5: Desafío Intente identificar una organización que se pueda reunir con nosotros para explicarnos cómo se rastrean las vulnerabilidades y se aplican las soluciones. Encontrar una organización dispuesta a hacer esto puede ser difícil, por razones de seguridad, pero ayudará a los estudiantes a aprender cómo se logra mitigar las vulnerabilidades en el mundo. También les dará a los representantes de las organizaciones la oportunidad de conocer a los estudiantes y realizar entrevistas informales. Todo el contenido es Copyright © 1992 – 2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. PDF to Word Página 4 de 4

Recomendados

Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusFrancisco Medina
 
Practica 4 - Instalación y Actualización de Nessus
Practica 4 - Instalación y Actualización de NessusPractica 4 - Instalación y Actualización de Nessus
Practica 4 - Instalación y Actualización de NessusMeztli Valeriano Orozco
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
Introducción a Kali Linux
Introducción a Kali LinuxIntroducción a Kali Linux
Introducción a Kali LinuxFrancisco Medina
 
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedTécnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And NmapVictor Guana
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Francisco Medina
 
Bug Bounty advanced 2020-2021
Bug Bounty advanced 2020-2021Bug Bounty advanced 2020-2021
Bug Bounty advanced 2020-2021SergioValverde28
 

Recomendados

Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusFrancisco Medina
 
Practica 4 - Instalación y Actualización de Nessus
Practica 4 - Instalación y Actualización de NessusPractica 4 - Instalación y Actualización de Nessus
Practica 4 - Instalación y Actualización de NessusMeztli Valeriano Orozco
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
Introducción a Kali Linux
Introducción a Kali LinuxIntroducción a Kali Linux
Introducción a Kali LinuxFrancisco Medina
 
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedTécnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And NmapVictor Guana
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Francisco Medina
 
Bug Bounty advanced 2020-2021
Bug Bounty advanced 2020-2021Bug Bounty advanced 2020-2021
Bug Bounty advanced 2020-2021SergioValverde28
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Noticia 6.
Noticia 6.Noticia 6.
Noticia 6.Guisella Barajas
 
Jose carlos lara villanueva tic virus
Jose carlos lara villanueva tic virusJose carlos lara villanueva tic virus
Jose carlos lara villanueva tic virus22061995
 
Computacion sexto grado
Computacion sexto gradoComputacion sexto grado
Computacion sexto gradoYadira Echavarria ECHAVARRIA CASTILLO
 
Noticia no
Noticia noNoticia no
Noticia noSamyMP
 
Seguridad
SeguridadSeguridad
Seguridadciclo2j
 
Proyecto innovador antivirus
Proyecto innovador antivirusProyecto innovador antivirus
Proyecto innovador antivirusvaleskaguerreromendo
 
Virus en Ejecutables
Virus en EjecutablesVirus en Ejecutables
Virus en EjecutablesAlex Avila
 
Que son las_vulnerabilidades_del_-software
Que son las_vulnerabilidades_del_-softwareQue son las_vulnerabilidades_del_-software
Que son las_vulnerabilidades_del_-softwareEstebanGonzalez153
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasyisdan
 
Antivirus
AntivirusAntivirus
Antivirusadri55
 
Virus informaticossandraykarina
Virus informaticossandraykarinaVirus informaticossandraykarina
Virus informaticossandraykarinaingridsuarez02
 
Virus paula
Virus paulaVirus paula
Virus paulaPaula Payrán
 
Cómo proteger mi organización del ataque de un ransomeware por Fortinet
Cómo proteger mi organización del ataque de un ransomeware por FortinetCómo proteger mi organización del ataque de un ransomeware por Fortinet
Cómo proteger mi organización del ataque de un ransomeware por FortinetSupra Networks
 
drone
dronedrone
dronewilianto wang
 
Kampung naga
Kampung nagaKampung naga
Kampung nagaArdi Luthfi
 
Report Technology Forum 2015 ita
Report Technology Forum 2015 itaReport Technology Forum 2015 ita
Report Technology Forum 2015 itaPietro Rocchegiani
 
Presentación1 portafolio
Presentación1 portafolioPresentación1 portafolio
Presentación1 portafolioMariposa Lang
 

Más contenido relacionado

La actualidad más candente

Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Jose carlos lara villanueva tic virus
Jose carlos lara villanueva tic virusJose carlos lara villanueva tic virus
Jose carlos lara villanueva tic virus22061995
 
Noticia no
Noticia noNoticia no
Noticia noSamyMP
 
Seguridad
SeguridadSeguridad
Seguridadciclo2j
 
Virus en Ejecutables
Virus en EjecutablesVirus en Ejecutables
Virus en EjecutablesAlex Avila
 
Que son las_vulnerabilidades_del_-software
Que son las_vulnerabilidades_del_-softwareQue son las_vulnerabilidades_del_-software
Que son las_vulnerabilidades_del_-softwareEstebanGonzalez153
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasyisdan
 
Antivirus
AntivirusAntivirus
Antivirusadri55
 
Virus informaticossandraykarina
Virus informaticossandraykarinaVirus informaticossandraykarina
Virus informaticossandraykarinaingridsuarez02
 
Cómo proteger mi organización del ataque de un ransomeware por Fortinet
Cómo proteger mi organización del ataque de un ransomeware por FortinetCómo proteger mi organización del ataque de un ransomeware por Fortinet
Cómo proteger mi organización del ataque de un ransomeware por FortinetSupra Networks
 

La actualidad más candente (18)

Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Web
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Noticia 6.
Noticia 6.Noticia 6.
Noticia 6.
 
Jose carlos lara villanueva tic virus
Jose carlos lara villanueva tic virusJose carlos lara villanueva tic virus
Jose carlos lara villanueva tic virus
 
Computacion sexto grado
Computacion sexto gradoComputacion sexto grado
Computacion sexto grado
 
Noticia no
Noticia noNoticia no
Noticia no
 
Seguridad
SeguridadSeguridad
Seguridad
 
Proyecto innovador antivirus
Proyecto innovador antivirusProyecto innovador antivirus
Proyecto innovador antivirus
 
Virus en Ejecutables
Virus en EjecutablesVirus en Ejecutables
Virus en Ejecutables
 
Que son las_vulnerabilidades_del_-software
Que son las_vulnerabilidades_del_-softwareQue son las_vulnerabilidades_del_-software
Que son las_vulnerabilidades_del_-software
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemas
 
Antivirus
AntivirusAntivirus
Antivirus
 
Virus informaticossandraykarina
Virus informaticossandraykarinaVirus informaticossandraykarina
Virus informaticossandraykarina
 
Virus paula
Virus paulaVirus paula
Virus paula
 
Cómo proteger mi organización del ataque de un ransomeware por Fortinet
Cómo proteger mi organización del ataque de un ransomeware por FortinetCómo proteger mi organización del ataque de un ransomeware por Fortinet
Cómo proteger mi organización del ataque de un ransomeware por Fortinet
 

Destacado

Report Technology Forum 2015 ita
Report Technology Forum 2015 itaReport Technology Forum 2015 ita
Report Technology Forum 2015 itaPietro Rocchegiani
 
Presentación1 portafolio
Presentación1 portafolioPresentación1 portafolio
Presentación1 portafolioMariposa Lang
 
Instituionalizing Innovation by Diane Tavenner
Instituionalizing Innovation by Diane TavennerInstituionalizing Innovation by Diane Tavenner
Instituionalizing Innovation by Diane TavennerLean Startup Co.
 
Competencia inicial
Competencia inicialCompetencia inicial
Competencia inicialkaohs123
 
Sokkia set02 n catalogs
Sokkia set02 n catalogsSokkia set02 n catalogs
Sokkia set02 n catalogsalamsurvey
 
El desplazamiento-forzado
El desplazamiento-forzadoEl desplazamiento-forzado
El desplazamiento-forzadoHooverrr
 
The forgotten skill slideshare
The forgotten skill slideshareThe forgotten skill slideshare
The forgotten skill slideshareKerstin Okubo
 
Texto 306860526
Texto 306860526Texto 306860526
Texto 306860526Vetor Mil
 
Prediksi napoli vs udinese
Prediksi napoli vs udinesePrediksi napoli vs udinese
Prediksi napoli vs udinesedunsul
 
TEMA 12: APLICACIONS EDUCATIVES DEL PROGRAMARI
TEMA 12: APLICACIONS EDUCATIVES DEL PROGRAMARITEMA 12: APLICACIONS EDUCATIVES DEL PROGRAMARI
TEMA 12: APLICACIONS EDUCATIVES DEL PROGRAMARICasillera22
 
Nicholas szucs, new york
Nicholas szucs, new yorkNicholas szucs, new york
Nicholas szucs, new yorknathanvara
 

Destacado (15)

drone
dronedrone
drone
 
Kampung naga
Kampung nagaKampung naga
Kampung naga
 
Report Technology Forum 2015 ita
Report Technology Forum 2015 itaReport Technology Forum 2015 ita
Report Technology Forum 2015 ita
 
Presentación1 portafolio
Presentación1 portafolioPresentación1 portafolio
Presentación1 portafolio
 
Instituionalizing Innovation by Diane Tavenner
Instituionalizing Innovation by Diane TavennerInstituionalizing Innovation by Diane Tavenner
Instituionalizing Innovation by Diane Tavenner
 
Competencia inicial
Competencia inicialCompetencia inicial
Competencia inicial
 
Sokkia set02 n catalogs
Sokkia set02 n catalogsSokkia set02 n catalogs
Sokkia set02 n catalogs
 
El desplazamiento-forzado
El desplazamiento-forzadoEl desplazamiento-forzado
El desplazamiento-forzado
 
The forgotten skill slideshare
The forgotten skill slideshareThe forgotten skill slideshare
The forgotten skill slideshare
 
Texto 306860526
Texto 306860526Texto 306860526
Texto 306860526
 
Prediksi napoli vs udinese
Prediksi napoli vs udinesePrediksi napoli vs udinese
Prediksi napoli vs udinese
 
TEMA 12: APLICACIONS EDUCATIVES DEL PROGRAMARI
TEMA 12: APLICACIONS EDUCATIVES DEL PROGRAMARITEMA 12: APLICACIONS EDUCATIVES DEL PROGRAMARI
TEMA 12: APLICACIONS EDUCATIVES DEL PROGRAMARI
 
Nicholas szucs, new york
Nicholas szucs, new yorkNicholas szucs, new york
Nicholas szucs, new york
 
Clinical Experience
Clinical ExperienceClinical Experience
Clinical Experience
 
Christinah Mokoka's CV
Christinah Mokoka's CVChristinah Mokoka's CV
Christinah Mokoka's CV
 

Similar a Lab1.4.5

Intro cybersecurity additional resources and activities
Intro cybersecurity additional resources and activitiesIntro cybersecurity additional resources and activities
Intro cybersecurity additional resources and activitiesGuido Romo
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxFrancisco Medina
 
exposición sandra gaytan 1B
exposición sandra gaytan 1Bexposición sandra gaytan 1B
exposición sandra gaytan 1Bsandragaytan18
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionMaestros en Linea
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetraciónDavid Thomas
 
Antivirus
AntivirusAntivirus
Antivirusbr3ky
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionMaestros Online
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0xavazquez
 
Auto evaluacion n 2
Auto evaluacion n 2Auto evaluacion n 2
Auto evaluacion n 2mirye28
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Adrián Lois
 
Help desk ch08-esp
Help desk ch08-espHelp desk ch08-esp
Help desk ch08-espprofeluciano
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesDaniel Fernandez Droniak
 

Similar a Lab1.4.5 (20)

Sans
SansSans
Sans
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Intro cybersecurity additional resources and activities
Intro cybersecurity additional resources and activitiesIntro cybersecurity additional resources and activities
Intro cybersecurity additional resources and activities
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
 
exposición sandra gaytan 1B
exposición sandra gaytan 1Bexposición sandra gaytan 1B
exposición sandra gaytan 1B
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacion
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Antivirus
AntivirusAntivirus
Antivirus
 
Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_i
 
Analisis vulnera
Analisis vulneraAnalisis vulnera
Analisis vulnera
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacion
 
Capítulo 2
Capítulo 2Capítulo 2
Capítulo 2
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0
 
Auto evaluacion n 2
Auto evaluacion n 2Auto evaluacion n 2
Auto evaluacion n 2
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Help desk ch08-esp
Help desk ch08-espHelp desk ch08-esp
Help desk ch08-esp
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
 

Más de UNAD

Trabajo final en grupo portafolio de servicios
Trabajo final en grupo portafolio de serviciosTrabajo final en grupo portafolio de servicios
Trabajo final en grupo portafolio de serviciosUNAD
 
Trabajo final en grupo
Trabajo final en grupoTrabajo final en grupo
Trabajo final en grupoUNAD
 
Licencia
LicenciaLicencia
LicenciaUNAD
 
Resolucion 087 actualizada_2209 (1)
Resolucion 087 actualizada_2209 (1)Resolucion 087 actualizada_2209 (1)
Resolucion 087 actualizada_2209 (1)UNAD
 
Reto 11 6-1
Reto 11 6-1Reto 11 6-1
Reto 11 6-1UNAD
 
Laboratorio capitulo 11 .5.6 resuelto
Laboratorio capitulo 11 .5.6 resueltoLaboratorio capitulo 11 .5.6 resuelto
Laboratorio capitulo 11 .5.6 resueltoUNAD
 
Laboratorio 11.5.4
Laboratorio 11.5.4Laboratorio 11.5.4
Laboratorio 11.5.4UNAD
 
Laboratorio 11.5.3
Laboratorio 11.5.3Laboratorio 11.5.3
Laboratorio 11.5.3UNAD
 
Laboratorio 11.5.1
Laboratorio 11.5.1Laboratorio 11.5.1
Laboratorio 11.5.1UNAD
 
Laboratorio 11.4.3.3
Laboratorio 11.4.3.3Laboratorio 11.4.3.3
Laboratorio 11.4.3.3UNAD
 
E1 lab 11_5_5 resuelto
E1 lab 11_5_5 resueltoE1 lab 11_5_5 resuelto
E1 lab 11_5_5 resueltoUNAD
 
11.6.1
11.6.111.6.1
11.6.1UNAD
 
11.5.1
11.5.111.5.1
11.5.1UNAD
 
Reto 10.7.1
Reto 10.7.1Reto 10.7.1
Reto 10.7.1UNAD
 
Laboratorio 10 6 2
Laboratorio 10 6 2Laboratorio 10 6 2
Laboratorio 10 6 2UNAD
 
Laboratorio 10.7.1
Laboratorio 10.7.1Laboratorio 10.7.1
Laboratorio 10.7.1UNAD
 
Laboratorio 10.6.3
Laboratorio 10.6.3Laboratorio 10.6.3
Laboratorio 10.6.3UNAD
 
Laboratorio 10.6.1
Laboratorio 10.6.1Laboratorio 10.6.1
Laboratorio 10.6.1UNAD
 
9.9.1
9.9.19.9.1
9.9.1UNAD
 
9.8.2
9.8.29.8.2
9.8.2UNAD
 

Más de UNAD (20)

Trabajo final en grupo portafolio de servicios
Trabajo final en grupo portafolio de serviciosTrabajo final en grupo portafolio de servicios
Trabajo final en grupo portafolio de servicios
 
Trabajo final en grupo
Trabajo final en grupoTrabajo final en grupo
Trabajo final en grupo
 
Licencia
LicenciaLicencia
Licencia
 
Resolucion 087 actualizada_2209 (1)
Resolucion 087 actualizada_2209 (1)Resolucion 087 actualizada_2209 (1)
Resolucion 087 actualizada_2209 (1)
 
Reto 11 6-1
Reto 11 6-1Reto 11 6-1
Reto 11 6-1
 
Laboratorio capitulo 11 .5.6 resuelto
Laboratorio capitulo 11 .5.6 resueltoLaboratorio capitulo 11 .5.6 resuelto
Laboratorio capitulo 11 .5.6 resuelto
 
Laboratorio 11.5.4
Laboratorio 11.5.4Laboratorio 11.5.4
Laboratorio 11.5.4
 
Laboratorio 11.5.3
Laboratorio 11.5.3Laboratorio 11.5.3
Laboratorio 11.5.3
 
Laboratorio 11.5.1
Laboratorio 11.5.1Laboratorio 11.5.1
Laboratorio 11.5.1
 
Laboratorio 11.4.3.3
Laboratorio 11.4.3.3Laboratorio 11.4.3.3
Laboratorio 11.4.3.3
 
E1 lab 11_5_5 resuelto
E1 lab 11_5_5 resueltoE1 lab 11_5_5 resuelto
E1 lab 11_5_5 resuelto
 
11.6.1
11.6.111.6.1
11.6.1
 
11.5.1
11.5.111.5.1
11.5.1
 
Reto 10.7.1
Reto 10.7.1Reto 10.7.1
Reto 10.7.1
 
Laboratorio 10 6 2
Laboratorio 10 6 2Laboratorio 10 6 2
Laboratorio 10 6 2
 
Laboratorio 10.7.1
Laboratorio 10.7.1Laboratorio 10.7.1
Laboratorio 10.7.1
 
Laboratorio 10.6.3
Laboratorio 10.6.3Laboratorio 10.6.3
Laboratorio 10.6.3
 
Laboratorio 10.6.1
Laboratorio 10.6.1Laboratorio 10.6.1
Laboratorio 10.6.1
 
9.9.1
9.9.19.9.1
9.9.1
 
9.8.2
9.8.29.8.2
9.8.2
 

Lab1.4.5

  • 1. Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad más importantes Objetivos de aprendizaje Al completar esta actividad, usted podrá:     Usar el sitio SANS para identificar rápidamente las amenazas de seguridad de Internet.   Explicar cómo se organizan las amenazas.   Enumerar varias vulnerabilidades de seguridad recientes.   Usar los vínculos de SANS para acceder a información adicional relacionada con la seguridad.  Información básica Uno de los sitios más conocidos y confiables relacionados con la defensa contra las amenazas de seguridad de computadoras y de redes es SANS. SANS proviene de SysAdmin, Audit, Network, Security (Administración del sistema, Auditoría, Red, Seguridad). SANS está formado por varios componentes, cada uno de los cuales contribuye en gran medida con la seguridad de la información. Para obtener información adicional sobre el sitio SANS, consulte http://www.sans.org/ y seleccione los temas en el menú Recursos. ¿Cómo puede un administrador de seguridad corporativa identificar rápidamente las amenazas de seguridad? SANS y el FBI han recopilado una lista de los 20 principales objetivos de ataques de seguridad en Internet en http://www.sans.org/top20/. Esta lista se actualiza periódicamente con información formateada por:      Sistemas operativos: Windows, Unix/Linux, MAC    Aplicaciones: interplataforma, incluyendo la Web, base de datos, punto a punto, mensajería instantánea, reproductores de medios, servidores DNS, software para copias de seguridad y servidores de administración  Dispositivos de red: dispositivos de infraestructura de red (routers, switches, etc.), dispositivos VoIP   Elementos humanos: políticas de seguridad, conducta humana, temas personales.   Sección especial: temas de seguridad no relacionados con ninguna de las categorías anteriores.  Escenario Esta práctica de laboratorio presentará a los estudiantes las vulnerabilidades en los asuntos de seguridad informática. Se usará el sitio Web de SANS como una herramienta para la identificación, comprensión y defensa de las amenazas de vulnerabilidad. Esta práctica de laboratorio debe completarse fuera del laboratorio de Cisco, desde una computadora con acceso a Internet. El tiempo estimado para completarla es de una hora. Todo el contenido es Copyright © 1992 – 2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 4
  • 2. CCNA Exploration Aspectos básicos de redes: La vida en un mundo centrado en la red Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad más importantes Tarea 1: Ubicación de los Recursos SANS. Paso 1: Abrir la Lista SANS de los 20 principales. Con un navegador Web, vaya al URL http://www.sans.org. En el menú Recursos, elija Lista de los 20 principales, como se muestra en la Figura 1. Figura 1. Menú SANS La lista SANS de los 20 principales objetivos de ataques de seguridad en Internet está organizada por categorías. Una letra indica el tipo de categoría y los números separan los temas de la categoría. Los temas sobre router y switch se encuentran dentro de la categoría Dispositivos de red (Network Devices) N. Hay dos temas principales con hipervínculos: N1. Servidores y teléfonos VoIP N2. Debilidades comunes de configuración de dispositivos de red y de otro tipo Paso 2: Hacer clic en el hipervínculo N2. Debilidades comunes de configuración de dispositivos de red y de otro tipo, para ingresar en este tema. Tarea 2: Repaso sobre los Recursos SANS. Paso 1: Repasar el contenido de N2.2 Temas comunes de configuración predeterminada. Por ejemplo, N2.2.2 (en enero de 2007) contenía información sobre amenazas relacionadas con cuentas y valores predeterminados. Una búsqueda en Google sobre “contraseñas de router inalámbrico” arroja vínculos a diversos sitios que publican una lista de nombres de cuenta de administrador y contraseñas predeterminadas de routers inalámbricos. La imposibilidad de cambiar la contraseña predeterminada en estos dispositivos puede generar compromiso y vulnerabilidad hacia los atacantes. Paso 2: Observar las referencias CVE. La última línea debajo de varios temas se refiere a la Exposición común a la vulnerabilidad (CVE). El nombre CVE está relacionado con la Base de datos Nacional de Vulnerabilidad (NVD) del Instituto Nacional de Normas y Tecnología (NIST), patrocinado por la División de Seguridad Cibernética Nacional del Departamento de Seguridad Nacional (DHS) y por US-CERT, que contiene información sobre la vulnerabilidad. Todo el contenido es Copyright © 1992 – 2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 4
  • 3. CCNA Exploration Aspectos básicos de redes: La vida en un mundo centrado en la red Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad más importantes Tarea 3: Recolección de datos. El resto de esta práctica de laboratorio lo guiará a través de la investigación y solución de una vulnerabilidad. Paso 1: Seleccionar un tema para investigar y hacer clic en un hipervínculo CVE de ejemplo. Nota: Debido a que la lista CVE cambia, la lista actual puede no contener las mismas vulnerabilidades que en enero de 2007. El vínculo debe abrir un nuevo explorador Web conectado a http://nvd.nist.gov/ y la página resumen de vulnerabilidades de CVE Vulnerabilidad summary for CVE-2009-1738. Paso 2: Completar la información sobre la vulnerabilidad: Fecha de lanzamiento original: _ 05/20/2009 Última revisión: _05/21/2009 Fuente: _ US-CERT/NIST Cross-site scripting (xss) la vulnerabilidad en el bloque de alimentación 6.x antes de 6.x-1.x-1.1, u modulo para drupal permite a usuarios remotos autenticados con permisos de administrador de los piensos para inyectar web arbitrario script o HTML a través de vectores no identificados en agregador de de artículos En Impacto hay varios valores. Se muestra la severidad del Sistema de puntaje de vulnerabilidades comunes (CVSS), que contiene un valor entre 1 y 10. Paso 3: Completar la información sobre el impacto de vulnerabilidad: Severidad CVSS: 3.5 (low) Rango: _ 2.9 Autenticación: no requiere Tipo de impacto: _ permite la modificación no autorizada El próximo encabezado contiene vínculos con información sobre la vulnerabilidad y las posibles soluciones. Todo el contenido es Copyright © 1992 – 2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 4
  • 4. CCNA Exploration Aspectos básicos de redes: La vida en un mundo centrado en la red Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad más importantes Paso 4: Con la ayuda de los hipervínculos, escribir una breve descripción sobre la solución encontrada en esas páginas. Actualizar a la versión más reciente si utiliza alimentación 6.x-1.x bloque de alimentación de actualizar 6.x-1.1. Tarea 4: Reflexión La cantidad de vulnerabilidades para las computadoras, redes y datos sigue creciendo. Los gobiernos han dedicado importantes recursos para coordinar y difundir información sobre las vulnerabilidades y las posibles soluciones. Sigue siendo responsabilidad del usuario final la implementación de la solución. Piense de qué manera pueden los usuarios ayudar a fortalecer la seguridad. Piense qué hábitos de los usuarios crean riesgos en la seguridad. El sistema operativo que utilice nuestro computador debe tener instaladas las últimas actualizaciones. Nuestro ordenador debe contar con un antivirus actualizado. El PC debe contar con un sistema de firewall ya sea por defecto del sistema operativo de hardware o un software alternativo. Nuestro PC lo debe utilizar la misma persona o personas de mucha confianza. Tarea 5: Desafío Intente identificar una organización que se pueda reunir con nosotros para explicarnos cómo se rastrean las vulnerabilidades y se aplican las soluciones. Encontrar una organización dispuesta a hacer esto puede ser difícil, por razones de seguridad, pero ayudará a los estudiantes a aprender cómo se logra mitigar las vulnerabilidades en el mundo. También les dará a los representantes de las organizaciones la oportunidad de conocer a los estudiantes y realizar entrevistas informales. Todo el contenido es Copyright © 1992 – 2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. PDF to Word Página 4 de 4