Skip to content

Conceptos de Seguridad en Redes

Estado Actual de la Ciberseguridad

Los Delincuentes Cibernéticos ahora tienen la experiencia y las herramientas necesarias para derribar la infraestructura y los sistemas críticos. Sus herramientas y técnicas continúan evolucionando.

Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los intereses comerciales. Todos los usuarios deben conocer los términos de seguridad en la tabla.

  • Activos: Un activo es cualquier cosa de valor para la organización. Incluye personas, equipos, recursos y datos.
  • Vulnerabilidad: Una vulnerabilidad es una debilidad en un sistema, o su diseño, que podría ser explotado por una amenaza.
  • Amenaza: Una amenaza es un peligro potencial para los activos, los datos o la red de una empresa funcionalidad de enrutamiento.
  • Explotar: Una explotación es un mecanismo para tomar ventaja de una vulnerabilidad.
  • Mitigación: La mitigación es la contra-medida que reduce la probabilidad o gravedad de una posible amenaza o riesgo. La seguridad de la red implica técnicas de mitigación múltiple.
  • Riesgo: El riesgo es la probabilidad de que una amenaza explote la vulnerabilidad de un activo, con el objetivo de afectar negativamente a una organización. Riesgo es medido utilizando la probabilidad de ocurrencia de un evento y sus consecuencias.

Perdida de datos

Vectores de pérdida de datos:

  • Correo electrónico/Redes sociales: El correo electrónico o los mensajes de mensajería instantánea interceptados podrían capturarse y descifrar el contenido Información confidencial:
  • Dispositivos no encriptados: Si los datos no se almacenan utilizando un algoritmo de cifrado, entonces el ladrón puede recuperar valiosos datos confidenciales.
  • Dispositivos de almacenamiento en la nube: Los datos confidenciales se pueden perder si el acceso a la nube se ve comprometido debido a configuraciones de seguridad débiles.
  • Medios Extraíbles: Un riesgo es que un empleado pueda realizar una transferencia no autorizada de datos a una unidad USB. Otro riesgo es que una unidad USB que contenga podrían perderse datos corporativos valiosos.
  • Respaldo físico: Los datos confidenciales deben triturarse cuando ya no sean necesarios.
  • Control de acceso incorrecto: Las contraseñas o contraseñas débiles que se hayan visto comprometidas pueden proporcionar al actor de amenazas con fácil acceso a datos corporativos.

Atacantes

El pirata informático

Tipo de Hacker:

Hackers de Sombrero Blanco Son hackers éticos que utilizan sus habilidades de programación para fines buenos, éticos y legales. Los hackers de sombrero blanco pueden realizar en la red pruebas de penetración en un intento de comprometer redes y sistemas por utilizando su conocimiento de los sistemas de seguridad informática para descubrir la red vulnerabilidades. Las vulnerabilidades de seguridad se informan a los desarrolladores para que lo arreglen antes de que las vulnerabilidades puedan ser explotadas.

Hackers de Sombrero Gris Estas son personas que cometen crímenes y que posiblemente sean poco éticas cosas, pero no para beneficio personal o para causar daños. Hackers de Sombrero Gris puede revelar una vulnerabilidad a la organización afectada después de haber comprometió su red.

Hackers de Sombrero Negro Estos son delincuentes poco éticos que comprometen la computadora y la red. seguridad para beneficio personal o por razones maliciosas, como atacar redes.

Evolución de los Hackers

  • Script kiddies Estos son adolescentes o piratas informáticos sin experiencia que ejecutan scripts existentes, herramientas y hazañas para causar daño, pero generalmente sin fines de lucro.
  • Agentes de Vulnerabilidad Por lo general, son hackers de sombrero gris que intentan descubrir debilidades Descubren ataques y los reportan a proveedores, a veces por premios o recompensas.
  • Hacktivistas Estos son hackers de sombrero gris que protestan públicamente contra organizaciones o gobiernos mediante la publicación de artículos, videos, fugas sensibles información y realizar ataques a la red.
  • Delincuentes cibernéticos Estos son hackers de sombrero negro que trabajan por cuenta propia o trabajan para grandes organizaciones de cibercriminales.
  • Patrocinados por el estado Estos son hackers de sombrero blanco o de sombrero negro que roban al gobierno secretos, recopilar inteligencia y sabotear redes. Sus objetivos son los gobiernos, los grupos terroristas y las corporaciones extranjeras. La mayoría de los países del mundo participan en algún tipo de hacking patrocinado por el estado hackear.

Herramientas de los atacantes

Herramientas de Pruebas de Penetración

Decodificadores de Contraseñas Las herramientas para descifrar contraseñas a menudo se denominan herramientas de recuperación de contraseñas y se puede usar para descifrar o recuperar una contraseña. Esto se logra ya sea eliminando la contraseña original, después de omitir los datos cifrado, o por descubrimiento directo de la contraseña. Decodificadores de contraseñas hacer conjeturas repetidamente para descifrar la contraseña. Ejemplos de las herramientas para descifrar contraseñas incluyen a John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack y Medusa.

Herramientas de Hacking Inalámbrico Las herramientas de piratería inalámbrica se utilizan para piratear intencionalmente red para detectar vulnerabilidades de seguridad. Ejemplos de piratería inalámbrica las herramientas incluyen Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep y NetStumbler.

Escaneo de redes y Herramientas de Hacking Las herramientas de análisis de red se utilizan para sondear dispositivos de red, servidores y hosts para puertos TCP o UDP abiertos. Ejemplos de herramientas de escaneo incluyen Nmap, SuperScan, Angry IP Scanner y NetScanTools

Herramientas para Elaborar Paquetes de Prueba Estas herramientas se utilizan para sondear y probar la robustez de un cortafuegos’ utilizando paquetes forjados especialmente diseñados. Los ejemplos incluyen Hping, Scapy, Socat, Yersinia, Netcat, Nping y Nemesis.

Analizadores de protocolos de paquetes Estas herramientas se utilizan para capturar y analizar paquetes dentro de redes tradicionales Ethernet LANs y WLANs. Las herramientas incluyen Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy, y SSLstrip.

Detectores de Rootkits Este es un verificador de integridad de directorios y archivos utilizado por los sombreros blancos para detectar grupos de raíz instalados. Las herramientas de ejemplo incluyen AIDE, Netfilter, y PF: OpenBSD Packet Filter.

Fuzzers para Buscar Vulnerabilidades Los fuzzers son herramientas utilizadas por los actores de amenazas para descubrir una computadora y#x2019;s aspectos vulnerables de la seguridad Algunos ejemplos de fuzzers: Skipfish, Wapiti y W3af.

Herramientas de Informática Forense Los hackers de sombrero blanco utilizan estas herramientas para detectar cualquier rastro de evidencia existente en una computadora. Ejemplos de herramientas incluyen un equipo de Sleuth, Helix, Maltego, y Encase.

Depuradores Los hackers de sombrero negro utilizan estas herramientas para aplicar ingeniería inversa en archivos binarios cuando escriben debilidades. También las utilizan los sombreros blancos cuando analizan malware. Algunas herramientas de depuración son las siguientes: GDB, WinDbg, IDA Pro e Immunity Debugger. Depuradores

Sistemas Operativos para Hacking Estos son sistemas operativos especialmente diseñados precargados con herramientas optimizado para hackear. Ejemplos de operaciones de piratería especialmente diseñadas Los sistemas incluyen Kali Linux, Knoppix, BackBox Linux.

Herramientas de Cifrado Las herramientas de cifrado utilizan esquemas de algoritmos para codificar los datos para evitar acceso no autorizado a los datos encriptados. Ejemplos de estas herramientas incluyen VeraCrypt, CipherShed, OpenSSH, OpenSSL, Tor, OpenVPN y Stunnel.

Herramientas para Atacar Vulnerabilidades Estas herramientas identifican si un host remoto es vulnerable a un ataque de seguridad ataque. Ejemplos de herramientas de explotación de vulnerabilidades incluyen Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.

Escáneres de Vulnerabilidades Estas herramientas analizan una red o un sistema para identificar puertos abiertos. Ellos pueden también usar para escanear vulnerabilidades conocidas y escanear máquinas virtuales, BYOD dispositivos y bases de datos de clientes. Ejemplos de herramientas incluyen Nipper, Secunia Nipper, Secuna PSI, Core Impact, Nessus v6, SAINT u OpenVAS

Tipo de Ataque

  • Ataque de intercepción pasiva (eavesdropping) Esto es cuando un actor de amenaza captura “escucha” a tráfico de red. Este ataque también se conoce como sniffing o snooping.
  • Ataque de Modificación de Datos Si los actores de la amenaza han capturado el tráfico empresarial, pueden alterar los datos en el paquete sin el conocimiento del remitente o receptor.
  • Ataque de suplantación de dirección IP Un actor de amenaza construye un paquete IP que parece originarse de un dirección válida dentro de la intranet corporativa.
  • Ataques Basados en Contraseñas Si los actores de amenazas descubren una cuenta de usuario válida, los actores de amenazas tienen los mismos derechos que el usuario real. Los actores de amenazas podrían usar como válida la cuenta para obtener listas de otros usuarios, información de red, cambio de configuraciones de servidores y redes, y modificar, redireccionar o eliminar datos.
  • Ataque por Denegación de Servicio Un ataque de DoS impide el uso normal de una computadora o red por parte de usuarios válidos usuarios. Un ataque DoS puede inundar una computadora o toda la red con tráfico hasta que se produzca un apagado debido a la sobrecarga. Ataque de DoS también puede bloquear el tráfico, lo que resulta en una pérdida de acceso a la red recursos por usuarios autorizados.
  • Ataque man-in-the-middle Este ataque ocurre cuando los actores de amenaza se han posicionado entre el origen y destino. Ahora pueden monitorear, capturar y controlar la comunicación de forma transparente.
  • Ataque de Claves Comprometidas Si un actor de amenaza obtiene una clave secreta, esa clave se conoce como clave en riesgo. Se puede usar una clave comprometida para obtener acceso a un comunicación segura sin que el remitente o el receptor sean conscientes del ataque.
  • Ataque de analizador de protocolos Un detector es una aplicación o dispositivo que puede leer, monitorear y capturar intercambios de datos de red y leer paquetes de red. Si los paquetes no están cifrados, un analizador de protocolos permite ver por completo los datos que están dentro del paquete.

Malware

Los virus modernos se desarrollan con intenciones muy específicas

Tipos de virus Descripción
Virus en el sector de arranque El virus ataca el sector de arranque, la tabla de particiones de archivos o el sistema de archivos.
Virus de firmware El virus ataca el firmware del dispositivo.
Virus de Macros El virus utiliza la función de macros de MS Office con fines maliciosos.
Virus del Programa El virus se introduce en otro programa ejecutable.
Virus de Script El virus ataca al intérprete del SO que se utiliza para ejecutar los scripts.

Existen varios tipos de caballos de Troya como se describe en la tabla

  • Acceso remoto El troyano permite el acceso remoto no autorizado.
  • Envío de datos Caballo de Troya de envío de datos: le proporciona al actor de amenaza datos confidenciales, como las contraseñas.
  • Destructivo El Troyano daña o elimina archivos.
  • Proxy El caballo de Troya usará la computadora de la víctima como dispositivo fuente lanzar ataques y realizar otras actividades ilegales.
  • FTP Caballo de Troya habilita servicios no autorizados de transferencia de archivos en dispositivos finales.
  • Desactivador de software de seguridad El caballo de Troya detiene el funcionamiento de los programas antivirus o contrafuego.
  • Denegación de Servicio (DoS) Caballo de Troya de DoS: retarda o detiene la actividad de red.
  • Registrador de teclas El caballo de Troya intenta activamente robar información confidencial, como números de tarjeta de crédito, registrando pulsaciones de teclas ingresadas en un web formulario.

Otros Tipos de Malware

Adware

  • El adware se suele distribuir en las descargas de software.
  • El adware puede mostrar publicidad no solicitada utilizando un navegador web emergente ventanas, nuevas barras de herramientas o redireccionar inesperadamente una página web a un sitio web diferente.
  • Las ventanas emergentes pueden ser difíciles de controlar, ya que pueden aparecer ventanas nuevas más rápido de lo que el usuario puede cerrarlos.

Ransomware

  • El ransomware normalmente niega el acceso de un usuario a sus archivos por cifrar los archivos y luego mostrar un mensaje que exige rescate por la clave de descifrado.
  • Los usuarios sin copias de respaldo actualizadas deben pagar el rescate para descifrar los archivos.
  • Por lo general, el pago se hace mediante transferencia bancaria o divisas criptográficas como Bitcoin.

Rootkit

  • Los rootkits son utilizados por actores de amenazas para obtener un administrador acceso a nivel de cuenta a una computadora.
  • Son muy difíciles de detectar porque pueden alterar el cortafuego, protección antivirus, archivos del sistema e incluso comandos del sistema operativo para ocultar su presencia.
  • Pueden proporcionar una puerta trasera a los actores de amenazas dándoles acceso a la PC y les permite cargar archivos e instalar nuevo software para ser utilizado en un ataque DDoS.
  • Deben usarse herramientas especiales de eliminación de rootkit para eliminarlos, o se puede requerir la reinstalación completa del sistema operativo.

Spyware

  • Similar al adware, pero se utiliza para recopilar información sobre el usuario y enviar a actores de amenazas sin el consentimiento del usuario.
  • El Spyware puede ser una amenaza baja, recopilar datos de navegación, o puede ser una alta amenaza de captura de información personal y financiera.

Gusano

  • Un gusano es un programa autorreplicante que se propaga automáticamente sin acciones del usuario explotando vulnerabilidades en legítimo software.
  • Utiliza la red para buscar otras víctimas con la misma vulnerabilidad.
  • El objetivo de los gusanos suele ser quitar velocidad o interrumpir las operaciones de red operaciones.

Ataques de Red Comunes

Ataques de Sondeo

El sondeo se conoce como recopilación de información.

Los atacantes utilizan ataques de sondeo para realizar la detección no autorizada y el análisis de sistemas, servicios o vulnerabilidades. Los ataques de sondeo preceden los ataques de acceso o DoS attacks.

A continuación se describen algunas de las técnicas utilizadas por los atacantes para realizar ataques de sondeo.

Realice una consulta de información de un objetivo
- El actor de la amenaza está buscando información inicial sobre un objetivo. Se pueden usar varias herramientas, incluida la búsqueda de Google, organizaciones sitio web, whois y más.

Inicie un barrido de ping de la red de destino
- La consulta de información generalmente revela las direcciones de red del objetivo direcciones. El actor de amenaza ahora puede iniciar un barrido de ping para determinar qué direcciones IP están activas.

Inicie un análisis de puertos de las direcciones IP activas
- Esto se utiliza para determinar qué puertos o servicios están disponibles. Ejemplos de escáneres de puertos incluyen Nmap, SuperScan, Angry IP Scanner y Herramientas de NetScan

Ejecute escáneres de vulnerabilidades
- Esto es para consultar los puertos identificados para determinar el tipo y la versión de la aplicación y el sistema operativo que se ejecuta en el host. Algunos ejemplos de herramientas son Nipper, Secunia PSI, Core Impact, Nessus v6, SAINT, y Open VAS.

Ejecute Herramientas de Ataque
- El actor de la amenaza ahora intenta descubrir servicios vulnerables que pueden ser explotado. Existe una variedad de herramientas de explotación de vulnerabilidades incluyen Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.

Ataques de Acceso

Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de autenticación, servicios FTP y servicios web. El propósito de este tipo de ataques es obtener acceso a cuentas web, bases de datos confidenciales y otra información confidencial.

Los actores de amenazas usan ataques de acceso en dispositivos de red y computadoras para recuperar datos, obtener acceso o escalar privilegios de acceso al estado de administrador.

Ataques de Contraseña

En un ataque de contraseña, el actor de la amenaza intenta descubrir contraseñas críticas del sistema utilizando varios métodos. Los ataques de contraseña son muy comunes y pueden iniciarse utilizando una variedad de herramientas para descifrar contraseñas.

Ataques de Suplantación de Identidad

En los ataques de falsificación, el dispositivo del actor de amenaza intenta hacerse pasar por otro dispositivo falsificando datos. Los ataques comunes de suplantación de identidad incluyen suplantación de IP, suplantación de MAC y suplantación de DHCP. Estos ataques de suplantación se analizarán con más detalle más adelante en este módulo

Otros ataques de Acceso incluyen:

  • Ataque de confianza
  • Redireccionamiento de puertos
  • Ataques de intermediario
  • Ataques de desbordamiento a la memoria intermedia

Ataques de Ingeniería Social

La ingeniería social es un ataque de acceso que intenta manipular a las personas para que realicen acciones o divulguen información confidencial. Algunas técnicas son presenciales, mientras que otras pueden ser por teléfono o Internet.

Los ingenieros sociales, a menudo, se aprovechan de la disposición que tienen las personas a ayudar. También se aprovechan de las debilidades de los demás.

Pretexto

Un actor de amenazas finge necesitar datos personales o financieros para confirmar la identidad del destinatario.

Suplantación de identidad (phishing)

Un actor de amenazas envía correos electrónicos fraudulentos que se disfrazan de fuente legítima y confiable para engañar al destinatario para que instale malware en su dispositivo, o para compartir información personal o financiera.

Suplantación de identidad focalizada

Un actor de amenaza crea un ataque de phishing dirigido a un individuo u organización específica.

Correo electrónico no deseado

También conocido como correo basura, este es un correo electrónico no solicitado que a menudo contiene enlaces dañinos, malware o contenido engañoso.

Algo por algo

A veces llamado “Quid pro quo”, esto es cuando una amenaza el actor solicita información personal de una parte a cambio de algo como un regalo.

Carnada

Un actor de amenaza deja una unidad flash infectada con malware en una ubicación pública ubicación. Una víctima encuentra el disco y lo inserta desprevenido en su computadora portátil, instalando involuntariamente malware.

Simulación de identidad

Este tipo de ataque es donde un actor de amenaza finge ser alguien a quien no son para ganar la confianza de una víctima.

Infiltración (tailgating)

Aquí es donde un actor de amenaza rápidamente sigue a una persona autorizada a un ubicación segura para acceder a un área segura.

Espiar por encima del hombro

Aquí es donde un actor de amenaza mira discretamente a alguien’s hombro para robar sus contraseñas u otra información.

Inspección de basura

Aquí es donde un actor de amenaza hurga en los contenedores de basura para descubrir documentos confidenciales

Vulnerabilidades y Amenazas de IP

IPv4 e IPv6

El protocolo IP no hace ningún esfuerzo para validar si la dirección IP de origen que figura en un paquete realmente proviene de ese origen. Por eso, los agentes de amenaza pueden enviar paquetes con una dirección IP de origen falsa. Además, los agentes de amenaza pueden alterar los demás campos del encabezado de IP para llevar a cabo sus ataques. Los analistas de seguridad deben comprender los diferentes campos en los encabezados IPv4 e IPv6.

  • Ataques ICMP Ataques de ICMP: los agentes de amenaza utilizan paquetes de eco (pings) del protocolo de mensajería de control de Internet (ICMP) para detectar subredes y hosts en una red protegida y, luego, generar ataques de saturación de DoS y modificar las tablas de routing de los hosts.
  • Ataques de reflejo y amplificación Ataques de DoS: los agentes de amenaza intentan impedir que usuarios legítimos tengan acceso a información o servicios.
  • Ataques de suplantación de direcciones Los agentes de amenaza suplantan la dirección IP de origen en un paquete de IP para realizar suplantación blind o non-blind.
  • Ataques man-in-the-middle (MITM) Los agentes de amenaza se posicionan entre un origen y un destino para monitorear, obtener y controlar la comunicación de manera transparente. Simplemente pueden escuchar en silencio mediante la inspección de paquetes capturados o modificar paquetes y reenviarlos a su destino original.
  • Secuestros de sesiones Los agentes de amenaza obtienen acceso a la red física y, luego, usan un ataque de MITM para secuestrar una sesión.

Ataques ICMP

Los mensajes comunes de ICMP de interés para los actores de amenazas se enumeran en la tabla.

Mensajes ICMP utilizados por Hackers Descripción
Solicitud de echo ICMP y respuesta de echo Esto se utiliza para realizar la verificación del host y los ataques DoS.
ICMP inalcanzable Esto se utiliza para realizar ataques de reconocimiento y análisis de la red.
Respuesta de máscara ICMP Esto se utiliza para conocer la disposición de una red de IP interna.
Redireccionamientos ICMP Esto se utiliza para lograr que un host de destino envíe todo el tráfico a través de un dispositivo atacado y crear un ataque de MITM.
Descubrimiento de enrutador ICMP Esto se utiliza para inyectar rutas falsas en la tabla de routing de un host de destino.

Ataques de Suplantación de Direcciones

Los ataques de suplantación de dirección IP se producen cuando un atacante crea paquetes con información falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse pasar por otro usuario legítimo. La suplantación de dirección IP suele formar parte de otro ataque denominado ataque Smurf.

Los ataques de Suplantación pueden ser "blind" (ciegos) o "non-blind" (no ciegos):

  • Suplantación no ciega (Non-blind spoofing): El atacante puede ver el tráfico que se envía entre el host y el destino. Esta técnica determina el estado de un firewall y la predicción del número de secuencia. También puede secuestrar una sesión autorizada.
  • Suplantación ciega (blind spoofing): El atacante no puede ver el tráfico que se envía entre el host y el destino. Este tipo de ataque se utiliza en ataques de DoS.

Los ataques de suplantación de dirección MAC se utilizan cuando los atacantes tienen acceso a la red interna. Los atacantes cambian la dirección MAC de su host para que coincida con otra dirección MAC conocida de un host de destino.

Servicios IP

Ataques de DNS

La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el funcionamiento de una red y debe protegerse correctamente.

Los ataques DNS incluyen lo siguiente:

  • Ataques de resolución abiertos de DNS
  • Ataques sigilosos de DNS
  • Ataques de concurrencia de DNS
  • Ataques de tunelización de DNS

Ataques de resolución abiertos de DNS

Ataques de resolución abierta de DNS: Responde las consultas de clientes fuera de su dominio administrativo. Son vulnerables a múltiples actividades maliciosas descritas en la tabla.

Los ataques de envenenamiento de caché DNS

  • Los actores de amenazas envían información de recursos de registro (RR) falsificados a un solucionador de DNS para redirigir a los usuarios de sitios legítimos a sitios maliciosos. Los ataques de envenenamiento de caché DNS se pueden usar para informar al DNS resolver para utilizar un servidor de nombres malicioso que está proporcionando RR información para actividades maliciosas.

Amplificación de DNS y ataques de reflexión

  • Los actores de amenazas usan ataques DoS o DDoS en servidores de resolución abiertos DNS para aumentar el volumen de ataques y ocultar la verdadera fuente de un ataque. Los actores de amenazas envían mensajes DNS a los solucionadores abiertos la dirección IP de un host de destino. Estos ataques son posibles porque la resolución abierta responde las consultas de cualquiera que pregunte.

Ataques de recursos disponibles de DNS

  • Un ataque DoS que consume los recursos de los solucionadores abiertos de DNS. Este ataque DoS consume todos los recursos disponibles para afectan a las operaciones del solucionador abierto DNS. El impacto de este DoS ataque puede requerir que el solucionador abierto DE DNS se reinicie o los servicios para ser detenido y reiniciado.

Ataques Sigilosos de DNS

Flujo Rápido

  • Los actores de amenazas utilizan esta técnica para ocultar su phishing y malware sitios de entrega detrás de una red de DNS comprometido que cambia rápidamente hosts. Las direcciones IP de DNS cambian constantemente en apenas minutos. Las botnets a menudo emplean técnicas Fast Flux para esconderse efectivamente servidores maliciosos de ser detectados.

Flujo IP Doble

  • Los actores de amenazas utilizan esta técnica para cambiar rápidamente el nombre de host a IP asignaciones de direcciones y también para cambiar el servidor de nombres autorizado. Esto aumenta la dificultad para identificar el origen del ataque.

Algoritmos de Generación de Dominio

  • Los actores de amenazas usan esta técnica en malware para generar aleatoriamente nombres de dominio que luego pueden usarse como puntos de encuentro para su servidores de comando y control (C&C)

Ataques de Sombreado de Dominio de DNS

El sombreado de dominio implica que el actor de la amenaza reúne credenciales de cuenta de dominio para crear silenciosamente múltiples subdominios para usar durante los ataques. Estos subdominios generalmente apuntan a servidores maliciosos sin alertar al propietario real del dominio principal.

Tunelización de DNS

Los agentes de amenaza que utilizan la tunelización de DNS colocan tráfico que no es DNS en tráfico DNS. Este método a menudo evita las soluciones de seguridad cuando un actor de amenazas desea comunicarse con bots dentro de una red protegida, o extraer datos de la organización, como una base de datos de contraseñas. Cuando el actor de la amenaza utiliza el túnel DNS, se alteran los diferentes tipos de registros DNS. Así es como funciona el túnel DNS para los comandos CnC enviados a una botnet:

  1. Los datos se dividen en varias partes codificadas.
  2. Cada parte se coloca en una etiqueta de nombre de dominio de nivel inferior de la consulta de DNS.
  3. Dado que no hay ninguna respuesta del DNS local o en red para la consulta, la solicitud se envía a los servidores DNS recursivos del ISP.
  4. El servicio de DNS recursivo reenvía la consulta al servidor de nombres autorizado del atacante.
  5. El proceso se repite hasta que se envían todas las consultas que contienen las partes.
  6. Cuando el servidor de nombre autorizado del atacante recibe las consultas de DNS de los dispositivos infectados, envía las respuestas para cada consulta de DNS, las cuales contienen los comandos encapsulados y codificados.
  7. El malware en el host atacado vuelve a combinar las partes y ejecuta los comandos ocultos dentro.

Para detener el túnel DNS, el administrador de la red debe usar un filtro que inspeccione el tráfico DNS. Preste especial atención a las consultas de DNS que son más largas de lo normal, o las que tienen un nombre de dominio sospechoso. Además, las soluciones de DNS, como Cisco OpenDNS, bloquean gran parte del tráfico de la tunelización de DNS identificando dominios sospechosos.

Mejores Prácticas en Seguridad de Redes

Confidencialidad, Disponibilidad e Integridad

La Seguridad de la Red consiste en proteger la información y los sistemas de información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados.

La mayoría de las organizaciones siguen la triada de seguridad de la información (CIA, por sus siglas en inglés):

  • Confidencialidad: Solamente individuos, entidades o procesos autorizados pueden tener acceso a información confidencial. Puede requerir el uso de algoritmos de cifrado criptográfico como AES para cifrar y descifrar datos.
  • Integridad: Se refiere a proteger los datos de modificaciones no autorizadas. Requiere el uso de algoritmos de hashing criptográficos como SHA.
  • Disponibilidad: Los usuarios autorizados deben tener acceso ininterrumpido a los recursos y datos importantes. Requiere implementar servicios puertas de enlace y enlaces redundantes.

El Enfoque de Defensa en Profundidad

Para garantizar comunicaciones seguras en redes públicas y privadas, el primer objetivo es proteger los dispositivos como routers, switches, servidores y hosts. La mayoría de las organizaciones emplean un enfoque de defensa en profundidad para la seguridad. Esto requiere una combinación de dispositivos y servicios de red que trabajen en conjunto.

Se implementan varios dispositivos de seguridad y servicios:

  • VPN
  • Firewall ASA
  • IPS
  • ESA/WSA
  • Servidor AAA

Todos los dispositivos red incluyendo el router y los switches son fortalecidos.

Además se deben proteger los datos a medida que viajan a través de varios enlaces.