1 00:00:00,560 --> 00:00:11,599 Bueno, vamos a empezar con la unidad de trabajo 4, seguridad en la red corporativa e implantación de técnicas de acceso remoto, además de la seguridad perimetral. 2 00:00:12,359 --> 00:00:26,000 Pues, como siempre, os he puesto, aparte del contenido normal que tenemos en la unidad, os he hecho aquí el resumen con los principales puntos, ¿verdad?, que es lo que vamos a tratar hoy. 3 00:00:26,000 --> 00:00:28,839 Entonces, vamos a empezar, pues eso 4 00:00:28,839 --> 00:00:31,059 Monitorización del tráfico de red 5 00:00:31,059 --> 00:00:36,979 Esto es lo típico, que si os vais a un McDonald's que tiene una red Wi-Fi abierta 6 00:00:36,979 --> 00:00:40,439 Y tenéis alguna de estas aplicaciones instaladas 7 00:00:40,439 --> 00:00:48,340 Pues podéis ver el tráfico de la gente que está conectada a la Wi-Fi pública que tienen en el McDonald's 8 00:00:48,340 --> 00:00:55,219 Y bueno, pues si capturáis tráfico que no esté encriptado, podéis ver su contenido 9 00:00:55,219 --> 00:01:03,140 cosa que es ilegal con un Wireshark o alguno de estos entonces monitorización del tráfico en 10 00:01:03,140 --> 00:01:07,819 redes llamamos tráfico de red al conjunto de datos que se transmiten entre dispositivos a través de 11 00:01:07,819 --> 00:01:14,780 la red vale entonces sabéis que la red internet es la red de redes entonces lo que estamos mandando 12 00:01:14,780 --> 00:01:22,200 son paquetes de información entre un cliente y un servidor y estos paquetes de información 13 00:01:22,200 --> 00:01:29,579 pues salen de los ordenadores a través de la red y con ciertos programas los podemos interceptar 14 00:01:29,579 --> 00:01:39,439 y ver un poco lo que tienen o ver por qué host salen, monitorizar un poco el tráfico. 15 00:01:41,019 --> 00:01:51,879 Esto lo que ayuda es a ver anomalías o patrones que se alejan de la normalidad 16 00:01:51,879 --> 00:01:56,780 Entonces podemos detectar ataques antes de que hagan daño, ¿verdad? 17 00:01:58,780 --> 00:02:01,819 Permite entender confluida la información a través de los dispositivos. 18 00:02:02,000 --> 00:02:09,680 La monitorización del tráfico de red permite detectar comportamientos anómonos, prevenir accesos no autorizados y analizar el uso real de los recursos de red. 19 00:02:10,740 --> 00:02:21,620 Por ejemplo, si un dispositivo está abusando de uso de red, igual hay algún problema y está quitando ancho de banda. 20 00:02:21,879 --> 00:02:32,740 Entonces, esta tabla es la misma que tenéis en los contenidos. Aquí los principales son Wireshark y Nagios, que son los conocidos, ¿verdad? 21 00:02:33,560 --> 00:02:42,039 Pero está bien que sepáis las herramientas que se utilizan, un poco para entender lo que se puede hacer a la hora de monitorizar el tráfico. 22 00:02:43,500 --> 00:02:47,400 Punto 2. Seguridad de los protocolos para la comunicación inalámbrica. 23 00:02:51,879 --> 00:02:58,199 Internet o una red se puede acceder a través de un cable, ¿vale? De un Ethernet o a través de Wi-Fi. 24 00:02:59,539 --> 00:03:06,000 Aquí, a través de Wi-Fi, pues tenemos ciertos protocolos para la comunicación inalámbrica, como veis aquí. 25 00:03:07,580 --> 00:03:11,900 Las conexiones inalámbricas, por su naturaleza abierta y accesible, son más vulnerables a un ataque. 26 00:03:12,379 --> 00:03:18,680 Por eso es importante conocer los protocolos de seguridad más comunes, que son estos cuatro, principalmente. 27 00:03:18,680 --> 00:03:44,300 El web, que es el primero, es muy vulnerable. Estos dos primeros no lo utiliza nadie, no lo debería nadie utilizar porque son protocolos antiguos que ya son conocidos por los ciberdelincuentes y si tú tienes una red configurada con estos protocolos va a ser fácil de romper. 28 00:03:44,300 --> 00:03:57,919 Entonces el web, primer protocolo de seguridad wifi, hoy obsoleto y fácilmente vulnerable. El WPA sustituye al web con mejoras pero sigue siendo vulnerable. 29 00:03:57,919 --> 00:04:26,220 Y luego tenemos el VPA2, que es más seguro, pero hay que tener cuidado a la hora de configurarlo, porque ya ha sido craqueado, lo pongo aquí, por el ataque crack, creo que fue en 2016 si no me equivoco, y claro, pues ya una vez que saben cómo craquearlo, pues se vuelve vulnerable. 30 00:04:26,220 --> 00:04:41,620 Entonces tienes que hacer ciertas configuraciones para que prevenir estos ataques. Y luego el más seguro, que es el que principalmente se usa, es el 3. Último estándar, mejor cifrado, protección contra ataques por diccionario y mayor seguridad general. 31 00:04:41,620 --> 00:04:56,519 Los ataques por diccionario ya sabéis que son de fuerza bruta. Es decir, se va probando todas las combinaciones posibles para descifrar una contraseña hasta que se encuentra. 32 00:04:56,519 --> 00:05:05,980 Con la tabla en mente, WEP y WPA son protocolos que no se deben utilizar porque son vulnerables 33 00:05:05,980 --> 00:05:07,199 Lo que hemos dicho 34 00:05:07,199 --> 00:05:11,620 Se debe utilizar WPA3 dado que es el protocolo más actualizado 35 00:05:11,620 --> 00:05:15,319 Y corrige vulnerabilidades todavía presentes en el WPA2 36 00:05:15,319 --> 00:05:20,300 Que puede ser perfectamente seguro pero hay que configurarlo bien dado que es vulnerable al ataque crack 37 00:05:20,300 --> 00:05:26,339 A contraseñas débiles y puede dejar el WPS activado 38 00:05:26,519 --> 00:05:36,870 convirtiéndolo en una puerta trasera seguimos con las redes inalámbricas riesgos comunes sniffing 39 00:05:36,870 --> 00:05:43,649 de paquetes en redes abiertas esto es lo que hemos dicho de la red del mcdonald's no de que tú te 40 00:05:43,649 --> 00:05:50,129 conectas porque te dan las claves entonces si esa red no está cifrada alguien con un website podría 41 00:05:50,129 --> 00:06:01,110 ver lo que estás mandando y adquirir información sensible como contraseñas o datos bancarios etcétera 42 00:06:01,110 --> 00:06:07,889 en wifi abierta sin cifrar o con protocolos inseguros como web los datos se pueden capturar 43 00:06:07,889 --> 00:06:15,089 con herramientas como warsack lo que acabamos de decir verdad ataques de fuerza bruta a contraseñas 44 00:06:15,089 --> 00:06:20,370 débiles los diccionarios que hemos comentado antes también herramientas automáticas que 45 00:06:20,370 --> 00:06:25,230 prueban miles de combinaciones de contraseñas hasta encontrar la correcta especialmente 46 00:06:25,230 --> 00:06:33,170 efectivo contra contraseñas débiles porque claro el diccionario lo primero que pruebas son palabras 47 00:06:34,269 --> 00:06:44,290 palabras que tengan un significado en el idioma del usuario entonces si pones coche 25 pues le 48 00:06:44,290 --> 00:06:50,410 va a ser más fácil va a llegar antes que si pones una contraseña con mayúsculas minúsculas números 49 00:06:50,410 --> 00:06:56,269 caracteres especiales que no tengan ningún sentido entre ellas vale que es ya una construcción más 50 00:06:56,269 --> 00:07:04,149 fuerte lo crea apes o puntos de acceso falsos se crea un punto de acceso wifi con el mismo 51 00:07:04,149 --> 00:07:09,930 nombre que la red legítima donde el atacante tiene control sobre el tráfico entonces pues 52 00:07:09,930 --> 00:07:27,470 Lo típico, si te alojas o si vas al centro comercial de la gavia y te ponen un wifi que se llama la gavia open y dices, jolín, me meto y no me pide contraseña, ¿verdad? 53 00:07:27,470 --> 00:07:35,410 y estás ahí ya dentro de la red. Puede ser una red que alguien ha creado y dentro de esa red él tiene los controles 54 00:07:35,410 --> 00:07:42,370 porque utiliza los protocolos de seguridad que a él le convienen y puede capturar la información que estás utilizando. 55 00:07:44,889 --> 00:07:53,889 Redirección a sitios maliciosos desde redes públicas. Se manipulan las peticiones DNS para redirigir al usuario a sitios web falsos. 56 00:07:53,889 --> 00:08:10,910 Entonces, ¿esto qué quiere decir? Ya sabéis que un DNS, un Domain Name Service, lo que hace es que a la hora de contactar con el servidor, el servidor en realidad no se llama google.com. 57 00:08:10,910 --> 00:08:22,250 Google tiene una dirección IP, ¿vale? Pero nadie se va a estudiar las direcciones IP de las páginas, ¿no? Porque como que no funcionamos así. 58 00:08:22,589 --> 00:08:28,509 Todo el mundo sabe que es google.com, pero si te tienes que memorizar, pues la IP va a ser mucho más complicado. 59 00:08:28,509 --> 00:08:44,110 Entonces un DNS lo que hace es una tabla clave valor en el que ahí está que www.google.com le corresponde un IP. 60 00:08:44,570 --> 00:08:49,909 Entonces tú cuando tecleas google.com pasa el DNS y el DNS le dice, ah pues es esta IP. 61 00:08:49,909 --> 00:09:08,169 En estos ataques, ¿qué es lo que pasa? Que tú tecleas www.google.com y el DNS está como secuestrado. Entonces, en vez de darle el correcto, el público le redirecciona a un DNS que está en control del atacante. 62 00:09:08,169 --> 00:09:33,590 Entonces en vez de mandarle a la IP de Google le manda a una IP de una página que ha creado él. Entonces en vez de ser Google si es el banco Santander pues te va a redireccionar a una IP que es un servidor que el atacante está controlando y ha creado una página web idéntica que la del Santander donde tú vas a poner tus credenciales. 63 00:09:33,590 --> 00:09:44,990 Entonces, luego dirá que ha pasado algún error o cualquier cosa, pero el atacante ya tiene tus credenciales para entrar en la página verdadera, ¿verdad? Pues es así como funciona. 64 00:09:46,190 --> 00:10:01,970 Robo de sesiones y credenciales por conexiones inseguras. Si el usuario accede a sitio web sin HTTPS, aquí lo importante es la S, ¿vale? Porque tú puedes acceder a HTTP a secas. 65 00:10:01,970 --> 00:10:20,090 Entonces eso es una conexión insegura porque no está cumpliendo el protocolo TLS que vamos a ver ahora en este tema. La S lo que representa es que cumple los últimos protocolos de seguridad. 66 00:10:20,090 --> 00:10:24,190 Entonces es una conexión segura 67 00:10:24,190 --> 00:10:25,070 Si no tiene la S 68 00:10:25,070 --> 00:10:28,570 O sea, cuando entráis en una página web 69 00:10:28,570 --> 00:10:31,490 Y sospecháis que no es legítima 70 00:10:31,490 --> 00:10:33,110 Que algo raro está pasando 71 00:10:33,110 --> 00:10:37,090 Lo primero que podéis ver es ir a la URL 72 00:10:37,090 --> 00:10:38,889 Y ver si es HTTPS 73 00:10:38,889 --> 00:10:42,070 Si es HTTP ya hay malo 74 00:10:42,850 --> 00:10:45,070 Y es verdad que algunas páginas de la administración 75 00:10:45,629 --> 00:10:49,409 No tienen el protocolo este 76 00:10:49,409 --> 00:10:51,590 que es el que vamos a ver aquí, ya veréis. 77 00:10:52,490 --> 00:10:53,570 Ah, ese de aquí no está. 78 00:10:55,509 --> 00:10:57,389 Creo que está más bien al final. 79 00:10:58,570 --> 00:10:59,590 Es uno de las tablas. 80 00:10:59,990 --> 00:11:00,509 A ver. 81 00:11:04,840 --> 00:11:05,360 Este. 82 00:11:06,320 --> 00:11:09,580 El SSL TLS. 83 00:11:10,220 --> 00:11:12,200 Utilizado en VPS de acceso remoto, 84 00:11:12,379 --> 00:11:15,919 ofrece cifrado a través del navegador o clientes ligeros. 85 00:11:16,559 --> 00:11:18,320 Especialmente útil para usuarios de móvil. 86 00:11:19,200 --> 00:11:24,659 Aparte de eso, pues se utiliza con los HTTPS, que es lo que le da la seguridad. 87 00:11:26,580 --> 00:11:27,980 Claro, aquí está hablando de VPN. 88 00:11:29,820 --> 00:11:32,360 Pero se utiliza también en la web. 89 00:11:34,200 --> 00:11:35,360 Vale, seguimos. 90 00:11:36,259 --> 00:11:37,500 Seguimos, ¿dónde estamos? 91 00:11:38,600 --> 00:11:39,100 Aquí va. 92 00:11:40,940 --> 00:11:43,299 O no usa una VPN. 93 00:11:43,299 --> 00:12:03,580 Una VPN lo que hace es que te cifra. Si, por ejemplo, estás en una red pública y no está cifrada, si te metes en una VPN, pues eso te protege. El atacante puede capturar información guardadas en las cookies de sesión y tomar el control de su cuenta. 94 00:12:03,580 --> 00:12:10,440 Seguimos, tres, riesgos potenciales de los servidores de red 95 00:12:10,440 --> 00:12:16,620 Un servidor de red es una funcionalidad que ofrece el servidor 96 00:12:16,620 --> 00:12:19,600 Ah, no, son los servicios de red, perdón 97 00:12:19,600 --> 00:12:21,279 Ya decía yo los servidores 98 00:12:21,279 --> 00:12:26,259 Un servicio de red es una funcionalidad que ofrece el servidor a los clientes 99 00:12:26,259 --> 00:12:27,620 ¿Vale? 100 00:12:27,840 --> 00:12:33,539 Entonces internet, ya sabéis, que tú cuando pides, te llamas a Google 101 00:12:33,539 --> 00:12:39,379 tú eres el cliente y desde el cliente que eres tú estás haciendo una petición al servidor 102 00:12:40,379 --> 00:12:46,200 vale que es el de google que es el que tiene los datos y toda la lógica de negocio y el que 103 00:12:46,200 --> 00:12:53,019 va a aceptar o no tu petición y te va y te la va a devolver con los datos pedidos o no todos 104 00:12:53,019 --> 00:13:02,679 usan un protocolo de red normalmente tdp ip y un puerto en concreto vale por ejemplo la 105 00:13:02,679 --> 00:13:05,600 HTTPS es el puerto 443. 106 00:13:09,539 --> 00:13:13,200 Entonces, el HTTPS es un servicio. 107 00:13:13,659 --> 00:13:18,240 Tenemos varios servicios, como veis, principales servicios de red y riesgos asociados. 108 00:13:18,240 --> 00:13:26,600 El DNS, Domain Name System, que ya veis que ya lo hemos explicado, ¿verdad? 109 00:13:26,639 --> 00:13:29,019 Traduce nombres de dominio a direcciones IP. 110 00:13:29,019 --> 00:13:40,299 Tenemos esto del DNS spoofing, que es justo lo que hemos explicado antes, que en vez de utilizar la tabla pública del DNS, pues el atacante utiliza la suya propia. 111 00:13:40,440 --> 00:13:44,019 Entonces les redirige a una IP que no es la correcta. 112 00:13:45,460 --> 00:13:57,740 Luego tenemos el FTP, que es para transferencia de archivos, pero envía datos sin cifrado. 113 00:13:59,019 --> 00:14:03,159 ¿Vale? Susceptible a robo de credenciales, porque está sin cifrar. 114 00:14:05,500 --> 00:14:07,179 Entonces, luego tenemos el TETNET. 115 00:14:08,620 --> 00:14:11,840 Permite conexiones remotas a un dispositivo. Esto es como un TeamViewer. 116 00:14:12,759 --> 00:14:13,980 ¿Vale? Tampoco cifran los datos. 117 00:14:14,740 --> 00:14:19,879 Es para manejar el ordenador desde el tuyo, remotamente. 118 00:14:20,940 --> 00:14:25,179 El HTTP, Protocolo de Navegación Web No Cifrado. 119 00:14:25,179 --> 00:14:33,220 un visitante introduce sus datos personales en una web sin https y son capturados por un 120 00:14:33,220 --> 00:14:40,419 atacante en la misma web exacto porque como no tiene la protección puede hacer un dns spoofing 121 00:14:40,419 --> 00:14:51,179 por ejemplo y te está mandando a una página que no tiene la s del http vale o o te lo envían por 122 00:14:51,179 --> 00:14:55,980 un link cualquier cosa o sea tenemos que intentar navegar sobre todo cuando estamos metiendo datos 123 00:14:55,980 --> 00:15:01,559 sensibles como credenciales estamos utilizando los servicios de nuestros bancos y tal tenemos 124 00:15:01,559 --> 00:15:09,299 que ver que todas las conexiones sean con https los server message brock comparte archivos e 125 00:15:09,299 --> 00:15:15,759 impresora en red explotable si está mal configurado o sin parches vale pues como todo ya sabéis que 126 00:15:15,759 --> 00:15:22,360 tienes que tener las aplicaciones actualizadas si ya no tienes soporte de actualizaciones de 127 00:15:22,360 --> 00:15:27,279 seguridad para esa aplicación pues tendrás que pensar en cambiarla como los móviles como 128 00:15:27,279 --> 00:15:32,919 cualquier otra cosa vale porque los civiles delincuentes se están innovando continuamente 129 00:15:32,919 --> 00:15:46,720 entonces lo que nos lo que nos protege son los parches que las compañías sacan periódicamente 130 00:15:46,720 --> 00:15:54,600 vale como el otro día estuve mirando que de android creo que hay soporte hasta el android 131 00:15:54,600 --> 00:15:59,580 13 entonces si tienes un android 12 eres más vulnerable porque ya no te están dando soportes 132 00:15:59,580 --> 00:16:17,960 Y entonces los ciberdevencuentes lo saben, entonces intentan explotar las vulnerabilidades que encuentran en el Android 12, porque saben que si encuentran una en Android 13, tarde o temprano, Android se dará cuenta y sacará un parche para solucionarlo. 133 00:16:20,360 --> 00:16:26,539 Pero bueno, lo importante es que el Serving Message Packet es para compartir archivos e impresión en red. 134 00:16:26,539 --> 00:16:45,570 Recursos. El técnico debe ser capaz de detectar servicios activos con Nmap, que detecta puertos abiertos que suponen una vulnerabilidad y evaluar el nivel de riesgo según configuración y exposición. 135 00:16:45,570 --> 00:16:53,870 Revisar si el servicio está cifrado, actualizado, protegido por firewall o si accede desde el interior o exterior. 136 00:16:54,289 --> 00:17:01,370 Vale, pues tenemos esta aplicación que es el Nmap, que lo que hace es decirte qué puertos hay abiertos, ¿vale? 137 00:17:01,389 --> 00:17:05,089 Porque los puertos es por donde va a salir la información. 138 00:17:05,670 --> 00:17:12,650 Ya hemos visto que el HTTPS tiene el puerto 443, entonces ese puerto tendrá que estar abierto. 139 00:17:12,650 --> 00:17:30,670 Pero igual hay otros puertos que no necesitas que estén abiertos. Entonces si los cierras tu equipo será menos vulnerable. Y eso lo miramos con enedad. Los puertos que están abiertos para evaluar vulnerabilidades dentro del sistema. 140 00:17:30,670 --> 00:17:35,089 Vale, cuatro, intentos de penetración 141 00:17:35,089 --> 00:17:39,309 Por fuerza bruta, ya lo hemos explicado antes, ¿verdad? 142 00:17:39,670 --> 00:17:45,150 Escaneo de puertos, permite al atacante descubrir que servicios están activos en un sistema o red 143 00:17:45,150 --> 00:17:47,930 A través de herramientas como en ENAV 144 00:17:47,930 --> 00:17:54,789 Se exploran los puertos abiertos para intentar identificar posibles puntos de entrada a flotar 145 00:17:54,789 --> 00:18:00,650 Vale, pues tenemos que ver que servicios son necesarios para que funcione nuestro sistema 146 00:18:00,650 --> 00:18:07,569 qué puertos vamos a utilizar para esos servicios, los cuales tienen que estar abiertos y cuáles no, 147 00:18:08,230 --> 00:18:13,069 los cuales tendrán que estar cerrados, porque si tenemos un puerto abierto que no se está utilizando, 148 00:18:13,890 --> 00:18:17,670 un atacante lo podría utilizar para entrar en el sistema. 149 00:18:19,470 --> 00:18:26,650 Entonces, ¿qué más tenemos? Ingeniería social. No, ingeniería de software no. Es que eso es lo que estudio yo. 150 00:18:26,650 --> 00:18:38,910 Ingeniería social. Vale. Mediante manipulación emocional, urgencia o suplantación, el atacante logra que el usuario revele información confidencial o realice acciones peligrosas sin sospecharlo. 151 00:18:38,910 --> 00:18:57,670 Bien, ¿esto cómo funciona? Yo creo que ya lo he explicado en alguna unidad anterior. Lo que pasa es que te llaman o te envían un WhatsApp o un email y te dicen que tu cuenta bancaria está en riesgo, está expuesta. 152 00:18:57,670 --> 00:19:18,809 O te dicen que tienes una multa, una denuncia o algo de salud, alguna urgencia. ¿Por qué? Porque el ser humano está demostrado que cuando nos ponemos en alerta, cuando algo nos da miedo o nos estresan, no reaccionamos racionalmente. 153 00:19:18,809 --> 00:19:28,589 vale somos más impulsivos miramos las cosas menos entonces claro dicen tu cuenta está expuesta tan 154 00:19:28,589 --> 00:19:37,369 sustraído dos mil euros de la cuenta tan resulta que que el nombre que figura y es el tuyo el dni 155 00:19:37,369 --> 00:19:42,910 también incluso la cuenta entonces confías porque es que te está mandando un mail el santander el 156 00:19:42,910 --> 00:19:51,529 banco santander vale que tiene que tiene todos tus datos entonces tú le das al botón para lo que 157 00:19:51,529 --> 00:19:58,549 arte y metes tu contraseña porque te fías de en ese momento de lo que te están diciendo y 158 00:19:58,549 --> 00:20:06,109 dice jolín y como donde han conseguido mis datos verdad pues es verdad que muchas veces nos llaman 159 00:20:06,109 --> 00:20:12,890 y sin decir prácticamente nada ya les estamos dando mucha información a los atacantes porque 160 00:20:12,890 --> 00:20:23,490 Porque te llaman. Hola, sí, es usted fulanita de tal. Y en vez de decir quién lo pregunta, la gente dice sí. Entonces ya están confirmando. 161 00:20:24,710 --> 00:20:33,809 Vale, este número es de fulanita de tal. ¿Con DNI tal tal y pascual letra tal? Sí, exacto. Ya estás confirmando. 162 00:20:33,809 --> 00:20:48,829 Ya tienen tu nombre completo, tu número de teléfono, tu DNI y encima, como te están llamando y saben tus datos, tú te extrañas en plan de, pues esto es algo serio, ya me conocen, han hecho un trabajo previo. 163 00:20:48,829 --> 00:21:01,549 Bueno, pues ya solo falta que les confirme la cuenta bancaria o que les den más información. Cuanto más información tengan ellos, luego esa información la podrán utilizar en tu contra. 164 00:21:02,009 --> 00:21:11,809 Dándote confianza de, mira, soy tu banco, te lo demuestro porque conozco estas cosas de ti. Estos datos que tú previamente me has dado, ya los tengo yo. Por eso tienes que confiar en mí. 165 00:21:11,809 --> 00:21:27,509 Y encima te estoy diciendo que tienes una urgencia, que ha pasado algo gordo y que te voy a ayudar. Entonces, claro, pues en esos momentos de pánico la gente lo que quiere es solucionar el problema cuanto antes. Y así nos atrapan. 166 00:21:27,509 --> 00:21:44,269 ¿Vale? Inyección de código. Ocurre cuando una aplicación no valida correctamente los datos de entrada y permite que el atacante inserte código malicioso, como SQL o comandos del sistema, que será ejecutado por el servidor o la aplicación. 167 00:21:44,269 --> 00:21:48,799 ¿Vale? ¿Qué es lo que pasa? 168 00:21:49,279 --> 00:21:49,640 Aquí 169 00:21:49,640 --> 00:21:55,380 Imaginaos que estáis rellenando un formulario de internet 170 00:21:55,380 --> 00:22:00,500 ¿Vale? Y ese formulario no tiene protección contra inyección de código 171 00:22:00,500 --> 00:22:07,539 Yo en vez de rellenar el campo nombre y apellidos con Alberto Sierra 172 00:22:07,539 --> 00:22:08,180 ¿Vale? 173 00:22:09,839 --> 00:22:15,000 Pues cojo y le meto una query de SQL contra la base de datos 174 00:22:15,000 --> 00:22:18,920 O le meto un script 175 00:22:18,920 --> 00:22:23,250 Y eso 176 00:22:23,250 --> 00:22:27,190 Cuando le das al botón 177 00:22:27,190 --> 00:22:30,390 Cuando el código lea esa instrucción 178 00:22:30,390 --> 00:22:31,609 Lo va a ejecutar 179 00:22:31,609 --> 00:22:34,869 Porque es código de programación, ¿vale? 180 00:22:37,420 --> 00:22:39,420 Y lo va a ejecutar 181 00:22:39,420 --> 00:22:42,200 Y va a hacer, pues 182 00:22:42,200 --> 00:22:46,400 Funcionalidades maliciosas dentro del programa 183 00:22:46,400 --> 00:22:47,779 ¿Vale? 184 00:22:48,200 --> 00:22:54,279 Como si tiene acceso a internet podrá incluso instalar cosas o hacer referencia a otras páginas web. 185 00:22:54,279 --> 00:23:00,559 O sea, esto cuando una aplicación seria pasa a una auditoría lo prueban. 186 00:23:00,779 --> 00:23:14,900 Prueban que el código esté, que los formularios y todas las cajas de texto y todo donde pueda manipular y escribir a un usuario esté reforzado en contra de la inyección de código. 187 00:23:14,900 --> 00:23:34,720 ¿Vale? Phishing dirigido. Spear phishing. Spear que es lanza, ¿no? Se trata de un ataque personalizado que emplea información real del objetivo para aumentar su credibilidad. El atacante envía correos o mensajes aparentemente legítimos que contienen archivos infectados o enlaces a sitios falsos. 188 00:23:34,720 --> 00:23:54,559 Por justo lo que hemos dicho, ¿verdad? Ya saben, tiene información real nuestra, con lo que dan como más confianza a la hora de atacar. Por eso es un ataque más personalizado, ¿no? Fishing dirigido, que lo llaman aquí. 189 00:23:54,559 --> 00:24:08,859 Vale, entonces contra estos ataques tenemos una serie de herramientas y métodos que pueden ayudar a detectarlos 190 00:24:08,859 --> 00:24:22,430 Como el SNORC, que es famosillo, el IDS, que detecta patrones de ataque en el tráfico de red y genera alertas ante comportamientos sospechosos 191 00:24:22,430 --> 00:24:31,849 sospechosos. Luego tenemos los firewalls, el Wireshark, permite analizar en detalle 192 00:24:31,849 --> 00:24:36,730 el tráfico para identificar patrones o conexiones sospechosas. O sea, el Wireshark no solo se 193 00:24:36,730 --> 00:24:40,910 utiliza para actos maliciosos, también se puede utilizar para hacer el bien. 194 00:24:44,430 --> 00:24:51,869 Seguimos. Seguridad perimetral. ¿Qué es la seguridad perimetral? Son las medidas 195 00:24:51,869 --> 00:24:59,230 implantadas para proteger la frontera de la red interna de la organización y el exterior internet 196 00:24:59,230 --> 00:25:07,490 o redes públicas vale o sea la organización tiene una red interna que no sale a internet directamente 197 00:25:07,490 --> 00:25:12,529 sino que es dentro de la organización porque no hay direcciones ip es para todo el mundo realmente 198 00:25:12,529 --> 00:25:18,650 entonces tú no puedes tener en tu ordenador una dirección ip para ti solo al final dentro de una 199 00:25:18,650 --> 00:25:25,130 organización con 200 ordenadores ellos tienen maneras de no tener que tener 200 direcciones 200 00:25:25,130 --> 00:25:31,890 ip vale sino de virtualizar las las virtualizan y cuando alguien necesita ya salir al exterior 201 00:25:31,890 --> 00:25:38,809 ya le dan una dirección ip real pero tienen una red interna con con ips virtuales entonces esa 202 00:25:38,809 --> 00:25:44,809 es la red interna de la organización y luego está la exterior que es una red pública o internet como 203 00:25:44,809 --> 00:25:50,869 que indica es la que utilizamos todos entonces está como separada la red interna por un lado 204 00:25:50,869 --> 00:25:56,309 y la externa por otro su función es detectar filtrar y bloquear accesos no autorizados 205 00:25:56,309 --> 00:26:07,319 vamos a repasar los elementos entonces el firewall cortafuegos permite o bloquea comunicaciones entre 206 00:26:07,319 --> 00:26:13,740 dispositivos según reglas predefinidas basadas en direcciones ips puertos protocolos y tipos 207 00:26:13,740 --> 00:26:18,460 de tráfico. Entonces 208 00:26:18,460 --> 00:26:20,819 se puede implementar como software 209 00:26:20,819 --> 00:26:22,440 Firewall en Windows y 210 00:26:22,440 --> 00:26:24,740 PTAble en Linux 211 00:26:24,740 --> 00:26:26,420 como hardware o como soluciones 212 00:26:26,420 --> 00:26:27,019 mixtas. 213 00:26:28,759 --> 00:26:30,400 UTM. Unified 214 00:26:30,400 --> 00:26:32,119 Threat Management. Entonces 215 00:26:32,119 --> 00:26:33,960 lo que hace es 216 00:26:33,960 --> 00:26:36,519 controla las conexiones, lo que 217 00:26:36,519 --> 00:26:38,400 estamos enviando entre los dispositivos 218 00:26:38,400 --> 00:26:39,759 de una red interna, por ejemplo. 219 00:26:40,599 --> 00:26:42,539 Y mira a ver 220 00:26:42,539 --> 00:26:44,480 si esas conexiones son legítimas 221 00:26:44,480 --> 00:26:44,779 o no. 222 00:26:44,779 --> 00:26:48,700 según la configuración 223 00:26:48,700 --> 00:26:49,660 que tengas en el firewall 224 00:26:49,660 --> 00:26:52,160 los IDS o IPS 225 00:26:52,160 --> 00:26:54,299 sistemas de detección y prevención de intrusos 226 00:26:54,299 --> 00:26:56,000 estamos los 227 00:26:56,000 --> 00:26:58,859 los de detección de intrusos 228 00:26:58,859 --> 00:27:00,559 los IDS detecta 229 00:27:00,559 --> 00:27:02,420 patrones de ataque o comportamientos 230 00:27:02,420 --> 00:27:04,720 anámonos en el tráfico y genera 231 00:27:04,720 --> 00:27:06,400 alertas como el 232 00:27:06,400 --> 00:27:07,460 SNOR que hemos visto antes 233 00:27:07,460 --> 00:27:10,259 el programa ya este 234 00:27:10,259 --> 00:27:11,740 y luego tenemos 235 00:27:11,740 --> 00:27:13,980 los IPS 236 00:27:13,980 --> 00:27:24,779 Para prevenir. Unos son para detectar y otros son para prevenir. Además de detectar, bloquea automáticamente el tráfico malicioso. 237 00:27:30,119 --> 00:27:41,000 Controladores Wi-Fi y puertos de acceso seguros. Los dispositivos de recién alámbricos deben protegerse mediante protocolos de cifrado VPA2 y VPA3, como hemos visto antes. 238 00:27:41,000 --> 00:28:00,480 El WPA2, con cuidado, hay que configurarlo bien. Control de autentificación, listas de acceso y segmentación de redes. Los controladores WLAN permiten centralizar la configuración y seguridad de múltiples puntos de acceso. 239 00:28:00,480 --> 00:28:06,240 ¿Vale? Esto del WLAN es la virtualización que os he comentado antes 240 00:28:06,240 --> 00:28:10,799 Luego tenemos las zonas desmilitarizadas, las DMZ 241 00:28:10,799 --> 00:28:16,279 Es una subred situada entre la red interna y el exterior 242 00:28:16,279 --> 00:28:20,299 ¿Vale? Es lo que hemos hablado antes 243 00:28:20,299 --> 00:28:24,559 Tenemos una red interna que es la que utiliza dentro de la organización y luego la exterior 244 00:28:24,559 --> 00:28:28,440 ¿Vale? Entonces esto es algo entre medias 245 00:28:28,440 --> 00:28:39,150 donde se colocan servidores que deben estar accesibles desde Internet, como servidores web o de correo. 246 00:28:40,509 --> 00:28:50,490 O sea, desde Internet se puede acceder a servidores que es la zona desmilitarizada, que estará entre la red interna y la externa. 247 00:28:52,349 --> 00:28:59,670 La DMZ aísla estos recursos para evitar que el ataque sobre ellos afecte al resto de la red interna. 248 00:29:00,269 --> 00:29:13,269 Entonces, como se conectan directamente a estos servidores, si hay un ataque le afectará a este servidor, pero este servidor no dará acceso a la red interna. Por eso es la zona desmilitarizada. 249 00:29:13,269 --> 00:29:33,990 Tenemos listas de control de accesos. Estas ya las hemos visto, ¿verdad? Es fácil, ¿no? Las listas de control de accesos, ACLs, permiten definir reglas precisas sobre quién puede acceder a qué recurso, en qué momento, desde qué dirección IP o mediante qué protocolo. 250 00:29:33,990 --> 00:29:44,950 Son fundamentalmente para aplicar el principio de mínimo privilegio. Mínimo privilegio porque cuanto menos gente hace de los recursos, menos problemas tendremos. 251 00:29:46,390 --> 00:30:00,950 Bien, seguimos. Sistemas de monitorización perimetral. SIEM, sondas y logs. Permiten observar y registrar el tráfico y comportamiento en el perímetro de red. 252 00:30:00,950 --> 00:30:18,660 Un SIEM, Security Information and Event Management, correlaciona eventos de múltiples fuentes, eventos que ha despertado en el firewall, antivirus, servidores y ayuda a detectar amenazas de forma centralizada. 253 00:30:18,660 --> 00:30:39,960 Vale, como que analiza lo que está pasando en todos estos servicios de detección y prevención de ataques y centralizadamente detecta la amenaza, con toda la información que le está viniendo desde todos estos canales. 254 00:30:40,880 --> 00:30:58,420 Seguimos. Bastionado de sistemas. Hardening. Consiste en reducir al mínimo la superficie de ataque de un sistema, eliminando servicios innecesarios, desactivando puertos no utilizados, cambiando configuraciones por defecto y aplicando políticas de seguridad estrictas. 255 00:30:58,420 --> 00:31:11,380 Vale, pues lo que hemos visto antes, ¿verdad? Con el NNAP, que hay que ver los puertos y los servicios que estamos utilizando para minimizar problemas. 256 00:31:13,880 --> 00:31:14,559 Vale. 257 00:31:18,579 --> 00:31:27,200 Políticas de acceso y autentificación. Establecer cómo, cuándo y quién puede acceder a la red o servicios y con qué credenciales. 258 00:31:27,200 --> 00:31:35,519 Deben implementarse sistemas de autentificación segura con doble factor o certificados digitales especialmente en accesos remotos. 259 00:31:36,460 --> 00:31:39,640 Prevención de fugas de datos. 260 00:31:40,319 --> 00:31:41,460 Data loss prevention. 261 00:31:42,500 --> 00:31:50,400 Tecnologías que identifican, controlan y bloquean la salida no autorizada de información sensible desde la red hacia el exterior. 262 00:31:51,500 --> 00:31:55,039 Ya sea por correo, almacenamiento en la nube o dispositivos externos. 263 00:31:55,680 --> 00:32:08,720 Segmentación de red o VLANs. La segmentación permite dividir la red en zonas lógicas o físicas, lo que limita la propagación de ataques y facilita el control de tráfico. 264 00:32:09,319 --> 00:32:15,579 Es especialmente útil para separar áreas críticas, invitados o servidores públicos del resto de la red. 265 00:32:15,579 --> 00:32:18,240 vale, es la virtualización 266 00:32:18,240 --> 00:32:20,579 como habíamos 267 00:32:20,579 --> 00:32:22,279 hablado antes 268 00:32:22,279 --> 00:32:24,740 vale, este tema 269 00:32:24,740 --> 00:32:25,900 como veis es ya 270 00:32:25,900 --> 00:32:27,539 un poco más denso 271 00:32:27,539 --> 00:32:30,680 porque vamos por la 5, son 13 272 00:32:30,680 --> 00:32:32,200 ¿verdad? ya llevamos media hora 273 00:32:32,200 --> 00:32:34,099 pero bueno, vamos 274 00:32:34,099 --> 00:32:36,500 vamos a seguir 275 00:32:36,500 --> 00:32:42,339 vamos a dar un poquillo más y luego 276 00:32:42,339 --> 00:32:43,940 lo corto y así es 277 00:32:43,940 --> 00:33:00,140 Es más o menos, yo creo. Vale, venga, vamos a hablar un poco de las zonas desmilitarizadas y cortamos aquí y seguimos el siguiente vídeo por el capítulo 7 que más o menos será la mitad. 278 00:33:01,980 --> 00:33:12,500 Zonas desmilitarizadas. Una arquitectura segura de red se basa en dividir la red en zonas con diferentes niveles de confianza y reglas específicas para cada uno. 279 00:33:13,940 --> 00:33:26,880 Vale, entonces dividimos la red. Dependiendo de lo sensible que sea esa red o no, va a tener unas reglas u otras. Vamos a ver las tres zonas fundamentales. 280 00:33:27,400 --> 00:33:38,140 Zona externa, Internet. Luego está la interna, que es la red corporativa y la zona desmilitarizada, que es un servidor que está en medio, como hemos hablado antes. 281 00:33:38,140 --> 00:33:54,119 La externa, red pública no confiable. Todo tráfico procedente de esta zona debe filtrarse estrictamente. Porque es tráfico que viene de fuera y no sabemos, o sea, es tráfico que no controlamos realmente. 282 00:33:54,119 --> 00:34:09,000 ¿Vale? Que puede ser malicioso o no. Luego la zona desmilitarizada, su red aislada donde se colocan servicios públicos. Esta está expuesta pero aislada tanto de internet como de la LAN. 283 00:34:09,940 --> 00:34:19,300 O sea, aquí a estos servidores sí que les pueden atacar, pero no pertenecen ni a Internet ni a la red interna. 284 00:34:20,039 --> 00:34:27,739 Entonces el ataque se quedará ahí, no entrará en la red interna, que es donde tenemos los datos sensibles, como aquí dice. 285 00:34:28,380 --> 00:34:32,500 Red interna, contiene todos los sistemas y datos sensibles, debe estar completamente protegida. 286 00:34:32,900 --> 00:34:35,719 Entonces si viene un ataque, el ataque será en la zona desmilitarizada. 287 00:34:35,719 --> 00:34:46,719 Es importante controlar el tránsito de datos entre las capas, desde Internet hacia la zona desmilitarizada, de la zona desmilitarizada a la red interna o viceversa. 288 00:34:47,420 --> 00:34:57,719 Y las reglas son, de Internet a la zona desmilitarizada, desde Internet solo se permite el tráfico HTTPS, que es el puerto 443, 289 00:34:57,719 --> 00:35:04,719 hacia el servidor web de la empresa ubicada en la zona desmilitarizada. 290 00:35:05,719 --> 00:35:20,139 Todos los demás están bloqueados por el firmware. El firmware está bloqueando los puertos para que no entren otros servicios. Entonces, a la zona desmilitarizada solo van a entrar por el puerto que utiliza el servicio HTTPS. 291 00:35:20,139 --> 00:35:42,250 Luego desde la zona desmilitarizada a la red interna, desde la zona desmilitarizada solo se permite salida DNS y HTTP y acceso puntual a una base de datos en la LAN. 292 00:35:42,250 --> 00:35:58,650 Por ejemplo, el servidor web, tras una autentificación, necesita consultar datos en la base de datos en la DAD. Se permite la conexión únicamente por el puerto 3306 de MySQL y solo desde un IP concreto, usando credenciales de solo lectura. 293 00:35:58,650 --> 00:36:22,690 Como veis está todo como muy matizado, muy bien configurado en plan de que si desde la zona desmilitarizada necesitamos acceder a ciertos datos pues depende de cómo se accedan le daremos permiso para acceder en un puerto en concreto a una IP en concreto con unos permisos en concreto y no da más. 294 00:36:22,690 --> 00:36:29,090 Luego desde la red interna, desde la LAN, hacia la zona desmilitarizada 295 00:36:29,090 --> 00:36:34,809 Desde la LAN se permite gestionar el servidor de correo de la zona desmilitarizada 296 00:36:34,809 --> 00:36:38,369 desde IPs autorizadas y con autentificación 297 00:36:38,369 --> 00:36:45,809 Por ejemplo, un técnico sube archivos desde su estación de trabajo en la red interna 298 00:36:45,809 --> 00:36:52,449 a un servidor FTP ubicado en la zona desmilitarizada para que un proveedor externo los descargue 299 00:36:52,690 --> 00:36:58,650 La conexión está habilitada solo para SIP y solo en un rango horario determinado. 300 00:36:59,610 --> 00:37:04,849 Todo muy medido y configurado para que no haya problemas. 301 00:37:06,329 --> 00:37:08,389 Y acceso desde Internet a la LAN directo. 302 00:37:08,389 --> 00:37:16,289 Se bloquea cualquier intento de acceso directo desde Internet hacia los servidores internos como LRP, sistemas de nóminas o impresores de red. 303 00:37:16,750 --> 00:37:20,389 Si alguien intenta escanear puertos desde fuera, el firewall lo descarta automáticamente. 304 00:37:20,389 --> 00:37:27,769 O sea, que desde la red externa no hay acceso directo a la interna. Tiene que pasar siempre por la zona desmilitarizada. 305 00:37:28,789 --> 00:37:35,070 ¿Vale? Bueno, pues yo creo que es bastante ya para un primer vídeo, ¿verdad? 306 00:37:36,730 --> 00:37:43,130 Haré otro vídeo con el resto de la unidad y lo dejamos aquí por el momento. 307 00:37:43,530 --> 00:37:47,590 ¿Vale? Pues venga. Gracias por atender. Adiós.