Una primera instancia y de gran importancia

Una primera instancia y de gran importancia, es definir la criticidad de la infraestructura que se va a auditar. No es lo mismo un entorno de producción que debe estar on-line continuamente que un entorno de preproducción que puede sufrir caídas esporádicas debido a los ataques que estamos realizando como auditores.

Para relacionar estas buenas prácticas en el desarrollo de nuestros proyectos, nos basaremos en los 4 pilares claves de la seguridad:

• Confidencialidad
• Disponibilidad
• Integridad
• No repudio

Vayamos a la primera de ella. La confidencialidad es muy importante en garantizar al cliente que toda la información a la que pueda tener acceso al auditor, ya sea por el éxito de sus pruebas o por la información que le haya podido aportar al cliente de forma previa a las pruebas, quedará cerrada completamente.

Vayamos con la Integridad. Durante los ataques del auditor se puede llegar a ver afectada la información de las maquinas o servicios del cliente. Por ello, es muy importante, que el auditor sea una persona con experiencia que sepa garantizar que todos los activos auditados queden íntegros y la información contenida en los mismos permanezca como el primer día.

Por tercero, la disponibilidad. Habrá que tener especial cuidado con las posibles denegaciones de servicio que se produzcan intencionada o no intencionadamente sobre los servicios del cliente. Para ello habrá que prever posibles ataques que puedan poner en jaque a estos servicios y ubicar ventanas horarias de baja actividad en la infraestructura del cliente o que puedan tener un impacto menor en la misma para enfocar estos ataques.

Por último, con la cuarta propiedad de No repudio, se suele recurrir a facilitar las direcciones IP desde la que se emitirán los ataques al cliente. De esta forma, esta parte sabrá distinguir de donde vienen los ataques que podrían provenir de intrusos reales frente a aquellos que vengan del equipo de auditores. Y por tanto serán autorizados y no deben ponerse en alerta. Así mismo, esta misma estrategia de facilitar las direcciones IP nos servirá para otros objetivos como puede ser facilitar reglas de firewalls o sistemas de detección o prevención intrusos de forma que se facilite esas pruebas de supuestos ataques y no tengamos trabas intermedias hacia los activos a auditar.

Por último, para entornos críticos o de alta sensibilidad podría recurrirse incluso a la captura de los tramos de red. De esta forma se tendría un control exhaustivo del tráfico generado durante las pruebas realizadas por el equipo auditor y así el cliente podrá discernir sencillamente, cual es el tráfico autorizado frente al no autorizado. Así mismo podría incluso llegar a enumerar las pruebas que se han realizado durante este tiempo.

Por último, como resultado de todas esas pruebas, veremos la composición de los informes. Estos informes suelen dividirse de forma general en informes técnicos e informes ejecutivos.

Los informes técnicos son aquellos que describen con todo lujo de detalles las pruebas realizadas así como los resultados obtenidos. Y suelen ir orientados a programadores, administradores de sistemas y en general a todo aquel personal implicado en la corrección de las vulnerabilidades detectadas.

Por otro lado, los informes ejecutivos suelen recurrir más a diagramas o graficas que permitan de una forma rápida tener una precepción del estado general de la seguridad de los activos auditados. 

Buenos días a todos,

He estado leyendo todos vuestros comentarios y me parece que la participación en este curso estará bastante buena. Bien dicho esto comentaros unas cuantas cosas:

1. Es correcto que cada vez más se ve un auge y necesidad en todo lo relacionado con la seguridad informática, por lo que este curso junto con los otros 3 que se engloban en la certificación intentan adentrar al estudiante en una temática del mundo de la seguridad informática.

2. El hacking ético es algo fundamental en la seguridad informática o la cyber seguridad, es importante tener los conceptos bases, los cuales se explican en este curso y los siguientes para seguir avanzando.

3. Recordaros que como bien comento Actino el panel es para discutir la cuestión planteada en el foro de debate, esto no quiere decir que no nos podamos extender en el conocimiento de la cuestión planteada.

Por lo mismo os pregunto:

¿Según lo leído e investigado, cual creéis que es la diferencia entre una auditoria acotada y una auditoria eficaz? ¿Creéis que es factible la eficacia de acotar una auditoría de sistemas a un plano concreto de un sistema?

Si os parece nos centramos primero en estos temas y vamos avanzando.

-Introducción al footprinting

-ICANN

-IANA

-¿Qué saben los buscadores?

-Google Hacking

-GHDB

-BHDB

-SHODAN

-El sitio web

-Emails y otras fuentes

-Metadatos

-Maltego

Hola, bienvenidos al Módulo II Seguridad en redes – Protocolos de aplicación, el cual forma parte del curso 2 Seguridad en redes. En este nuevo módulo vamos a introducir unos conceptos de los protocolos utilizados para las aplicaciones. Además se describirá el protocolo de aplicación más utilizado como es HTTP. Concretamente, introduciremos el módulo con unos conceptos sobre redes a un mayor nivel o capa superior al Módulo I “Seguridad en redes TCP/IP”, específicamente a nivel de aplicación, detallando el paradigma de Cliente-Servidor ampliamente utilizado. Posteriormente, se distinguirá entre servicio TCP y UDP como medios o métodos de conexión, para llegar a detallar el protocolo de aplicación HTTP para entornos web. Para ello se describirá cómo se comunican los sistemas cliente-servidor a través del envío de solicitudes y recepción de respuestas. Por último, navegaremos por el concepto de web caching y las redes P2P.

Hola. Bienvenidos al video explicativo correspondiente al Módulo 2 del curso de Seguridad en redes – Protocolos de Aplicación. Un tema fundamental de este módulo ha sido el protocolo HTTP. Pero este protocolo no es el adecuado o no es seguro para el envío de información confidencialidad. Por ello, se creó el protocolo HTTPS (Hypertext Transfer Protocol Secure) el cual implementa un nivel de cifrado a la información sobre el protocolo HTTP. Utilizando este protocolo, la información sensible enviada, en el caso de ser interceptada por un ajeno, estará cifrada. Pero no por su uso, estamos seguros, ya que el nivel de protección que ofrece depende de la corrección de la implementación del navegador web, del software y de los algoritmos criptográficos soportados. El esquema que implementa HTTPS es llamado SSL (Secure Socket Layer). Este protocolo criptográfico es empleado para realizar conexiones seguras entre un cliente y un servidor proporcionando no sólo mayor confidencialidad e integración a la información que viaja a través de las redes, sino además autentica de forma única a los integrantes de dicha comunicación. Los conceptos básicos para el entendimiento de SSL son:
• Certificado de Seguridad. • Autoridad de Certificación (CA, Certification Authority). • Cifrado, autentificación y verificación. 
Un Certificado de Seguridad o un Certificado de clave pública es un documento electrónico firmado por una autoridad certificadora que tiene el propósito de validar la unión entre la identidad de la organización que envía un mensaje en las redes y una clave pública que asocia la información con su emisor. Los datos acerca de la identidad digital de la Organización incluyen como mínimo un nombre de dominio, y el navegador del cliente comprueba que la URL que aparece en su barra de direcciones se encuentra en el dominio identificado por el Certificado de Seguridad. La clave pública de la Autoridad de Certificación es utilizada para verificar su firma en un certificado. Si el certificado es válido y el dominio que contiene incluye la URL que aparece en la barra de direcciones del navegador, el navegador mostrará el ícono de un candado, que indica que una conexión segura se ha establecido entre el navegador y el sitio web. La Autoridad de Certificación o de Confianza es un Tercero responsable de la emisión de los Certificados Digitales. La CA acepta solicitudes de certificados de operadores de sitios web que proporcionan la información sobre su identidad para incluirla en el Certificado. La CA con sus procesos de autentificación y verificación, comprueba la exactitud y la aplicabilidad de los datos de identificación antes de emitir el Certificado de Seguridad. Para obtener un certificado de este tipo, hay que cumplir una serie de requisitos que son especialmente estrictos en el caso de los certificados SSL con Extended Validation (EV), lo que hace que éstos sean los más confiables que existen. De esta forma, los Certificados SSL contienen ciertos datos sobre la identidad de una persona, Organización o sitio web. Si una persona que está visitando su sitio web desea ver dicha información, sólo tiene que hacer click en el símbolo del candado o en la marca de confianza. En el caso de los Certificados EV, los datos de la Organización propietaria del dominio son desplegados automáticamente al lado de la barra URL cuando se inicia una sesión segura. Otro de los Conceptos básicos SSL, es el cifrado, proceso que prevé la confidencialidad e integridad de los datos que viajan en cualquier dirección entre el navegador y el sitio web. Esto significa que la información confidencial que se intercambia mediante el sitio web sólo será accesible a su legítimo destinatario. El cifrado evita que se modifique el contenido de los mensajes, y su potencia se expresa en bits. Actualmente se consideran seguros los que tienen más de 128 bits, aunque según la evolución de la capacidad de cómputo de las máquinas, probablemente esta cantidad deberá de aumentar en poco tiempo. Un ejemplo siguiente de cómo se utilizan los certificados digitales para establecer una sesión de SSL es el que vamos a explicar a continuación. 
1. El cliente solicita establecer una sesión de SSL con el servidor.
2. El servidor inicia el protocolo de reconocimiento de SSL. El cliente cifra la información utilizando su clave privada y envía su certificado junto con la clave pública correspondiente al cliente.
3. El servidor recibe el certificado procedente del servidor y verifica que esté firmado por una autoridad de certificación (CA) fiable. Si el certificado está firmado por una CA fiable, el cliente puede opcionalmente extraer algo de información (tal como el nombre distinguido) almacenada en el certificado y realiza comprobaciones de autenticación adicionales sobre el servidor.
4. En este momento, el proceso servidor se ha autenticado, y el proceso cliente inicia su parte del proceso de autenticación, es decir, el cliente cifra la información utilizando su clave privada y envía el certificado junto con su clave pública al servidor.
5. El servidor recibe el certificado procedente del cliente y verifica que esté firmado por una autoridad de certificación (CA) fiable.
6. Si el certificado está firmado por una CA fiable, el servidor puede opcionalmente extraer algo de información (tal como el nombre distinguido) almacenada en el certificado y realiza comprobaciones de autenticación adicionales sobre el servidor.

...