anatomia de ataque informatico

Anatomía de ataques informáticos Gabriel Díaz Orueta

1

Gabriel Díaz Orueta

Anatomía de los ataques informáticos y medidas técnicas preventivas

Anatomía de ataques informáticosGabriel Díaz Orueta

2

1- Introducción2- Anatomía de un ataque3- Principales vulnerabilidades

Anatomía de los ataques informáticos y medidas técnicas preventivas


3

1- Introducción


4


5


6

Introducción

• Cualquiera puede ser objetivo de un ataque

• No solo son susceptibles los PC, también móviles, PDAs, etc.

• Internet es un territorio hostil

• Los atacantes tienen intereses económicos

¿Qué es seguridad?

• La seguridad absoluta es indemostrable. Se habla de fiabilidad

• Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability):

– Confidencialidad: Sólo pueden acceder a los recursos de un sistema los agentes autorizados

– Integridad: Los recursos del sistema sólo pueden ser modificados por los agentes autorizados

– Disponibilidad: Los recursos del sistema tienen que estar a disposición de los agentes autorizados (contrario: denegación de servicio)

– Y más…Autenticación y autorización

7Anatomía de ataques informáticos Gabriel Díaz Orueta

¿Qué queremos proteger?

• Los recursos del sistema– Hardware

– Software

– Datos

• Tipos de ataque a los recursos:– Interrupción: el recurso queda inutilizable o no disponible

– Interceptación: captura de un recurso o acceso al mismo

– Modificación o destrucción: Interceptación y manipulación del recurso

– Fabricación: generación de recursos similares a los atacados


¿De qué nos queremos

proteger?• De todos aquellos agentes que puedan atacar a

nuestros recursos

– Personas: empleados, ex-empleados, curiosos,

piratas, terroristas, intrusos remunerados

– Amenazas lógicas: software defectuoso,

herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de

Troya, programas conejo, técnicas salami

– Catástrofes


Algunos ejemplos:

Personas• Un ex-empleado se cuela en la organización después de

ser despedido. Borra todos los expedientes relacionados con los proyectos en los que trabajó

• Un empleado instala el e-mule en su ordenador. Entre los archivos descargados está un fichero infectado. Cuando intenta visualizarlo infecta su ordenador. La infección se extiende a todos los ordenadores de su departamento

• Un empleado entra a la zona privada de la Web corporativa desde un ciber-café durante su vacaciones. Pulsa sin darse cuenta en el botón de recordar clave. Su clave queda almacenada. Desde dicho ordenador extraen los datos personales de todos los empleados de la empresa


Algunos ejemplos:

Catástrofes

• Un rayo genera una sobre tensión en la red eléctrica. El servidor central de la empresa se ve afectado y su disco duro deja de funcionar

• Al poner un archivador en una estantería el administrador de sistemas empuja un bote de refresco empuja y este cae sobre un servidor. La placa se quema


¿Cómo nos podemos

proteger?

1. Análisis de amenazas

2. Evaluación de (posibles) pérdidas y su probabilidad

3. Definición de una política de seguridad

4. Implementación de la política: mecanismos de seguridad

- De prevención: durante el funcionamiento normal del sistema

- De detección: mientras se produce un intento de ataque

- De recuperación: tras un ataque, para retornar a un funcionamiento correcto: Análisis forense


Vulnerabilidad

La vulnerabilidad de una organización depende de:• El grado de publicidad de la organización• El coste de los ataques• La exposición de la organización a los ataques externos• La exposición de la organización ante ataques internos, o ante la

facilitación de servicios (involuntaria o consciente) desde el interior

En definitiva, depende de la:• Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o

destruir información?• Confianza: ¿En qué medida se puede contar con los usuarios?


Amenazas

Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos

• ¿Los malos van a tratar de actuar sobre mi sistema?• ¿Puede ocurrir que elementos no deseados accedan (leyendo o

modificando) información importante para mi organización?• ¿Puede ocurrir que la reputación de mi organización se vea

comprometida?


Tipos de amenazas

• Fallo de componentes (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo

• Exposición de la información: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas...

• Utilización de la información para usos no previstos. Puede venir del exterior o del interior

• Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad

• Penetración: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios...

• Suplantación: Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la organización


Algunos ejemplos de

amenazas lógicas

• Virus. secuencia de código maligna que se inserta en un fichero ejecutable (huésped)

• Gusano. Programa capaz de ejecutarse y propagarse por si mismo a través de la red. Puede contener un virus

• Caballo de Troya. Instrucciones desconocidas en un programa para realizar tareas ocultas

• Programa conejo o bacteria. No hace nada útil. Se dedican a reproducirse hasta que acaban con los recursos del sistema

• Técnica salami. Se aplica a sistemas que manejan dinero. Extrae pequeñas cantidades en las transacciones que transfiere a una cuenta

• Puertas traseras. Atajos que se construyen los programadores para evitar los sistemas de seguridad en la fase de “testing”

• Canales ocultos. Canales que evitan los sistemas de seguridad y monitorización


Ejemplos de signos de

ataque• El sistema se para• Discrepancias en la información sobre las cuentas (p. ej.

/usr/admin/lastlog disminuye a veces)

• Intentos de escritura en los ficheros del sistema• Algunos ficheros desaparecen

• Denegación de servicio (el sistema pasa a monousuario, y ni siquiera el administrador puede entrar)

• Las prestaciones del sistema son inexplicablemente bajas

• Sondas sospechosas (logins incorrectos repetidos desde otro nodo)


Ejemplos de signos de

ataque• Logins desde lugares o a horas no habituales• Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.)• Cambios en los ficheros de claves, listas de grupos, etc.• Cambios en ficheros de configuración del sistema, en bibliotecas,

en ejecutables, etc.• Cambios en los datos: páginas WWW, servidores FTP, applets,

plugIns, etc.• Herramientas dejadas atrás por el atacante: Caballos de Troya,

Sniffers, etc.• Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail)

no justificables• Interfaces de red en modo promiscuo


Ejemplos de agujeros en

la seguridad

• Claves fáciles de adivinar, o claves por defecto• Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de

grupo• Servicios no seguros mal configurados (tftp, sendmail, ftp)• Servicios no seguros e inútiles (finger, rusers, rsh)• Ficheros de configuración de la red o del acceso no seguros

(entradas + en configuración NIS)• Consolas inseguras• Protección de acceso y propiedad de ficheros sensibles mal

configurada• Versiones no actualizadas del sistema operativo• Conexiones telefónicas inseguras• Política de copias de seguridad inexistente o mal diseñada


Contramedidas• Identificación y Autenticación (I&A). Procedimiento por el

que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos:– Estática (username/password)– Robusta (claves de un solo uso, firmas electrónicas)– Continua (firmas electrónicas aplicadas a todo el contenido de la

sesión)

• Control de la adquisición y actualización del software. Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias

• Cifrado. Proporciona confidencialidad, autenticidad e integridad

• Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc


Contramedidas

• Gestión de incidentes. Detección de ataques, históricos, control de integridad, etc

• Acciones administrativas. Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc

• Formación. Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc



22

2- Anatomía de un ataque

CPU

Clasificación

• Según el origen:

– Externo. Realizados desde el exterior del sistema

– Interno. Realizados desde el interior del sistema

• Según la complejidad:

– No estructurado. No coordinan diferentes

herramientas o fases. Suelen ser inocentes

– Estructurado. Se enfocan como un proyecto. Tienen

diferentes fases y utilizan diferentes herramientas de

forma coordinada. Son los más peligrosos


Anatomía de un ataque

Búsqueda

Rastreo

Enumeración

Acceso

Obtención de privilegios

Pilfering

Borrandolas huellas

Puertastraseras

Denegaciónde servicio


Anatomía de un ataque.

Búsqueda

• Objetivo– Recogida de información, ingeniería social,

selección de rangos de direcciones y espacios de nombres

• Técnicas– Búsquedas en información pública

(Google: nombre -> URL)

– Interfaz Web a whois

– ARIN, RIPE whois

– DNS zone transfer (nslookup)

– Reconocimiento de redes (traceroute)


Ejemplo de búsquedaNombre empresa

Dominio

Web

Información sobre el dominio26Anatomía de ataques informáticos


$TTL 86400

@ IN SOA dominio_ejemplo.org. postmaster.dominio_ejemplo.org. (

42 ; serial

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

@ IN NS ns1.dominio_ejemplo.org.

@ IN NS ns2.dominio_ejemplo.org.

@ IN MX 10 mx1.dominio_ejemplo.org.

@ IN MX 20 mx2.dominio_ejemplo.org.

@ IN TXT "dominio_ejemplo.org"

@ IN HINFO "Intel Pentium IV" "Fedora Core"

@ IN A 215.127.55.12

ns1 IN A 214.125.33.41

ns2 IN A 215.127.55.12

mx1 IN A 215.127.55.12

mx2 IN A 214.125.33.41

www IN A 215.127.55.12

www2 IN A 215.127.55.12

webmail IN A 215.127.55.12

smtp IN A 215.127.55.12

redirect IN CNAME dominio_ejemplo.no-ip.info

Transferencia de zona

• Un servidor de nombres primario (secundario) transfiere toda su base de datos a un servidor secundario

Primario Secundario

Transferencia de zona

Definición de zona

nombre IP

Se pueden conseguir las IPs activas en el dominio27Anatomía de ataques informáticos



Búsqueda

• Contramedidas

– Control del contenido de la

información pública

– Precaución con la información de

registro

– Seguridad en DNS (p. ej. no permitir

las transferencias de zona)

– Instalación de sistemas de

detección de intrusiones (NIDS)



Rastreo (scanning)

• Objetivo– Identificación de equipos y servicios.– Selección de los puntos de entrada más

prometedores

• Técnicas– Ping sweep (fping, nmap)– Consultas ICMP (icmpquery)– TCP/UDP port scan (Strobe, udp-scan,

netcat, nmap, SuperScan, WinScan, etc.)– Detección del sistema operativo (nmap,

queso)– Herramientas de descubrimiento automático

(Chaos)


Ejemplo de rastreo

fping

Una vez que sabemos las IPs o

los nombres podemos saber si

están activas

Siguiente paso … ¿qué puertos

tienen abiertos?



Rastreo

• Contramedidas– Herramientas de detección de ping

(Scanlogd, Courtney, Ippl, Protolog)

– Configuración adecuada de los routers de frontera (access lists)

– Cortafuegos personales, herramientas de detección de rastreo (BlackICE, ZoneAlarm)

– Desconectar servicios inútiles o peligrosos



Enumeración

• Objetivo– Descubrir cuentas de usuario válidas y recursos

compartidos mal protegidos

• Técnicas– Listados de cuentas (finger)

– Listados de ficheros compartidos (showmount, enumeración NetBIOS)

– Identificación de aplicaciones (banners, rpcinfo, rpcdump, etc.)

– NT Resource Kit

• Contramedidas– Las del rastreo

– Control del Software

– Formación de los usuarios


Ejemplo

HTTP/1.1 400 Bad RequestDate: Mon, 04 Feb 2008 11:15:13 GMTServer: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch4 mod_ssl/2.2.3 OpenSSL/0.9.8cContent-Length: 360Connection: closeContent-Type: text/html; charset=iso-8859-1

www.inforg.uned.es nslookup 156.35.131.170

telnet 156.35.131.170 80

Sabemos que el servicio Web está activo,

Que el servidor Web es Apache

Que el SO es Debian



Acceso

• Objetivo– Ya disponemos de información suficiente

para intentar un acceso documentado al sistema

• Técnicas– Robo de passwords (eavesdroping) y

crackeado de passwords (Crack, John the Ripper)

– Forzado de recursos compartidos– Obtención del fichero de passwords– Troyanos y puertas traseras (BackOrifice,

NetBus, SubSeven)– Ingeniería social



Acceso

• Contramedidas– Control de las actualizaciones del

software

– Control en la instalación o ejecución de aplicaciones

– Cortafuegos personales, detección de intrusiones

– Educación de los usuarios (selección de buenas passwords)

– Auditoría e históricos



Obtención de privilegios

• Objetivo– Obtener permisos de administrador a partir

de los permisos de usuario

• Técnicas– Vulnerabilidades conocidas

– Desbordamiento de buffers, errores en el formato de cadenas, ataques de validación de entradas

– Capturadores de teclado

– Las del acceso

• Contramedidas– Las del acceso



Pilfering

• Objetivo– Nueva búsqueda de información para

atacar a otros sistemas de confianza

• Técnicas– Evaluación del nivel de confianza (rhosts,

secretos LSA)

– Búsqueda de passwords en claro (bases de datos, servicios Web)

• Contramedidas– Las del acceso

– Herramientas de monitorización de red

– Actuaciones en el nivel de arquitectura



Borrando las huellas

• Objetivo– Una vez que se tiene el control total del

sistema, ocultar el hecho al administrador legitimo del sistema

• Técnicas– Limpieza de logs

– Ocultación de herramientas

– Troyanos y puertas traseras

• Contramedidas– Gestión de históricos y monitorización, a

nivel de red y a nivel de host.

– Control del SW instalado


Anatomía de un ataque.Creación de puertas traseras

• Objetivo– Permiten a un intruso volver a entrar en un

sistema sin ser detectado, de la manera más rápida y con el menor impacto posible

• Técnicas– Cuentas de usuario ficticias, robadas o inactivas

– Trabajos batch

– Ficheros de arranque infectados, librerías o núcleos modificados

– Servicios de control remoto y caballos de Troya (Back Orifice)

– Servicios de red inseguros (sendmail, rhosts, login, telnetd, cronjob)

– Ocultación del tráfico de red y ocultación de procesos


Anatomía de un ataque.Creación de puertas traseras

• Contramedidas

– Básicamente, las del acceso

(control riguroso del SW ejecutado, monitorización de los accesos,

sobre todo a determinados puertos, cortafuegos personales, etc.)

– Búsqueda de ficheros sospechosos (nombres por defecto de las puertas

traseras)



Denegación de servicio

• Objetivo– Si no se consigue el acceso, el atacante

puede intentar deshabilitar el objetivo

• Técnicas– Inundación de SYNs

– Técnicas ICMP

– Opciones TCP fuera de banda (OOB)

– SYN Requests con fuente/destino idénticos

• Contramedidas– Configuración cuidadosa de los cortafuegos

y routers


Ejemplo de ataque DDOS

• Ataque por denegación de servicio distribuido (DDOS)

Máquina origen

Zombi

Máquina objetivo


Ejemplo de ataque: DDOS

• Muy eficaz. Deja rápidamente a la máquina

fuera de combate

• Difícil de parar. Si los zombies están bien

elegidos estarán en diferentes subredes. Será

complicado cortar el flujo de tráfico

• No tiene demasiada complejidad. Es suficiente

enviar algún tipo de paquetes que colapsen el

servidor. No se necesita tener acceso al objetivo


Ejemplo de ataque:

Phishing bancario• Basado en la idea del CazaBobos

• Se rastrean páginas Web localizando direcciones de correo…o se “alquilan” los servicios de una botnet.

• Se hace un mailing a dichas direcciones– Se disfraza la página Web haciendo parecer la de un banco

– Se solicita entrar una dirección para solucionar un posible problema de seguridad (algo que llame la atención al usuario para que acceda)

– Aunque el texto del enlace parece real, la dirección con la que conecta es la del presunto atacante


Ejemplo de ataque:

Phishing bancario

Dirección real: http://rumager.com/...Dirección diferente

Protocolo no seguro


Ejemplo de ataque:

Phishing bancario• Entramos en la página

• Nos pide el nombre de usuario y la contraseña

del supuesto banco

• La introducimos

• No informa que el problema ha sido solucionado

• !TIENEN NUESTRO NOMBRE DE USUARIO Y NUESTRA CONTRASEÑA!


Ejemplo de ataque:

IP Spoofing

• Se suplanta la personalidad de un equipo

• Es un ataque muy sofisticado

Suplantador

IP: 156.35.14.2

Suplantado

IP: 156.35.14.2Se modifican las rutas

Denegación de servicio



48

3- Principales vulnerabilidades

Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno

ServidorAccesoRemoto

LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

7

8

9

10

1111

1213

14


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

2

3

4

5

6

7

8

9

10

1111

1213

14

1:

Control de acceso al router inadecuado:ACLs mal configuradas en el router puedenpermitir la fuga de información a través depaquetes ICMP, IP o NetBIOS, y facilitar elacceso no autorizado a servicios dentro de lazona desmilitarizada.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

3

4

5

6

7

8

9

10

1111

1213

142:

Los puntos de acceso remoto no seguros y nomonitorizados proporcionan una de lasmaneras más sencillas de acceder a una redcorporativa. Los usuarios remotos se suelenconectar a Internet con pocas protecciones,exponiendo al ataque información sensible


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

4

5

6

7

8

9

10

1111

1213

14

3:

La información disponible puede proporcionarinformación sobre el sistema operativo,versiones de las aplicaciones, usuarios,grupos, recursos compartidos, informaciónDNS (transferencias de zonas), y serviciosabiertos como SNMP, finger, SMTP, telnet,rpcinfo, NetBIOS, etc.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

5

6

7

8

9

10

1111

1213

14

4:

Los servidores que corren servicios innece-sarios (RPC, FTP, DNS, SMTP) pueden serfácilmente atacados.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

6

7

8

9

10

1111

1213

14

5:

La utilización de palabras clave débiles, fácilesde adivinar o la reutilización de palabras claveen las estaciones de trabajo puede comprome-ter los servidores.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

7

8

9

10

1111

1213

146:

Otra vulnerabilidad muy común son lascuentas de invitado, de prueba, o de usuariocon privilegios excesivos.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

8

9

10

1111

1213

14

7:

Servidores de Internet en la zona desmilitari-zada mal configurados, sobre todo elcódigo CGI o ASP, o servidores FTP anónimocon directorios accesibles en escriturapara todo el mundo. SQL injection


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

7

9

10

1111

1213

14

8:

Unas listas de acceso (ACL) mal configuradasen el cortafuegos o en el router pueden per-mitir el acceso desde el exterior, bien directa-mente, o bien una vez que la zona desmilita-rizada ha sido comprometida.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

7

8

10

1111

1213

149:

Software obsoleto, al que no se le han insta-lado los parches recomendados por el fa-bricante, vulnerable, o con las configuracionespor defecto, especialmente los servidoresWWW.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

7

8

9

1111

1213

14

10:

Controles de acceso a los ficheros o a losdirectorios mal configurados (e.g. Recursos compartidos en Windows NT, recursos exportados con NFS en Unix.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

7

8

9

11

10

1213

14

11:

Las relaciones de confianza excesivas endominios NT o entradas en .rhosts y host.equiv en Unix pueden proporcionar a losatacantes acceso no autorizado a sistemasSensibles (pilfering).


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

7

8

9

11

10

11

13

14

12:

Los servicios sin control de acceso de usuarios, como X Windows permiten a losatacantes la captura de las pulsaciones delteclado.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

7

8

9

11

10

11

12

14

13:

La gestión inadecuada de históricos, la faltade una monitorización adecuada o la faltade servicios de detección de intrusiones tantoen el nivel de red como en los ordenadoresconectados a ella.


Servidor

DMZ

CortafuegosRouter

frontera

Router

Interno


LAN

interna

LAN

interna

Servidor

Estación

Trabajo

ServidorEstación

TrabajoUsuario

Remoto

Oficina

Remota

Inte

rnet

Servidor

DMZ

1

2

3

4

5

6

7

8

9

11

10

11

1213

14:

La falta de políticas de seguridad aceptadaspor todos y bien definidas y publicadas, asícomo de los procedimientos, normas y guíasde actuación relacionadas.



64

¿Alguna pregunta?

Gabriel Díaz Orueta, Dpto. Ingeniería Eléctrica Electrónica y de Controlhttp://www.ieec.uned.es


65

Bibliografía

• Seguridad en las comunicaciones y en la información. Gabriel Díaz, Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educación a Distancia. 2004

• Fundamentos de Seguridad de Redes. Aplicaciones y Estándares. William Stallings. Prentice Hall. 2004

• Seguridad en Redes y Sistemas Informáticos. José M. Huidobro Moya, David Roldán Martínez. Paraninfo. 2005

• Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003• Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998• Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador

Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005• Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003


66

Bibliografía

• Firewalls Linux. Guía Avanzada. Robert L. Ziegler. Prentice Hall. 2001

• Inside Network Perimeter Security. Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent Frederick, Ronald W. Ritchey.SANS GIAC. 2003

• Hacking Exposed. Stuart McClure, Joel Scambray, George Kurtz. McGrawHill. 2003

• Internet Forensics. Robert Jones. O’Reilly. 2005• Real Digital Forensics. Keith J. Jones, Richard Bejtlich, Curtis W.

Rose. Addison-Wesley. 2006• File System Forensic Analysis. Brian Carrier. Addison-Wesley. 2005• Forensics Discovery. Dan Farmer, Wietse Venema. Addison-

Wesley. 2004

anatomia de ataque informatico

Documents