logo



24
DIC
2025

Fundamentos de Ciberseguridad: Protocolos, Autenticación y Defensa contra Malware

by estudiapuntes
, , , , , ,
0 Comment

Estrategias de Integración de Protocolos de Seguridad

Usar un protocolo de seguridad separado


srODhYffr0UbVq1ZxVASBbJNIAAAAAAHiBycYAAAAAAPACiTQAAAAAAF4gkQYAAAAAwAsk0gAAAAAAeIFEGgAAAAAAL5BIAwAAAADgBRJpAAAAAAC8QCINAAAAAIAXSKQBAAAAAPACiTQAAAAAAF74f9FiXbuDBJF4AAAAAElFTkSuQmCC

Integrar la seguridad en el protocolo de aplicación

S0tLskIiIyF1RzRGRcKaGgIgMWZ2dnTh27Bhqa2vR09ODUaNGwePxIDk52R4qIiISEtUcEQlHagiIiIiIiIiIhCHdVFBEREREREQkDKkhICIiIiIiIhKG1BAQERERERERCUNqCIiIiIiIiIiEITUERERERERERMKQGgIiIiIiIiIiYUgNAREREREREZEwpIaAiIiIiIiISBhSQ0BEREREREQkDP0FJzyQzEaroJkAAAAASUVORK5CYII=

Integrar la seguridad en el protocolo de transporte/red

wBS5A4FwIbKSwAAAABJRU5ErkJggg==

Usar un protocolo de seguridad paralelo

3+cCIiIuYcIqIH4xoGRPTIqK+vR0REBA4dOgSDwYCYmBiEh4ejW7duOHfuHBITE1FcXAw3NzecPXsWgwYN0u+CiIjIJsw5REQPxoIBET1S6uvrkZSUhPXr16O8vFwfxqhRo7Bp0yYMHz5cHyIiImoV5hwiovtjwYCIHknV1dU4fvw4cnNz0dDQgG7duiEoKAh+fn76pkRERA5hziEiah4LBkRERERERERkhYseEhEREREREZEVFgyIiIiIiIiIyAoLBkRERERERERkhQUDIiIiIiIiIrLCggERERERERERWWHBgIiIiIiIiIissGBARERERERERFZYMCAiIiIiIiIiKywYEBEREREREZEVFgyIiIiIiIiIyAoLBkRERERERERk5b+8utgXrqdj2wAAAABJRU5ErkJggg==

Protocolos de Seguridad: SSL/TLS

Funcionamiento Básico de SSL/TLS

SSL/TLS: Todos los mensajes (metadatos) se envían, pero solo las comunicaciones de datos están cifradas.

8P+an2tIq+RKwAAAAASUVORK5CYII=

Estados de Cifrado (WRITE/READ)

SSL define dos tipos de estados principales para el procesamiento de datos:

  • WRITE: Define los algoritmos y la clave usados para procesar los datos que envía (write) un computador.
  • READ: Define los algoritmos y la clave usados para procesar los datos que recibe (read) un computador.

Además, SSL define 2 estados WRITE y 2 estados READ según su activación:

  • PENDING: Define los algoritmos y la clave que un computador ya tiene ASIGNADOS para cifrar/descifrar los datos que envía/recibe, pero cuya activación está aún PENDIENTE.
  • ACTIVE: Define los algoritmos y la clave que un computador ya tiene ACTIVADOS para cifrar/descifrar los datos que envía/recibe.

Autenticación y Negociación de Claves

El protocolo proporciona comunicaciones cifradas más la autenticación del servidor (y opcionalmente del cliente).

PQZBLngVcAAAAASUVORK5CYII=

Reglas de configuración:

  • Si se usa la misma clave y no se requiere autenticación del cliente, se eliminan SerKeyExc (Server Key Exchange) y los Certificados (Cert).
  • Si se usa distinta clave, se eliminan solo los Certificados.
  • El proceso es completo para la autenticación de servidor y cliente.

Razones para usar dos claves públicas:

  1. El algoritmo de autenticación solo permite firmar (Ejemplo: DSA = Digital Signature Algorithm).
  2. Usar claves largas para autenticar y claves cortas (restringidas) para cifrar.

Reglas de Autenticación Cliente/Servidor:

  • El servidor determina si necesita la autenticación del cliente.
  • El cliente NO puede decidir si se autentica o no; no puede rechazar la solicitud.
  • El servidor NO puede pedir la autenticación al cliente sin antes autenticarse él mismo.

Cache SSL

Las sesiones se pueden reusar porque sus parámetros permanecen durante un tiempo en las caches SSL del cliente y del servidor. Cuanto más tiempo permanece una sesión en la cache SSL, más insegura es su reutilización.

IPsec (Internet Protocol Security)

D2KCwc0oUCM7AAAAAElFTkSuQmCC

IPsec utiliza dos protocolos fundamentales para proporcionar servicios de seguridad en la capa de red:

  • AH – Authentication Header: Proporciona integridad, autenticación y no repudio.
  • ESP – Encapsulating Security Payload: Proporciona confidencialidad y, opcionalmente, integridad y autenticación.

Sistemas de Autenticación y Gestión de Identidades

Kerberos

Kerberos es un protocolo de autenticación de red que utiliza criptografía de clave simétrica para proporcionar una autenticación robusta para aplicaciones cliente/servidor.

wc9CvZMlG4HsAAAAABJRU5ErkJggg==

Gestión de Identidades Federadas

La Gestión de Identidades Federadas permite a un usuario utilizar la misma información de identidad para acceder a recursos en diferentes dominios de seguridad.

  1. El Usuario proporciona su identidad y atributos al Proveedor de Identidad (IdP) (en su mismo dominio).
  2. Un Administrador (en el mismo dominio) asocia atributos adicionales (como roles) a la identidad del usuario.
  3. El Usuario solicita acceder a un recurso del Proveedor de Servicios (SP) (en otro dominio).
  4. El Proveedor de Servicios solicita al Proveedor de Identidad que autentique al usuario.
  5. El Proveedor de Servicios proporciona al Usuario los servicios para los que está autorizado.

+e69x3ixK3AAAAAElFTkSuQmCC

Roles en OpenID

El protocolo OpenID define los siguientes roles clave:

  • End User (Usuario Final): Es la entidad que desea afirmar (assert) su identidad.
  • Relaying Party (RP): La parte que confía (sitio web o aplicación) que desea verificar el identificador del usuario final.
  • OpenID Provider (OP): El proveedor OpenID es el que gestiona las identidades de las entidades.
  • User Agent (Agente del Usuario): El programa (generalmente un navegador web) que usa la entidad para comunicarse con RP y OP.

OAuth

OAuth (Open Authorization) es un estándar abierto para la delegación de acceso, comúnmente utilizado para permitir que aplicaciones de terceros accedan a recursos de usuario sin compartir credenciales.

YQkwg2lIxvAAAAABJRU5ErkJggg==

Verificación de Identidad y Seguridad de Contraseñas

Medios Básicos para Verificar la Identidad de un Usuario

Factor de Autenticación Medio Ejemplos Problemas Comunes
Algo que el usuario conoce Contraseña Contraseña para acceder al ordenador Se roban, se adivinan, se olvidan
Algo que el usuario posee Token Tarjetas llave electrónicas, Tarjetas inteligentes, Llaves físicas. Se roban, se falsifican, se pierden
Algo que el usuario es Reconocimiento biométrico estático Reconocimiento por huellas dactilares, ojos (iris y/o retina) y facial. DNI electrónico. (Generalmente alta fiabilidad, pero alto coste de implementación)
Algo que el usuario hace Biometría conductual Reconocimiento por patrones de voz, características de la escritura manual. Para mayor precisión, mayor coste del sistema.

Posibles Ataques a Contraseñas y Contramedidas

Ataque de Diccionario

El atacante consigue acceso al fichero de contraseñas. Prepara un gran diccionario con posibles contraseñas y comprueba si cada palabra coincide con alguna contraseña almacenada.

  • Dificultad: El uso de resumen (hashing) y SALT dificultan la comprobación.
  • Contramedidas:
    • Preventiva: Proteger al máximo el fichero de contraseñas.
    • Reactiva: Usar un detector de intrusiones.

Ataque a una Cuenta Específica

El atacante selecciona una cuenta específica y prueba contraseñas hasta que descubre la correcta.

  • Contramedida: Bloquear el acceso a la cuenta después de un determinado número de intentos fallidos consecutivos de inicio de sesión.

Ataque a una Contraseña Popular

El atacante elige una contraseña popular y la prueba con todos los identificadores de usuario que conoce.

  • Contramedida: Impedir que los usuarios elijan contraseñas fáciles de adivinar (políticas de complejidad).

Adivinar la Contraseña de un Usuario Específico (Ingeniería Social)

El atacante intenta obtener el máximo conocimiento posible sobre el propietario de una cuenta y la política de contraseñas del sistema para adivinar la clave.

  • Contramedida: Aplicar una política de contraseñas robustas.

Secuestro de una Workstation

El atacante espera hasta que una workstation con una sesión iniciada queda desatendida y la usa para acceder al sistema.

  • Contramedidas: Bloquear una sesión automáticamente tras un periodo de inactividad y usar un detector de intrusiones para ver cambios en el comportamiento del usuario.

Explotar los Errores del Usuario

Un atacante puede explotar múltiples errores que cometen los usuarios (ej. escribir la contraseña en un post-it).

  • Contramedidas: Proporcionar formación al usuario en seguridad y usar una buena política y sistema de selección de contraseñas.

Explotar el Uso Múltiple de una Misma Contraseña

Los ataques pueden ser mucho más efectivos y dañinos si los usuarios usan la misma contraseña (o similar) para acceder a múltiples dispositivos en una red.

  • Contramedida: Aplicar una política que impida usar la misma contraseña para múltiples dispositivos.

Dispositivos de Seguridad de Red: Firewalls (Cortafuegos)

Definición y Funciones del Firewall

Un Firewall (cortafuegos) es un elemento de control ubicado entre la red local corporativa e Internet. Es crucial para consolidar mecanismos de seguridad, implementar alarmas, monitorizar eventos e implementar Redes Privadas Virtuales (VPN) basadas en IPsec.

Tipos de Cortafuegos

Cortafuegos Bastión (Bastion Host)

Es un equipo identificado por el administrador de seguridad como un elemento crítico. Un bastión funciona como una pasarela a nivel de aplicación y/o circuito.

  • Implementación típica: Módulo software que se ejecuta en un equipo independiente (ej. Linux) o en un router/switch de la red.
  • Características comunes:
    • Ejecuta una versión segura de su SO (es muy fiable).
    • Solo tiene instalados los servicios esenciales para su tarea.
    • Puede requerir autenticación.
    • Suele tener dos o más interfaces de red.
    • Debe ser fiable para implementar una política de separación entre redes.

Cortafuegos Basados en Host

Es un módulo software usado para proteger a un host individual (comúnmente instalado en servidores). Filtran y limitan el tráfico de paquetes de modo similar a los cortafuegos independientes.

  • Ventajas:
    • Las reglas de filtrado pueden ser adaptadas al entorno de trabajo del host.
    • La protección se proporciona independientemente de la topología de la red.
    • Proporcionan una capa de protección adicional.

Cortafuegos Personales

Un cortafuegos personal controla el tráfico entre un PC y la red corporativa/Internet. Son menos complejos que los independientes o los basados en host.

  • Función principal: Impedir el acceso remoto no autorizado al PC.
  • Función secundaria: Monitorizar la actividad de salida del PC para detectar y bloquear gusanos.

Malware y Detección: Fases de Virus y Antivirus

Fases del Ciclo de Vida de un Virus

  1. Fase Latente: El virus está inactivo y será activado por algún evento futuro. Nota: No todos los virus tienen esta fase.
  2. Fase de Propagación (Infección): El virus se copia a sí mismo en otros ejecutables, zonas del sistema o discos. Al copiarse puede mutar (cambiar de forma).
  3. Fase de Activación: El virus se activa para realizar la función para la que fue diseñado. La activación puede ser provocada por una gran variedad de eventos (ej. fecha, contador).
  4. Fase de Ejecución: El virus realiza su función, ya sea dañina o no.

Generaciones de Antivirus

G1: Escáneres Sencillos (Basados en Firmas)

Utilizan firmas (patrones de código específicos) para identificar a los virus. Técnicas como los Modelos de Markov se usan para seleccionar firmas. Un mismo virus puede tener una firma distinta para cada antivirus.

  • Problema: Solo detectan los virus ya conocidos y que disponen de sus firmas.

G2: Escáneres Heurísticos

Utilizan reglas heurísticas para buscar virus. Analizan bloques de código que frecuentemente están asociados con malware. Por ejemplo, buscan el inicio del bucle de cifrado utilizado por un virus polimórfico para descubrir la clave y descifrarlo.

G3: Monitores de Actividades (Comportamiento)

Programas que residen en memoria e identifican a los virus por sus acciones (en lugar de por su firma). La ventaja es que no requieren una base de datos de firmas extensa.

  • Nombres alternativos: Trampas para actividades, Monitores de actividades/comportamientos, Bloqueadores de comportamiento.
  • Monitorización: Apertura, visualización, eliminación y modificación de archivos, formateo de unidades de disco, modificación de archivos ejecutables o macros, etc.

G4: Combinaciones (Híbridos)

Antivirus que utilizan conjuntamente las técnicas y métodos de las generaciones previas. Incluyen componentes para:

  • Escanear archivos o memoria buscando firmas de virus.
  • Monitorizar las actividades de los programas.
  • Controlar el acceso a funciones del sistema.

Técnicas de Explotación: Nop Sled (Tobogán de NOP)

wK6YOv39r6RiwAAAABJRU5ErkJggg==

El Nop Sled (o Tobogán de NOP) es un mecanismo utilizado en el contexto de los ataques de Stack Overflow (desbordamiento de búfer).

Consiste en un conjunto de instrucciones No Operation (NOP) que se antepone al shellcode inyectado en el búfer.

  • Propósito: Resuelve la incapacidad de determinar con precisión la dirección de inicio del shellcode.
  • Funcionamiento: No importa la zona del tobogán en la que se inicie la ejecución; la secuencia de NOPs siempre lleva la ejecución a la base del tobogán, que es el inicio del Shellcode.

8M6+99houl4vLL7+cG264gcaNG1e8uqiBJAAKIU7azp2wcCFkZvpeIoSoCYxGqFcPevSA2NjDLystLaW0tJSQkBAsFos0954jJAAKIYQQQpxnZMiOEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR5RgKgEEIIIcR55v8BrVu+EmYkTZYAAAAASUVORK5CYII=

Relacionados

  1. Fundamentos Económicos y Marco Legal de la Gestión de Proyectos de Ingeniería
  2. Fisiología Capilar y Sistema Linfático: Fundamentos del Intercambio Sanguíneo y Drenaje Corporal
  3. Optimización de Procesos de Taladrado y Fresado: Técnicas y Mejores Prácticas
  4. Historia de la Península Ibérica: Intercambios y Conflictos (Siglos VIII-XV)

Publicidad

Temas


© 2013 Estudiapuntes.com
Contacto