372 Seguridad informática para empresas y particulares
Tabla 6.8. Red. Linux
Captura Windows
Conexiones Netstat / fport netstat
Promiscuo Promiscdetect ip addr sh
Información ipconfig /all ifconfig
Cache ARP arp –a arp –a
Evidencia de disco
La evidencia almacenada en el disco puede ser capturada sin necesidad de tener la máquina
encendida. Para ello normalmente se realiza el apagado del sistema en cuestión y posterior-
mente se procede a extraer la información almacenada montando la unidad en otro equipo o
iniciando desde un CD o disquete un nuevo sistema operativo desde el que se realizará la
captura.
Para realizar la captura es necesario buscar un soporte donde ubicar los datos. Existen
dos opciones: copiar los datos a un disco nuevo insertado en el sistema, ya sea interno o
externo, o realizar la copia a través de la red.
Existen varias distribuciones especificas para realizar esta captura entre las que desta-
can: Knoppix CD, F.I.R.E (Forensic and Incident Response Environment), Norton Ghost y
Trinux. Las herramientas presentadas permiten el autoarranque desde CD y el volcado de la
información del disco a un archivo.
Para duplicar la información alojada en un disco se puede uno valer de la utilidad ante-
riormente citada dd, mediante la cual se puede elegir un origen de datos y un destino, pu-
diendo extraer la información de un volumen fácilmente a un archivo o mediante la utilidad
netcat enviarla por la red.
Captura a disco:
# dd if=/dev/imagen of=/tmp/archivo
Captura a disco por la red:
Origen: # dd if=/dev/imagen | nc IP Puerto
Destino: # nc –l –p puerto > /imagen.img
Una vez se ha capturado la información, se puede realizar el firmado MD5 del archivo
para salvaguardar su integridad, pieza clave si se desea que sea admitido como prueba.
Reviste gran importancia asegurarse en todo momento de que la información almacena-
da en disco no ha sido manipulada subrepticiamente. En esta sección se explican los meca-
nismos existentes para proteger la integridad de archivos de sistema, archivos de datos y
registros de bases de datos.
Análisis de la evidencia volátil
Una vez ha sido capturada la evidencia, se procede a la segunda fase del trabajo forense: el
análisis. Dado que se han capturado dos tipos de pruebas, se realizarán dos tipos de análisis.
Capítulo 6: Auditoría, detección de intrusiones y análisis forense 373
El análisis de los datos capturados de disco es peculiar, puesto que lo que se busca son
archivos, fechas, modificaciones, etc. Por el contrario, en la búsqueda de la evidencia volátil
se realizarán análisis para encontrar datos característicos de un ataque en puertos abiertos,
procesos sospechosos en ejecución, etc.
Lo primero es buscar dentro de la memoria posibles cadenas sospechosas, para lo cual se
puede utilizar el comando strings, y mediante la ayuda del comando grep, realizar la compa-
ración de información.
> strings ficher_memoria.img | grep “cadena_a_buscar”
Adicionalmente es útil buscar:
j Procesos sospechosos.
Archivos abiertos sospechosos.
Conexiones abiertas.
Conexiones en escucha.
Entradas ARP sospechosas.
Interfaces en modo promiscuo.
Cuentas de usuario nuevas.
i Usuarios pertenecientes a grupos con privilegios.
Para la detección de rootkits se puede emplear la ayuda de programas específicos que
realizan dicha tarea, realizando una búsqueda exhaustiva por el disco, procesos en ejecución
y memoria del sistema con el objeto de localizar cadenas características de dichos progra-
mas. Para plataforma UNIX se dispone del comando chkrootkit, el cual tan sólo con ser
llamado realizará la búsqueda por memoria y disco con el objeto de localizar los programas
y cadenas sospechosas.
Análisis de la información de disco
Después de realizar la captura de la información del disco se procede a su análisis.
Para realizar un análisis a fondo de la información del disco es necesario conocer la estruc-
tura de cómo se almacenan los archivos en el disco. Por consiguiente, será necesario conocer
el formato NTFS para Windows XP/2000/2003, ext2 para LINUX o FAT para Windows 95/
98/Me.
El análisis puede dividirse en dos fases: La búsqueda de información dentro de archivos
de auditoría y la indagación para obtener pistas de la información almacenada en disco.
Archivos de auditoría
Si existen registros de auditoría, lo primero será extraer dicha información de la imagen
para su análisis exhaustivo. Dicha información puede ser tratada con programas automáti-
cos o manualmente, con el objeto de detectar la información que delate al intruso.
Búsqueda dentro del sistema de archivos
Dentro de la información almacenada en disco se pueden buscar diversas pistas típicas que
denotan la existencia de un intruso. Como si de un detective se tratase, la experiencia pro-
porcionará el bagaje necesario para acometer los casos más difíciles.
374 Seguridad informática para empresas y particulares
A continuación se presentan los puntos clave a detallar dentro del análisis del disco:
j Archivos de arranque: Los archivos de arranque que se ejecutan automáticamente en
el inicio de sesión son un punto clave donde los intrusos ubican sus programas con
puertas traseras para asegurarse de que estarán activos aunque la máquina sea
reiniciada. Por ello deben ser examinados para tener la certeza de la no existencia de
puertas traseras. Los archivos a controlar dentro de la plataforma Windows son el
subdirectorio de inicio: C:\Documents and Settings\Administrator\Start Menu\
Programs\Startup, y las siguientes claves del Registro colgando de HKEY_LOCAL_
MACHINE\Software\Microsoft\Windows: CurrentVersion\RunServices, Current
Version\Run y CurrentVersion\RunOnce. Dentro de la plataforma UNIX, los archi-
vos rc.d de arranque, .bash y los .profile de los usuarios deben ser examinados de
igual manera. Existen otras técnicas como la asociación de extensiones ejecutables,
la ejecución de controles ActiveX en el arranque y la modificación del archivo
Explorer.exe que es llamado en el momento de inicio para proporcionar una shell al
usuario. En resumen, deben controlarse todos los archivos procesados en el arranque
para poder saber si existen programas maliciosos que se cargan automáticamente
durante el mismo.
Saber el tipo de archivo: Dentro del análisis se mirará también la identificación del
tipo de archivo que se está tratando. Uno puede fiarse de la extensión del archivo o
utilizar un programa que analice el contenido para determinar el tipo de archivo en
cuestión normalmente en función de la cabecera. Para realizar una comprobación
exhaustiva se tiene el comando file. Los archivos comprimidos deberán ser extraídos
para poder comprobar todo el contenido de los mismos. Los datos que estén cifrados
serán un problema para poder averiguar su contenido. Se identificarán para un aná-
lisis posterior por si fueran requeridos. La clave para el descifrado podrá intentar ser
obtenida mediante técnicas de hacking o por orden judicial.
Ocultación de archivos: Los intrusos a menudo ocultan la información que introdu-
cen en los sistemas mediante diversas técnicas. En los sistemas de plataforma Microsoft
se puede ocultar la información de forma básica con ayuda del comando attrib, mar-
cando el archivo como oculto (hidden).
> attrib +h archivo_a_ocultar
En los sistemas Windows formateados con NTFS se puede emplear una técni-
ca denominada NTFS streaming, mediante la cual es posible ocultar archivos dentro
de otros. En la plataforma UNIX tradicionalmente se ha podido ocultar un archivo
mediante su nombre, puesto que todos los archivos que empiezan por . son ocultados
a los usuarios.
Permisos de los archivos: Los archivos poseen unos permisos dentro de los sistemas
Windows o UNIX. La modificación de los permisos por los intrusos constituye un
rasgo característico de una intrusión. En los sistemas UNIX, los intrusos se suelen
valer de programas con el atributo SETUID, ejecución con permisos del propietario
y no del ejecutor, para elevar privilegios. Para realizar una búsqueda de este tipo de
archivos en el disco se puede realizar la siguiente comprobación:
# find / -perm -004000 -type f -print
Capítulo 6: Auditoría, detección de intrusiones y análisis forense 375
Archivos borrados (total/parcialmente): Es importante realizar una recuperación de
los archivos borrados, especialmente de los que planteen una sospecha aparente. La
información en el disco permanece cuando se borra un archivo, ya que el sistema de
archivos lo único que realiza es la marcación del espacio del archivo borrado como
libre, pero no procede a su eliminación. Es posible tanto acceder a la información
para recuperar el archivo como visualizar el disco a bajo nivel y observar los sectores
con datos que están marcados como libres.
Búsqueda por fechas: Establecer una línea de tiempo de los últimos archivos accedi-
dos y modificados es muy útil dentro del análisis forense, dado que sirve para reali-
zar una foto en el tiempo sobre la posible escena del delito. La información de una
clasificación de los archivos por fechas es vital por tanto dentro del análisis forense.
Los archivos dentro de los sistemas tradicionales suelen tener tres fechas: última
fecha de acceso, última fecha de modificación y fecha de creación.
i Comprobación de firmas: Una de las técnicas más utilizadas consiste en la compara-
ción de la firma de los archivos, creada mediante una función hash tipo md5 o sha1,
con una firma almacenada con anterioridad. La técnica es muy simple, pero muy
potente. Dado que puede asumirse que el identificador md5 de un determinado ar-
chivo es a priori único, si se procede a calcular el identificador con posterioridad y no
coincide con el primero, se tendrá la certeza de que el archivo ha sido modificado.
Análisis de programas sospechosos
Una vez que se ha realizado la captura de la evidencia y ésta ha sido analizada, el análisis
forense puede darse por finalizado con las conclusiones extraídas del análisis. Existe otra
área importante dentro del ámbito del análisis forense que puede ser catalogada como la
investigación de determinados programas sospechosos. Un sistema en ejecución puede con-
tener diversos programas que pueden ocultar puertas traseras o ser en sí mismos una.
Los programas pueden estar desarrollados como un script o como un binario ejecutable.
El primer tipo presenta la ventaja de ofrecer el código del mismo, con lo que mediante el
análisis del código fuente se puede obtener una idea de la existencia de porciones de código
maligno.
Los ejecutables del sistema, por el contrario, deben ser trazados (traced) o decompilados
para poder ser correctamente analizados. La primera técnica consiste en monitorizar todas
las llamadas al sistema operativo y el acceso a los dispositivos de entrada/salida. Para reali-
zar un análisis de la ejecución de este tipo de programas se debe preparar un entorno seguro
de pruebas. Este entorno suele ser un sistema operativo instalado a tal efecto. Mejor que la
instalación de un sistema desde cero es la utilización de un software tipo VMware, que
posibilita la instalación de sistemas operativos en modo no permanente. Mediante dicha
instalación se puede analizar cualquier programa sospechoso sin miedo a afectar al sistema
anfitrión y, como ventaja adicional, al reiniciar el ordenador la máquina virtual no se verá
afectada, ya que las grabaciones a disco no son permanentes. Para más información sobre las
máquinas virtuales y VMware, consulte la sección “Armas contra el malware” del Capítulo 5.
Referencias y lecturas complementarias
Bibliografía
Eugene Schultz y Russell Shumway, “Incident Response: A Strategic Guide to Handling
System and Network Security Breaches”, Que, 2001.
Stephen Northcutt y Judy Novak, “Network Intrusion Detection (3rd Edition)”, Que, agosto 2002.
376 Seguridad informática para empresas y particulares
Mike Schiffman, “Hacker’s Challenge: Test Your Incident Response Skills Using 20
Scenarios”, McGraw-Hill Osborne Media, octubre 2001.
Mike Schiffman et al., “Hacker’s Challenge 2: Test Your Network Security & Forensic Skills”,
McGraw-Hill Osborne Media, diciembre 2002.
Chris Davis et al., “Hacking Exposed Computer Forensics (Hacking Exposed)”, McGraw-
Hill Osborne Media, octubre 2004.
Chris Prosise et al., “Incident Response and Computer Forensics, Second Edition”, McGraw-
Hill Osborne Media, julio 2003.
Internet http://docs.rinet.ru/LomamVse
Cómo atacan los hackers
Maximum Security: A Hacker’s Guide http://www.isecom.org/projects/
osstmm.shtml
to Protecting Your Internet Site and Network
OSSTMM http://www.honeynet.org
Honeynet http://csrc.nist.gov/publications/
Guideline on Network Security Testing nistpubs/800-42/NIST-SP800-42.pdf
Sistemas de detección de intrusiones http://www.snort.org
Snort http://www.intrusion.com
Intrusion.com http://www.tripwire.com
Tripwire http://www.chkrootkit.org
Chkrootkit http://www.iss.net
ISS http://www.sans.org/resources/idfaq
SANS Institute http://www.cerias.purdue.edu
CERIAS http://www.dshield.org
DShield http://csrc.nist.gov/publications/
Intrusion Detection Systems (IDS)
nistpubs/800-31/sp800-31.pdf
IDS Evasion Techniques and Tactics http://www.securityfocus.com/infocus/
1577
Capítulo 6: Auditoría, detección de intrusiones y análisis forense 377
Respuesta a incidentes http://csrc.nist.gov/publications/
Computer Security Incident Handling Guide nistpubs/800-61/sp800-61.pdf
Forming and Managing an Incident http://www.cccure.org/amazon/
Response Team incidentresponse.pdf
CERT Coordination Center http://www.cert.org
Servicio de Seguridad (IRIS-CERT)
http://www.rediris.es/cert
Registros de auditoría http://swatch.sourceforge.net
Swatch
Sentry Tools http://sourceforge.net/projects/
sentrytools
Analysis Console for Intrusion Databases (ACID) http://acidlab.sourceforge.net
NetIQ http://www.netiq.com
Loganalysis.Org http://www.loganalysis.org
Análisis forense http://www.securiteam.com
SecuriTeam.com http://www.opensourceforensics.org/
Open Source Forensic Tools
tools
Sysinternals http://www.sysinternals.com
BindView http://www.bindview.com
SomarSoft Utilities http://www.somarsoft.com
Foundstone http://www.foundstone.com
The Coroner’s Toolkit (TCT) http://www.fish.com/tct
Knoppix http://www.knoppix.org
Knoppix STD http://www.knoppix-std.org
FIRE http://fire.dmzs.com
378 Seguridad informática para empresas y particulares
Apéndice A: Listas de tareas de seguridad 379
> Apéndice A
Listas de tareas
de seguridad
379
380 Seguridad informática para empresas y particulares
E ste apéndice recoge varias listas de tareas de seguridad (security checklists), que pue-
den resultar de utilidad para comprobar si se están aplicando los principios explica-
dos a lo largo del libro. Como cualquier solución de seguridad, estas listas deben
contemplarse con cautela. Por un lado, las listas no son exhaustivas, en el sentido de que no
recogen todas las configuraciones posibles. La confección de listas así sería interminable.
Por otro lado, carece de todo sentido pretender realizar todas las tareas por el mero hecho de
que estén en la lista. En cada circunstancia habrá que evaluar cuáles conviene aplicar. Están
ahí para que se acuerde de ellas, a modo de recapitulación de buena parte de lo visto a largo
de las páginas de este libro, no para que las aplique todas.
Antes de poner en práctica todos y cada uno de los controles de seguridad reseñados, debe
hacerse las siguientes preguntas:
j ¿Realmente la práctica mitiga un riesgo o satisface una expectativa de seguridad?
¿Se puede implantar la práctica según lo planificado?
i ¿Compensa su coste el beneficio obtenido de la práctica?
A la hora de evaluar una práctica, debe ser capaz de describir:
j El activo a proteger y sus requisitos de seguridad.
El valor relativo y específico del activo.
i Cómo contribuirá la práctica a la protección del activo.
La práctica totalidad de tareas ha sido explicada en algún capítulo anterior. Las listas de
este apéndice cubren los siguientes aspectos de seguridad:
j Organización de la seguridad.
Configuración segura de puestos de trabajo con Windows XP.
Configuración segura de servidores con Windows 2000/2003.
Configuración segura de redes.
i Uso de Internet.
Organización de la seguridad
Políticas de seguridad
Uso aceptable de los recursos de la organización: Se ha definido el uso aceptable de
impresoras, faxes, teléfonos, fotocopiadoras, etc. y las sanciones por su mal uso.
Gestión de cuentas: Se han definido estándares y procedimientos para la creación,
distribución y revocación de cuentas de usuario.
Información confidencial: Se han establecido la responsabilidad y las medidas ade-
cuadas para proteger la información confidencial frente a revelación o modificación.
Uso de correo electrónico: Se han creado directrices definiendo el alcance, compor-
tamiento y prácticas para su uso.
Respuesta a incidentes: Se ha definido un plan de respuesta para manejar y solucio-
nar incidentes de seguridad.
Acceso a Internet: Se han creado directrices definiendo el alcance, comportamiento y
prácticas para su uso.
Ordenadores portátiles: Se han creado directrices definiendo el alcance, comporta-
miento y prácticas para su uso.
Contraseñas: Se han definido estándares y procedimientos para la composición, crea-
ción, distribución, uso y revocación de contraseñas.
Apéndice A: Listas de tareas de seguridad 381
Privacidad: Se han establecido la responsabilidad y las medidas adecuadas para pro-
teger la privacidad y datos de carácter personal en cumplimiento de la legislación
aplicable.
Formación y concienciación en seguridad: Se ha formado y educado a todos lo usua-
rios de recursos informáticos, especialmente a los que están en contacto con activos
importantes.
Licencias de software: Se han establecido la responsabilidad y las medidas ade-
cuadas.
Plan de contingencia: Se han definido políticas, procedimientos y mecanismos para
la creación, puesta a prueba y revisión de planes de continuidad de negocio y recupe-
ración ante desastres, incluyendo procedimientos y normas para la realización de
copias de seguridad.
Protección antivirus: Se han definido estándares y procedimientos para la instala-
ción, operación y actualización de antivirus.
Control de acceso lógico: Se han definido los mecanismos de control de acceso remo-
to a la red y quién está autorizado para conectarse.
Seguridad de red: Se han definido las políticas y procedimientos de implantación de
cortafuegos, detectores de intrusos, redes privadas virtuales, etc.
Seguridad física
Se ha realizado un inventario de todo el equipamiento informático de la organización.
Las copias de seguridad se almacenan en un armario o caja seguros, con cerradura.
Cuando no se utilizan, los papeles, disquetes, CD-ROM, DVD, y cualquier otro so-
porte portátil de información se guardan bajo llave.
Se han protegido los puntos de acceso a la organización con puertas, ventanas, rejas, etc.
Se ha instalado un sistema de alarma centralizado.
La sala con los ordenadores está adecuadamente ventilada y refrigerada.
Se ha instalado un sistema de detección de incendios.
Se han instalado bases de enchufes con protección contra sobretensiones y SAI en los
sistemas críticos.
Ninguna persona no autorizada puede acceder físicamente a los equipos, especial-
mente a los que manejan información crítica.
Configuración segura de puestos de trabajo
con Windows XP
Parches y actualizaciones
Se han instalado los últimos Service Packs.
Se han instalado los últimos HotFixes postServicePacks apropiados.
Se ha activado la alerta automática de actualizaciones.
Mantenerse seguro
Se ejecuta regularmente MBSA para comprobar la necesidad de instalar nuevas ac-
tualizaciones y la seguridad de la configuración actual del equipo.
Se realizan copias de seguridad regularmente y se almacenan en lugar seguro.
Se han activado y se monitorizan regularmente los registros de auditoría.
Se utilizan directivas de restricción de uso de software.
Se ha instalado un antivirus, está activo y se mantiene continuamente actualizado.
382 Seguridad informática para empresas y particulares
Sistema de archivos
Se ha verificado que todas las particiones de disco se han formateado como NTFS.
Se han protegido archivos y directorios.
Se han cifrado los archivos sensibles mediante EFS u otra utilidad de cifrado de
archivos.
Protocolos
Se han deshabilitado NetBIOS y SMB (se han cerrado los puertos 137, 138, 139 y
445).
Se ha deshabilitado el servicio UPnP.
Se utiliza el cortafuegos personal de Windows XP u otro producto similar.
Se ha deshabilitado el escritorio remoto si no se utiliza.
Cuentas
Las cuentas de usuario utilizan contraseña.
Se han borrado o deshabilitado las cuentas inactivas o innecesarias.
Se ha comprobado que la cuenta para el acceso como invitado (Invitado o Guest) está
deshabilitada.
Se han aplicado directivas de contraseñas robustas.
Se han aplicado directivas de bloqueos de cuentas.
Se ha desactivado el intercambio rápido de usuarios.
Se ha activado la protección con contraseña del protector de pantalla.
Servicios
Se han deshabilitado todos los servicios innecesarios.
Se utilizan cuentas no privilegiadas para ejecutar los servicios.
Registro
Se ha protegido el Registro ante accesos anónimos.
Se han aplicado los permisos adecuados en las ACLs del Registro
Se ha restringido el acceso a la información de la LSA pública del sistema.
Recursos compartidos
Se han eliminado todas las comparticiones innecesarias de archivos y carpetas.
Se han fijado los permisos apropiados en las ACLs de archivos y carpetas que es
necesario compartir.
Configuración segura de servidores
con Windows 2000/2003
Parches y actualizaciones
Se han instalado los últimos Service Packs.
Se han instalado los últimos HotFixes postServicePacks apropiados.
Se ha implantado una estrategia de actualizaciones de seguridad con WUS o SMS.
Apéndice A: Listas de tareas de seguridad 383
Mantenerse seguro
Se ejecuta regularmente MBSA para comprobar la necesidad de instalar nuevas ac-
tualizaciones.
Se realizan copias de seguridad regularmente y se almacenan en lugar seguro.
Se han activado y se monitorizan regularmente los registros de auditoría.
Se utilizan directivas de restricción de uso de software.
Se ha instalado un antivirus, está activo y se mantiene continuamente actualizado.
Se ha suscrito al servicio de notificación de seguridad de Microsoft y a otras listas
similares de los fabricantes del resto de productos y equipos de la organización.
Se realizan auditorías periódicas, por personal interno o mejor contratadas externa-
mente.
Sistema de archivos
Se ha verificado que todas las particiones de disco se han formateado como NTFS.
Se han protegido archivos y directorios.
Se han eliminado kits de recursos, utilidades y SDKs.
Se han eliminado las aplicaciones de ejemplo de las aplicaciones instaladas.
Protocolos
Se han deshabilitado NetBIOS y SMB (se han cerrado los puertos 137, 138, 139 y 445).
Se ha fortalecido la pila TCP/IP.
Cuentas
Se ha verificado que la cuenta del Administrador posee una contraseña robusta.
Se han borrado o deshabilitado las cuentas inactivas o innecesarias, tanto de usuarios
como de aplicaciones y servicios.
Se ha comprobado que la cuenta para el acceso como invitado (Invitado o Guest) está
deshabilitada.
Se han aplicado directivas de contraseñas robustas.
Se han aplicado directivas de bloqueos de cuentas.
Se ha configurado de manera segura la cuenta del Administrador: la cuenta Admi-
nistrador se ha renombrado, se ha creado una cuenta señuelo sin privilegios llamada
Administrador, se ha habilitado el bloqueo de la cuenta Administrador auténtica
mediante la utilidad passprop y en equipos en un dominio se ha deshabilitado la
cuenta de Administrador local.
Se ha revocado el permiso “Depurar programas” a todas las cuentas, excepto las que
lo necesiten.
Se ha configurado un mensaje de aviso durante el inicio de sesión.
Se han restringido los inicios de sesión remotos: El privilegio “Acceder a este quipo
desde la red” se ha eliminado del grupo Todos.
Se ha activado la protección con contraseña del protector de pantalla.
Servicios
Se han deshabilitado todos los servicios innecesarios.
No se han instalado aplicaciones innecesarias para la función que cumple el servidor.
Se utilizan cuentas no privilegiadas para ejecutar los servicios.
384 Seguridad informática para empresas y particulares
Registro
Se ha protegido el Registro ante accesos anónimos.
Se han aplicado los permisos adecuados en las ACL del Registro
Se ha restringido el acceso a la información pública de la LSA del sistema.
Recursos compartidos
Se han eliminado todas las comparticiones innecesarias de archivos y carpetas.
Se han fijado los permisos apropiados en las ACL de archivos y carpetas compartidos.
Configuración segura de redes
Routers
Se han instalado los últimos parches y actualizaciones de seguridad.
Se ha suscrito al servicio de notificación de alertas de seguridad del fabricante.
Se han bloqueado los puertos vulnerables conocidos.
Se ha habilitado el filtrado de ingreso y egreso.
Se verifica que los paquetes entrantes/salientes provienen de redes externas/internas.
El tráfico ICMP no llega a la red interna.
Se conocen todos los interfaces de administración del router, están protegidos de
forma segura y no son accesibles a través de Internet.
Se han deshabilitado los servicios que no se usan, como por ejemplo TFTP.
Se utilizan contraseñas robustas.
Se ha habilitado la auditoría y se monitorizan los registros en busca de comporta-
mientos anómalos.
Los paquetes del protocolo RIP se bloquean en el router más exterior.
Switches
Se han instalado los últimos parches y actualizaciones de seguridad.
Se conocen todos los interfaces de administración y están protegidos de forma segura.
Se han deshabilitado los interfaces de administración que no se usan.
Se han deshabilitado los servicios que no se usan.
Los servicios disponibles se han asegurado.
Cortafuegos
Se han instalado los últimos parches y actualizaciones de seguridad.
Se han activado los filtros necesarios para impedir la entrada de tráfico no deseado.
Los puertos no usados se bloquean por defecto.
Los protocolos no usados se bloquean por defecto.
Se ha configurado IPSec para comunicaciones cifradas dentro de la red perimetral.
Se ha activado la detección de intrusos en el cortafuegos.
Redes inalámbricas (WLAN)
Los AP se han ubicado hacia el interior del edificio, en lugar de junto a ventanas y
muros exteriores.
Los AP se apagan cuando no son necesarios.
Se han cambiado los SSID predeterminados en los AP.
Apéndice A: Listas de tareas de seguridad 385
Se ha deshabilitado la característica de SSID multidifusión, de manera que el SSID
del cliente deba coincidir con el del AP.
Los SSID no reflejan nombres que puedan adivinarse fácilmente, como el nombre de
la organización, departamentos, productos, etc.
Se han cambiado todos los parámetros predeterminados del AP.
Se han deshabilitado todos los interfaces de administración del AP no utilizados.
Se han habilitado todas las características de seguridad del AP, incluyendo el cifrado
y autenticación WEP.
Las claves de cifrado tienen como mínimo 128 bits de longitud.
Se ha instalado un cortafuegos entre la red cableada y la red inalámbrica (el AP).
Se han utilizado listas de control de acceso basadas en MAC, cuando los equipos que
se conectan a la WLAN son siempre los mismos.
Se ha utilizado una solución de VPN basada en IPSec para conexión segura de esta-
ciones inalámbricas a la red cableada.
Los AP se han protegido con contraseñas robustas, que se cambian regularmente.
Uso de Internet
Navegador
Se han instalado los últimos parches y actualizaciones de seguridad.
Se ha abandonado Internet Explorer y se usa en su lugar un navegador más seguro,
como Opera o Mozilla FireFox.
Se está utilizando un navegador con potencia criptográfica de 128 bits para las cla-
ves de cifrado.
En Internet Explorer, se ha establecido el nivel de seguridad Alto para la zona de
seguridad Internet y se han añadido a la zona de confianza los sitios frecuentemente
visitados.
Se borra el Historial y el caché de navegación regularmente.
Se bloquean las cookies de terceros.
Se bloquean los anuncios y ventanas emergentes.
No se utiliza el autocompletado de campos de formularios, especialmente contraseñas.
No se ejecutan programas descargados desde Internet sin escanearlos antes con un
antivirus actualizado.
Se utiliza SSL cuando se transmite información confidencial.
Se ha instalado un filtro de contenidos.
Correo electrónico
Todos los mensajes se leen como texto sin formato.
No se abren archivos adjuntos a los mensajes de correo.
Se ha instalado un programa de filtrado antispam.
Se cifra el correo confidencial.
En los mensajes de correo, se desconfía de toda la información para hacerse rico,
chollos, y no se siguen enlaces directos a bancos, comercios, etc.
Referencias y lecturas complementarias
Aquellos lectores que deseen confeccionar listas de tareas de seguridad mucho más exhaus-
tivas y para un número mucho mayor de dispositivos, servicios y configuraciones de red,
pueden acudir a varios sitios de referencia, como los siguientes:
386 Seguridad informática para empresas y particulares
Checklists/Implementation Guides http://csrc.nist.gov/pcig/cig.html
Security Checklists and Resource Guides
http://www.microsoft.com/technet/
CERT Security Practices security/chklist/default.mspx
http://www.cert.org/security-
improvement/practices/practices.html
Apéndice B: Herramientas de seguridad 387
> Apéndice B
Herramientas
de seguridad
387
388 Seguridad informática para empresas y particulares
E ste apéndice reúne en un solo sitio todas las herramientas mencionadas a lo largo del
libro, con el fin de facilitar su búsqueda rápida. Las herramientas se han agrupado en
las siguientes categorías:
j Auditoría y ataque en Internet.
Auditoría y ataque en redes locales.
Análisis forense.
Protección.
i Enlaces adicionales hacia información general sobre seguridad.
Herramientas de auditoría y ataque en Internet
Escaneo de puertos
Nmap www.insecure.org/nmap
SuperScan www.foundstone.com
NScan www.nscan.org
Enumeración www.hping.org
www.visualware.net
Hping www.solarwinds.net
VisualRoute www.thc.org
Solarwinds www.bindview.com
Probe www.technotronic.com
Icmpenum www.samspade.org
Legion www.packetfactory.net
SamSpade www.networksolutions.com
Firewalk www.nro.net
Whois (datos del dominio)
NRO (datos de una IP)
Fingerprinting de sistema operativo
Nmap www.insecure.org/nmap
Xprobe www.sys-security.com/html/projects/X.html
P0f lcamtuf.coredump.cx/p0f.shtml
Apéndice B: Herramientas de seguridad 389
Fingerprinting de aplicación
Httprint net-square.com/httprint
THC-Amap www.thc.org
THC-Vmap www.thc.org
Rastreo de información www.inetcat.org
www.atstake.com
NBTScan www.atstake.com
Nbtdump www.atstake.com
Dcetest www.bindview.com www.atstake.com
Rpcdump www.monkeymental.com
Ncpquery www.pheloelit.de
Cdrp www.phenoleit.de
IRPAS www.nta-monitor.com/ike-scan
Hijetter
Ike-Scan
Escaneo de vulnerabilidades
Nessus www.nessus.org
Internet Scanner www.iss.net
Retina www.eeye.com
NetRecon www.symantec.com
LanGuard www.gfi.com
SATAN www.fish.com/satan
Cracking de contraseñas
hydra www.thc.org
Brutus www.hoobie.net/brutus/
John The Ripper www.openwall.com/john
Crack www.crypticide.com/users/alecm
390 Seguridad informática para empresas y particulares
Cain&Abel www.oxid.it
LC5 www.atstake.com
War Dialers www.thc.org
www.securityfocusonline.com/tools/category/26
THC www.sandstorm.net
ToneLoc www.securelogix.com/telesweepsecure
PhoneSweep
Telesweep
Ataque de aplicaciones Web
Nikto www.cirt.net
appscan www.sanctuminc.com
n-stealth www.nstalker.com
Typhoon www.nextgenss.com
WebInspect www.spidynamics.com
Puertas traseras y acceso remoto (detección)
ChkrootKit www.chkrootkit.com
Addware www.lavasoft.de
Spyware Doctor www.pctools.com
PestPatrol www.pestpatrol.com
Puertas traseras y acceso remoto (creación)
NT rootkit www.megasecurity.org/Tools/
Nt_rootkit_all.html
AFX tools www.iamaphex.cjb.net
Beast www.irwebcenter.com/main/download
Exejoiner people.freenet.de/1543/hackerfiles.html
EliteWrap homepage.ntlworld.com/chawmp/elitewrap
Apéndice B: Herramientas de seguridad 391
Varios www.megasecurity.org/Trojaninfo.html
club.telepolis.com/ramonme/troyanos.htm
members.fortunecity.com/proyectox/troyanos.htm
Ataque de bases de datos
AppSentry www.integrigy.com/appsentry.htm
AppDetective www.appsecinc.com/products/appdetective
Database Scanner www.iss.net
NGSSquirrel SQL www.nextgenss.com
NGSSquirrel Oracle www.nextgenss.com
Microsoft SQL Server Best www.microsoft.com/sql
Practices Analyzer
Denegación de servicio (DoS)
packit www.packetfactory.net
Ipsorcery www.legions.org/~phric/ipsorcery.html
ISIC www.packetfactory.net
Nemesis www.packetfactory.net
Engage Packet Builder www.engagesecurity.com
Land / Latierra / Smurf / Fraggle / www.rootshell.com
teardrop / newtear / Bonk / syndrop
Herramientas de auditoría y ataque en redes locales
Redirección de puertos
WinRelay ntsecurity.nu/toolbox/winrelay
Fport www.foundstone.com
Sniffers www.nextgenss.com/sniff.htm
www.monkey.org/~dugsong/dsniff
NG Sniff demosten.com/dasniff
dSniff www.ethereal.com
daSniff
Ethereal
392 Seguridad informática para empresas y particulares
Sniffit reptile.rug.ac.be/~coder/sniffit/sniffit.html
www.symbolic.it/Prodotti/sniffit.html
TCPDump
WinDump www-nrg.ee.lbl.gov
windump.polito.it
War Driving www.sec33.com/sniph/aerosol.php
airsnort.shmoo.com
Aerosol www.kismetwireless.net
AirSnort www.netstumbler.com
Kismet sourceforge.net/projects/wepcrack
NetStumbler www.cqure.net/tools08.html
WEPCrack
WaveStumbler
Falsificación ARP www.oxid.it
www.fefe.de/arprelay
Cain&Abel www.chrismc.de
arprelay ettercap.sourceforge.net
XArp
Ettercap
Herramientas de análisis forense
Captura de la evidencia
dd uranus.it.swin.edu.au/~jn/linux/rawwrite/dd.htm
The Coroner’s Toolkit www.fish.com/tct
prcview www.xmlsp.com/pview/prcview.htm
ProcessExplorer www.sysinternals.com
FileMonitor www.sysinternals.com
Tcpview www.sysinternals.com
PortMonitor www.sysinternals.com
RegistryMonitor www.sysinternals.com
Apéndice B: Herramientas de seguridad 393
handle www.sysinternals.com
listdlls www.sysinternals.com
Strace www.securiteam.com/tools/5WP0C000HY.html
pwdump3 www.polivec.com/pw3dump/default.htm
Dumpacl www.somarsoft.com
Dumpsec www.somarsoft.com
Sentinel www.packetfactory.net
promiscdetect ntsecurity.nu/toolbox/promiscdetect
Análisis de la evidencia volátil
grep www.wingrep.com
strings www.sysinternals.com
Análisis de logs www.microsoft.com/windows2000/downloads/
tools/logparser
Log Parser
tud.at/programm/fwanalog
fwanalog
swatch swatch.sourceforge.net
Herramientas de protección
Antispam
G-Lock SpamCombat www.glocksoft.com/sc
K9 www.keir.net/k9.html
Outlook Security Agent www.outlooksecurityagent.com
SpamFighter www.spamfighter.com
Spamihilator www.spamihilator.com
SpamPal www.spampal.org
Antivirus info.ahnlab.com
AhnLab, Inc.
394 Seguridad informática para empresas y particulares
Aladdin www.ealaddin.com
ALWIL Software www.avast.com
Authentium www.authentium.com
BullGuard Ltd. www.bullguard.com
Cat Computer Services www.quickheal.com
Computer Associates Intl www3.ca.com
DialogueScience, Inc. www.dials.ru
F-Secure Corp. www.f-secure.com
GFI www.gfi.com
GRISOFT www.grisoft.com
HAURI Inc. www.globalhauri.com
Kaspersky Lab. www.kaspersky.com
McAfee Security, a division www.networkassociates.com
of Network Associates
Norman Data Defense Systems, Inc. www.norman.com
Panda Software www.pandasoftware.com
Proland Software www.protectorplus.com
Sophos www.sophos.com
Sybari Software, Inc. www.sybari.com
Symantec www.symantec.com
Trend Micro, Inc. www.trendmicro.com
VirusBuster Ltd. www.virus-buster.com
Zero-Knowledge Systems Inc. www.zeroknowledge.com
Antivirus gratuitos www.grisoft.com/us/us_dwnl_free.php
AVG Free Edition www.bitdefender.com/bd/site/
products.php?p_id=24
BitDefender Free Edition v7
AntiVir Personal Edition Apéndice B: Herramientas de seguridad 395
Free avast! 4 Home Edition www.free-av.com
www.asw.cz/eng/products/desktop_protection/
Antispyware
home_edition/free_avast_4_home_ed.html
Ad-Aware
NetCop System Shield www.lavasoftusa.com
Optout www.net-cop.com
SpyBot S&D grc.com/optout.htm
Spychecker security.kolla.de
SpyRemover www.spychecker.com/spychecker.html
Spy Sweeper www.itcompany.com/remover.htm
www.Webroot.com/wb/products/spysweeper/
Spyware Remover
WinPatrol index.php
Panda Platinum Internet Security www.bulletproofsoft.com/spyware-remover.html
SpywareBlaster www.billp.com
SpywareGuard www.pandasoftware.es/productos/platinum_is
SpyStopper www.wilderssecurity.net/spywareblaster.html
www.wilderssecurity.net/spywareguard.html
Anonimato www.itcompany.com/spystop.htm
HiProxy www.helgasoft.com/hiproxy
Multiproxy www.multiproxy.org
Anonymity 4 Proxy www.inetprivacy.com
Steganos Internet Anonym www.steganos.com
SocksCap www.socks.permeo.com
SocksChain www.ufasoft.com/socks
Borrado de rastros www.mindsoftWeb.com/productos/evidence.htm
MindSoft Evidence Eraser
396 Seguridad informática para empresas y particulares
Privacy Guardian www.winguides.com/privacy
Steganos Internet Trace Destructor www.steganos.com/?product=itd
Tracks Eraser Pro www.acesoft.net
Privacy Inspector www.magictweak.com/privacyi.htm
NoTrax www.heidi.ie/NoTrax/default.php
Borrado de disco www.heidi.ie/eraser
www.sysinternals.com/ntw2k/source/sdelete.shtml
Eraser www.pgpi.org
SDelete
PGP
Confidencialidad www.securstar.com
www.jetico.com
DriveCrypt www.utimaco.com
BestCrypt www.dekart.com
SafeGuard PrivateDisk www.pgpi.org
Dekart Private Disk www.winmagic.com
PGPDisk www.safeboot.com
SecureDoc www.articsoft.com
SafeBoot www.thales-esecurity.com
DiskAssurity www.stonewood.co.uk
Guardisk www.pgpi.org
FlagStone www.spammimic.com
PGP www.steganos.com
Spam Mimic www.stunnel.org
Steganos www.openssh.com
Stunnel
SSH
Apéndice B: Herramientas de seguridad 397
Cortafuegos personales www.zonelabs.com
www.kerio.com
ZoneAlarm www.agnitum.com
Kerio
Outpost
Integridad www.gfi.com/languard
www.tripwiresecurity.com
LANGuard sourceforge.net/projects/eics
Tripwire www.etree.org/md5com.html
Easy Integrity Check System www.slavasoft.com
md5sum
fsum
Disponibilidad www.veritas.com
www.managementsoftware.hp.com
NetBackup www.legato.com
OpenView OmniBack www.ca.com
Legato NetWorker www.commvault.com
ARCserveIT www.tivoli.com
Galaxy www.syncsort.com
Tivoli Storage Manager www.ultrabac.com
Backup Express www.stbernard.com
Ultrabac
Open File Manager
Información general www.phrack.com
www.iec.csic.es/criptonomicon
Revistas/Boletines www.counterpane.com/crypto-gram.html
www.2600.com
Phrack
Criptonomicón
Crypto-Gram
2600
398 Seguridad informática para empresas y particulares
Security magazine www.secmag.com
Set Ezine www.set-ezine.org
Disaster Recovery www.drj.com
Convenciones www.blackhat.com
www.defcon.org
Blackhat www.ccc.de
Defcon www.h2k.net
CCC www.sans.org
H2K www.gocsi.com
SANS www.usenix.org
CSI / NetSec www.rsaconference.com
Usenix www.securmatica.com
RSA Data Security
Securmática
Certificaciones (cursos) www.isaca.com
www.isc2.com
CISA www.giac.com
CISSP www.isecom.org
GIAC www.instisec.com
ISECOM www.sans.org
ISI
SANS
Centros de respuesta www.cert.ort
Cert www.rediris.es/cert
Cert España escert.upc.es
Ciac www.ciac.org/ciac
First
www.first.org/team-info
Portales de seguridad Apéndice B: Herramientas de seguridad 399
SecurityFocus www.Securityfocus.com
PackeStorm www.packetstormsecurity.com
Antionline www.antionline.com
Subterrain www.Subterrain.net
Securiteam www.securiteam.com
NewOrder neworder.box.sk
Cipherwar www.cipherwar.com
Hackers www.hackers.com
Hackers Club www.hackersclub.com
MegaSecurity www.megasecurity.org
Hack Hispano www.hackhispano.com
Noticias www.hispasec.com
alerta-antivirus.red.es
Hispasec www.securityfocus.com
Alerta Antivirus www.infosyssec.com
Security Focus
Infosyssec www.atstake.com
www.phenoelit.de
Grupos de seguridad www.thc.org
www.wiretrip.net
AtStake ntsecurity.nu
Phenoelit www.bindview.com
THC www.sysinternals.com
Rain Forest puppy www.engagesecurity.com
NtSecurity
BindView
SysInternals
EngageSecurity
400 Seguridad informática para empresas y particulares
Packetfactory www.packetfactory.com
W00w00 www.w00w00.org
CdC www.cultdeadcow.com
ADM www.packetstormsecurity.org/groups/adm
Rhino9 www.technotronic.com
TESO www.packetstormsecurity.org/groups/teso
CCC www.ccc.de
Índice 401
> Índice
.NET, 149 Agujeros de seguridad, información, 264
24x7, 18 AirSnort, 205
2600 Hz, 22 Aislados, equipos, 240
3DES, 96, 99 Aislamiento de Internet, 212
802.11b, 173 Ajuste de patrones, 274
802.11g, 173 Akamai.net, 61
802.11i, 204 Alcanzar seguridad, 11
802.1q, 170 ALE, 31, 32, 35, 144
802.1X, 209 Almacenamiento seguro, 137
Altair 8800, 22
A Amenazas a la información, 2, 3, 4,
Acceso no autorizado, 95, 240 7-10, 30
Acción a distancia, 28 Análisis
ACE, 355. Véase también Entradas de
cualitativos, 31
control de acceso cuantitativos, 31
ACK, 182 de programas sospechosos, 375
ACL, 97, 149 de riesgos, 29
Acreditación, 20 de vulnerabilidades, 338
ActiveX, 50, 296 forense, 369-375
Activos de información, 4, 30 Anillos de usuarios, 101
Actualizaciones de seguridad, 35, 41, 42 Anomalías, detección de, 273
Anonimato, 49-60
automáticas, 259 navegación, 49-56
gestión de, 257-262 correo, 57-60
proceso de gestión de, 258 Anonimizador, 50
Ad-Aware, 64 AntiSpam, 43, 90, 228, 289, 316, 326
ADLER32, 120 Antispyware, 64
Adrian Lamo, 25 Antivirus, 41, 276, 280, 282, 284, 285,
ADSL, 201
AES, 96 298-306
Agencia europea de seguridad de las redes y actualización, 302
defensa en profundidad, 301
de la información, 2 educación y concienciación, 303
Agentes de recuperación de claves, 102 gestión de, 300-304
herramientas, 304-306
401
402 Índice BlueSnarfing, 204
Bluetooth, 204
respuesta a nuevos virus, 303 Bombas lógicas, 294
AP, 174, 207 BORME, 337
Aplicaciones de cliente, fortalecimiento, 277-286 Borrado
Aplicaciones de servidor, fortalecimiento, 270-276
APNIC, 365 de pistas, 341
AppDefend, 276 de rastros, 71
AppDetective, 275 de streaming, 74
Applets de Java, 295 seguro, 74
Appliance, 224 Borrar contraseñas, 74
AppRadar, 276 Boundary Routers, 215
AppSentry, 275 Bridge, 171
AppShield, 273 Broadcast, 170
Archivo Hosts, 63 Bromas, 297
ARIN, 365 Brutus, 190
Armarios ignífugos, 137 BS7799:1, 38
ARO, 32, 144 BS7799-2:2002, 38
ARP, 169 Búfer, desbordamiento de, 271
ARP Spoofing, 192 Bugnosis, 62
ARPANET, 23, 167 Bugs, 188
Asesor de contenidos de Internet Explorer, 287-288 Bulos, 297, 311-313
AT&T, 23 Business Impact Analysis (BIA), 144
Ataques ICMP, protección contra, 269
Ataques SNMP, protección contra, 270 C
Ataques SYN, protección contra, 269
AtStake, 191 CA, 153, 158
Auditoría, 86, 150, 354-369 Caballos de Troya. Véase Troyanos
Cabeceras de correo, 58
acceso a objetos, 363 Cable modem, 201
configuración, 356 Cache, 49
de aciertos, 361 Cain & Abel, 192, 198
de errores, 361 Canal de fibra, 130
Entrada/Salida, 362 Canguro Net, 290
herramientas automatizadas, 262 Capitán Crunch, 22
otras plataformas, 364 Capitán Net, 304
procesos, 363 Captura
rastros de, 256
revisión de registros, 359 de la evidencia, 369
Auditorías de seguridad, 266 de la evidencia volátil, 369
Aureate, 60 de memoria, 370
Autenticación, 85, 96, 146 de procesos, 371
Automatic System Recovery (ASR), 141 de red, 371
Automatización de ataques, 28 de usuarios, 371
Autorización, 85, 96, 148 Criterios Comunes (CC), 38
AV, 144 CDRW, 137
Centralización de la seguridad, 49
B CERT, 20, 351
Certificado de protección de correo electrónico, 160
Back Orifice, 24, 294 Certificados, 103
Bagle, 24 digitales, 147, 152
Balanceo de carga, 130 entidad certificadora, 156
Barras de navegación, 281 personales, 156
Bayesiano, aprendizaje, 322 servidor, 156
BBS, 22 software, 156
Beacon Frames, 174 CFAA, 36
Bill Joy, 25 CHAP, 245
BindView, 371 Chat, seguridad, 283-286
Blaster, 34, 293 Checklists, 15, 380-386
Bloquear equipo, 244 Checkpoint, 24
Bloqueo de direcciones, 276 CheckPoint FW 1, 227
Blowfish, 98
CheckPoint VPN 1, 233 Índice 403
CID, 25, 26, 94-146
Cifrado ActiveX, 296
administrativos, 10
de archivos, 98 correctivos, 334
de comunicaciones, 87, 107-116 detectivos, 334
de datos, 96 disuasorios, 334
de discos, 107 físicos, 9
en el correo, 110 preventivos, 334
en el navegador, 109 técnicos, 10
hardware, 108 Cookies, 64-71, 297
Cifrar en Windows, 99 anonimato, 67
Cipher, 76, 104 confidencialidad, 67
Cisco IOS, 228 protección, 68
Cisco PIX, 227 riesgos, 67
Cisco Security Agent, 272 Copia de seguridad, 85, 132
Cisco VPN, 233 utilidad Windows, 139
Clasificación de datos, 97 Copia respaldo,
Clave maestra de usuario, 105 abuelo-padre-hijo, 135
Clave pública, 153 completa, 132
CLIENT_IP, 52 diferencial, 132
Cluster, 130 duración, 134
Cobra, 32 incremental, 132
Code Access Security (CAS), 149 padre-hijo, 135
Code Red, 293 torres de Hanoi, 135
CodeSeeker, 273 Windows, 138
Código móvil malicioso, 294-296 Correctivo, 9
Cold Site, 145 Correo anónimo, 57
Cold Stand By, 130 Correo electrónico, recomendaciones de seguridad,
Comercio electrónico, 91
Comisión de la Unión Europea, 81 282-283
Commit, 121 Cortafuegos, 41, 172, 211-229
Community, 182
Comodidad, 11 de aplicación, 273
Completar el ataque, 341 debilidades, 214
Compromiso, 12 del sistema operativo, 266
Computer Fraud and Abuse Act, 23 departamental, 225
Concentrador, 170 empresarial, 224
Conexión anónima, 268 personal, 219
Confianza, 19 servicios, 212
Confidencialidad, 94 Cortafuegos XP, 220
Configuración de seguridad mejorada para Internet Cost Benefit Analysis (CBA), 29
Cracker, 335
Explorer, 278 Cracking de contraseñas, 189
Configuración y análisis de seguridad, 254-255 Cramm, 32
Conmutador, 170 CRC, 118
Constancia del nombre de dominio, 88 CRC32, 120
Contramedida, 30 Creación de información, 7
Contraseñas, 146 Criminal Code of Canada, 23
CRL, 153, 158, 161
caducidad de, 244 CrossBeam, 228
complejidad de, 244 Crossover Error Rate (CER), 148
directivas de, 244-246 Cross-Site Scripting, 219, 271, 367
historial de, 244 CSI, 2, 20, 34
sugerencias de, 243 CSMA/CD, 170
Contratación vía electrónica, 90 CSP, 155
Control de contenidos, 287-290 CSV, 368
en el proveedor, 290 Cualificación, 18
para la empresa, 289 Cuentas,
para niños, 288 bloqueo de, 244
Controlar acceso, 42 desactivación, 243
Controlar ejecución, 43 protección de, 243-244
Controles CVP, 228
Cybersmearing, 48
404 Índice
D Director de la AEPD, 81
Directorio Activo, 240
DACL, 355. Véase también Listas de control de acceso Directrices, 15
discrecional Discos USB, 107
Disponibilidad, 94, 122
Dan Farmer, 23 Distribución de soportes, 87
Dark Avenger, 25 Disuasorio, control, 9
DAS, 128 DLT, 136
DAT, 136 DMCA, 36
Data Decryption Field (DDF), 100 DMZ, 225
Data Protection API, 105 DNS, 63, 192
Data Recovery Field (DRF), 102 Dominio, equipos en, 240
Database Scanner, 275 DOS, 177
DceTest, 187 DoubleClick, 61
dd, 370 Download.Ject, 277
Ddos, 39, 122, 177 DRP, 143
Deceptive Applications, 353 Dumpster Diving, 338
Decoy, 365 DVD RW, 137
Decreto 22/1998, 88
DECT, 210 E
Defensa,
EAC, 31
a fondo, 212 EAP, 209
de aplicaciones, 28 EF, 32, 144
de datos, 28 EFK, 99
de equipos, 28 EFS, 76, 99
en profundidad, 25-29 EFSDump, 104
en red, 28 EISP, 14
perimetral, 27 Ejecución de código, 240
Degaussing, 75 Ejecución en la pila, 340
Delaware, 23 Ejecutar como, 246
Delito, 335 El Cóndor, 23
Denegación de servicio, 240 Electronic Vaulting, 146
Denial of Service, 122 Eliminar el riesgo, 30
Dennis Ritchie, 25 Endurecimiento. Véase Fortalecimiento
Dependencia, 19 Enmascaramiento, 49
DES, 96 Entradas de control de acceso, 251
Desbordamiento de búfer, 271 Enumeración, 178, 240
Descubrimiento, servicio de, 269 Eraser, 76
DESX, 99 Eric Corley, 25
Detección de intrusos, 212, 342-350 Errores de aplicación, 271
Detectar ataques, 8 Escalabilidad, 19
Detectivo, control, 9 Escalada de privilegios, 240, 340
DHCP, 208 Escaneo de vulnerabilidades, 188
Dialer, 40, 200-201, 314 Escritorio despejado, política de. Véase Puesto de
Digital Impact, 62
Dirección de la seguridad, 27 trabajo despejado
Direcciones IP, 23, 39, 49-55, 57-58, 61-63, 172, 202, Escritorio remoto, 269
Escuchas Web, 62
214-216, 365 esNIC, 337
Directiva 1999/93/CE, 91 ESP, 116
Directiva 2000/31/CE, 91 ESRBI, 287
Directiva 95/46/CE del Parlamento Europeo, 88 ESTABLISHED, 185
Directiva de grupo, 240 Estafetas, 59
Directiva de restricción de uso de software, 248-250 Estándares de seguridad, 15
Esteganografía, 113
evaluación de reglas, 249 Ethereal, 193
niveles de seguridad, 248 Ethernet, 170
reglas adicionales, 249 Etrust, 227
tipos de reglas, 248 Ettercap, 199
Directiva de seguridad, 360
Directiva de seguridad local, 243
Directiva Europea 93/1999, 36
Directivas de clave pública, 102
Índice 405
Eudora, 326 Gestión de soportes, 85
Evaluar seguridad, 11 GET, 367
Exchange Server Edge, 277 GigaEthernet, 170
Exchange, protección, 277 GLB, 37
Experiencia en seguridad, 20 GNU PG, 98
Explorador de Windows, 255-256 Google, 281
Exposición, 6, 30 GPRS, 210
Ext2, 373 GPS, 196
Extensiones de archivo, ocultar, 256 GRE, 230
Externalización, 17-19 Grep, 373
Extranet, 167 Grupo 414, 23
GSM, 210
F Gusanos, 40, 240, 292-293
Guttman, 76
FailOver, 228
False Aceptation Rate (FAR), 148 H
False Rejection Rate (FRR), 148
Falsificación IP, 178 Hacker, 22, 335-342
Falso Negativo (FN), 343 Hamming, 128
Falso Positivo (FP), 343 Hardening. Véase Fortalecimiento
FastEthernet, 170 HardTCP, 269
FAT, 75, 373 Harvesting, 176
FBI, 23 Hash, 117
File Signature Checker (FSC), 118 HDSL, 201
Filtrado de paquetes, 214 Heurística, detección de virus, 299
Filtrado, ActiveX, 217 HIDS, 347
Fingerprinting, de aplicación, 186 Hijacking, 176
Fingerprinting, de SO, 185 Hijetter, 187
FIRE, 372 HIPAA, 36
FireFox, 278 HIPS, 353
Firewall. Véase Cortafuegos Historia de la seguridad, 20
Firma de archivos, 119 HIVE, 273
Firma digital, 151 HMAC, 122
Firmar mensaje, 112 Hoax. Véase Bulos
Firmas electrónicas, 150 Home-RF, 173
Firmas, detección de virus, 298 Hot site, 145
FN, 343 Hot Stand By, 130, 226
Formación y concienciación, 303 Hotfixes, 257
Fortalecimiento, Hotmail, 57, 68, 311, 317, 326
How-to, 15
de aplicaciones, 238, 270-290 Hping, 180
de red, 238, 266-270 HSM, 137
del sistema operativo, 238, 239-266 HTTP, 65, 168
Foundstone, 371 HTTP_VIA, 52
FP, 343 HTTP_X_FORWARDED_FOR, 52
Fport, 185, 372 Https, 110
Fragmentación IP, 169, 366 Hub, 170, 347
Fraude, 41 Huella digital, 154
fsum, 120 HushMail, 59
FTP, 168 HVAC, 124
Funciones de seguridad, 17 Hydra, 190
Fyodor, 25
I
G
IANA, 169
Gateway, 172, 216 ICMP, 169
Generalidad, 19 ICRA, 287
Gestión de excepciones, 131 ID de seguridad, 251
406 Índice JavaScript, 296
Jerarquía normativa, 16
IDEA, 98 John Badham, 22
Identidad de código, 149 John Draper, 22
Identificación biométrica, 147 John The Ripper, 191
Identificación del objetivo, 337 Jump Point, 39
IDS, 18, 117, 336, 342 Justicia Poética, 64
Ids digitales, 112
IDS, K
anomalías, 345 Ken Thompson, 25
configuración, 349 Kerberos, 116
en línea, 353 Kerio Personal Firewall, 220, 222
firmas, 345 Kevin Mitnick, 23
patrones, 345 Kevin Poulsen, 25
sistemas, 344 Keylogger, 146, 294
ubicación, 342 Klez, 24
IDSCenter, 350 Knoppix, 372
IISLockDown, 273
IMSecure, 286 L
Incidentes de seguridad, 21
Incidentes, respuesta a, 350-352 L2F, 233
Infección, métodos, 291 L2TP, 229, 233
Infección, recuperación, 306 LAND, 122
Information Leakage, 221 LANMAN, 191
Ingeniería social, 308-315, 338 Larry Wall, 25
Inicio de sesión, mensaje para los usuarios, 245 LC5, 191
Inicio de sesión, pantalla de bienvenida, 243 Legion of Doom, 23
Inspección multinivel, 218 Ley 32/2003, 88
Integración, 19 Ley 34/2002, 91
Integridad, 94, 117 Ley 59/2003, 91
base de datos, 121 Ley 8/2001, 88
de archivos, 346 Ley Firma Electrónica, 147
Intercepción, 7 Ley Orgánica de Protección de Datos. Véase LOPD
InterDo, 273 Ley de Servicios de la Sociedad de la Información.
Internet, 167
Internet Explorer, seguridad, 277-282 Véase LSSICE
Internet Global Congress, 60 LIDS, 346
Interrupción, ataque, 7 Linus Torvalds, 24
Intranet, 167 Listas de control de acceso discrecional, 250
Intruso, 7 LISTEN, 185
Inyección de SQL, 219, 271 Live Communications Server 2003, 286
IP, 169 LMDS, 209
Ipchains, 227 Load Balancing, 226
IPS, 20, 352 LogAnalysis, 369
IPSEC, 104, 116, 233 Loglevel, 366
Iptables, 227 LogParser, 368
IPv4, 167 LOPD, 5, 36, 49, 76, 245
IPv6, 170
IrDa, 203 adopción de medidas, 83
ISA Server, 227 deber de guardar secreto, 81
ISO/IEC 17799:2000, 37 deber de información, 79
ISO/IEC TR 13335, 37 derechos de los ciudadanos, 82
ISP, 49 documento de seguridad, 84
ISSP, 14 flujos de datos, 80
ITSEC, 38 medidas de seguridad, 83
nivel alto, 87
J nivel básico, 84
nivel medio, 85
Jabber, 286 notificación de ficheros, 82
Jaulas, 339
Java, 295
obligaciones legales, 78 Índice 407
principio de calidad de datos, 78
solicitud de consentimiento, 80 NetBIOS, 267
sujetos a la ley, 78 NetBus, 24, 294
LORTAD, 77 Netcat, 211, 372
LSSICE, 13, 36, 49, 88 NetRanger, 24
Netscape, 109
M NetScreen, 227
Netsky, 24
MAC, 169 NetStat, 184
Macro, virus, 291 NetStumbler, 196
Magerit, 32, 33 netviewx, 267
Mal uso, detección de, 274 NetworkSolutions, 337
Mala configuración, 272 NFS, 168
Malware, 39, 240, 290-308 NGSSquirrel, 275
Malware, tipos, 290 NIDS, 347
Mantener seguridad, 11, 256-266 Nikto, 188
Máquina virtual Java (JVM), 295 Nimda, 24, 293
Máquinas virtuales, 306 Niveles de seguridad, Internet Explorer, 281
Máscara, 169 Nmap, 182, 338
Maximum Tolerable Downtime (MTD), 144 No repudio, 150
MBR, 75, 291 Nokia IP appliances, 227
MBSA, 263 Normas de seguridad, 15
MD5, 116, 118 Nortel Contivity, 233
md5sum, 119 Norton Ghost, 372
Medidas cualitativas, 5 NSA, 75
Medidas cuantitativas, 5 NTFS. Véase Sistema de archivos NTFS
Megaproxy, 51 NTFS streaming, 374
Mensajería instantánea, seguridad, 283-286 NTFSDOS, 97
Mensajes de error, 271 NTLM, 191
Message Authentication Code (MAC), 122 null session. Véase Sesión nula
MI. Véase Mensajería instantánea Número de serie, 154
Mirroring, 128
MIT, 22 O
Mitigar el riesgo, 30
Man in the middle (MITM), 177 Octave, 32
Módem, 195, 197, 199-201 Office, seguridad, 283
Modificación de información, 7 Opera, 278
Mozilla, 326 OPSEC, 228
MPLS, 233 Optenet, 289
MSN, 281 Oracle, 274-275
MSSP, 17 Orden 21/02/2000, 91
MTBF, 127 OSI, 167
MTTR, 127 OSPF, 171
MTU, 169 OSSTMM, 38
Multipartitos, virus, 291 Outlook Express, seguridad, 282-283, 323-324
Multiproxy, 52 OutPost, 220, 222
Mydoom, 24 Outsourcing, 17
N P
NAS, 129 P2P, 38
NAT, 171, 213 P2P, seguridad, 283-286
Navegación anónima, 49-57 P3P, 70
Navegación, recomendaciones de seguridad, 277-282 P7B, 155
NbtScan, 187, 267 Packet Builder, 195
NcpQuery, 187 PAN, 203
Nessus, 188, 263 PANAMA, 120
Panda TruPrevent, 272
Pantalla de bienvenida, 243
408 Índice
Parches, 339 Procedimientos de seguridad, 15
Parches, gestión de, 257-262 Procedimientos almacenados, 274, 275
Pasarela proxy, 216 Proceso continuo, seguridad, 10
Patio de juegos, 295, 299 PromiscDetect, 193
Pattern matching. Véase Ajuste de patrones Propagación, 28
Payload. Véase Virus, carga explosiva Protección
PBA, 107
PDA, 126 de las comunicaciones, 197
PDACat, 211 del acceso telefónico, vulnerabilidades, 202
PDCERF, 352 del Hardware, 127
PEAP, 210 Protected Storage Pass View, 73, 282
PenTesting, 18 Protector de pantalla, contraseña de, 244
Perfil del atacante, 21 Proxy, 49, 172
Permisos NTFS, 250 altamente anónimo, 53
Permisos, de archivos o carpetas, 251 anónimo, 53
PFX, 155 CGI, 50
PGP, 76, 98, 112 distorsionador, 53
PGPDisk, 107 HTTP, 50
Phiber Optik, 25 SOCKS, 54
Phising, 310-311 transparente, 53
Phreaker, 22, 335 PSC, 158
PICS, 287 PSI, 131
Pila TCP/IP, fortalecimiento, 269 Puente, 171
PIN, 103 Puesto de trabajo despejado, 244
Ping, 179
PKCS, 155 Q
PKCS #10, 155
PKCS #12, 155 QIC, 136
PKCS #7, 155
PKI, 20, 150 R
Plan,
Radio Enlace, 209
de contingencia, 142 RAID, 127
de continuidad de negocio (BCP), 143 Random Attack, 39
de recuperación ante desastres (DRP), 145 Rapidez de respuesta, 19
de respuesta a incidentes, 350 RAS, 172, 336
Planificación, 12 Rastreo,
estratégica, 13
operativa, 13 de puertos, 182
táctica, 13 oculto, 366
Plantillas de seguridad, 252-253 semiconexión, 366
creación o edición, 253 TCP, 366
opciones de seguridad, 252 Rastros de navegación, 72
predefinidas, 252-253 RAT, 294
Plug and Play, 268 RC4, 98
Plug-in, 111 RC5, 98
Política de seguridad, 14-17, 25, 27, 37, 76, 94, 97, RD 1332/1994, 88
RD 14/1999, 91
200, 207, 211, 214, 216, 239, 246, 248, 257, 270, RD 428/1993, 88
285, 300, 303, 308 RD 994/1999, 88
Polivec, 371 Reactuación, 29
Pop-up, eliminación, 281 Realización de ataque, 340
Port Mirroring, 348 RealSecure, 24
Port Spanning, 348 Received, cabecera, 58
POST, 367 Recopilación de información, 337
Power IE, 281 Recordar contraseñas, 282
PPTP, 229, 233 Recuperación de sistemas, 131
Prevenir, 8 Recuperativo, control, 8, 9
Preventivo, 9 Redes, 166
Principio del mínimo privilegio, 246-248 Redes inalámbricas, 172-175
Privacidad, 40, 70 Redes inalámbricas, protección, 203-210
Privilegio, principio del mínimo. Véase Principio del
mínimo privilegio
Índice 409
Redes personales, 203 Scam. Véase Timos
Reducción de costes, 18 Script Kiddies, 22, 39
Reducir el riesgo, 30 SCSI, 128
Registro, secedit, 255
Sector de arranque, 291
de acceso, 87 Secuestro de sesión, 176
de incidencias, 86 SecureIIS, 273
Registro General de Protección de Datos, 79, 83 SecureSphere, 273
Registro Mercantil, 89 SecurityFocus, 339
Registros, 50 Seguridad,
de auditoría, 354
de sistema, 355 contextos, 3
Registro de Windows, 64, 73, 138, 269, 357 coste, 5
Reglamento 460/2004 de la Comunidad Europea, 2 de contenidos, 212
Reglamento de medidas de seguridad (LOPD), 83 física, 27
Reglas de filtrado, 150 gestión, 2
Relay, 276 gestión en el espacio, 8
REMOTE_ADDR, 52 gestión en el tiempo, 11
Repetidores de correo, 58 por capas, 29
Replay Attacks, 116 reforzada en WiFi, 206
Responsable, Sendmail, 277
de copias, 137 Sentinel, 194
de seguridad, 86 Service Packs, 257
del fichero, 83 Servicios, eliminación de, 241-243
Responsabilidades, 17 Servidor de base de datos, 274-276
Restaurar sistema, 138 ataque, 275
Restricción de ejecución de código, 248-250, 300 protección, 276
Retransmisión de terceros, protección contra, 276 recomendaciones de seguridad, 274
Richard Stallman, 24 Servidor de correo, 276
Riesgo, 3, 4 Servidor Web, 273
Riesgo, análisis, 6, 29-32 Servidor Web, protección, 273
RIP, 171 Sesión nula, 267
Ripe, 337, 365 Set Cookie, 66
Roaming, 175 SHA-1, 116, 118
Robert Morris, 23 Shoulder Sourfing, 146
Robo, controles activos, 126 SID. Véase ID de seguridad
Robo, controles pasivos, 126 SID de usuario, 105
ROC, 344 Simple File Verification, 120
RollBack, 121 Sistema antiincendio, 125
Rollups, 257 Sistema de archivos NTFS, 97, 252, 373
RootKits, 341 Sitios de confianza, 280
Router, 167, 199 Sitios restringidos, 280
RPC, 168 SLA, 20
Rpcinfo, 188 Slammer, 24
RSA, 96, 106 SLE, 32, 144
RSACi, 287 SMAC, 206
Ruta de certificación, 154 SmartCard, 146
SMB, 267
S SMLI, 218
SMTP, 59, 168
S/MIME, 155 Smurf, 122
SACL, 355 Sniffer, 95
Safe Harbor Principles, 81 Sniffing, 176, 192
SafeSurf, 287 SNMP, 168, 182
SAI, 35, 125 Snort, 349-350
SAM, 146 Sobig, 24
SAN, 130 Sobretensión, 125
Sandbox. Véase Patio de juegos Socks, 49
Sans, 15 Sockscap, 54
Sasser, 24 SOCKSv5, 54
Software patrulla para niños, 288
410 Índice T
SOHO, 170, 174, 197, 204, 215, 221, 226, 227, Tap, 336, 348
228, 341 Tarjetas de crédito virtuales, 314-315
Tasa de detección, 343
Solar Designer, 25 Tasa de falsas alarmas, 343
Somarsoft, 371 TCP, 168
SOX, 36 TCP/IP, 167-170
Spam, 39, 43, 62, 276, 289, 297, 315-328 TCP/IP, fortalecimiento, 269-270
TCSEC, 38
aprendizaje bayesiano, 322 TCT, 370
consejos, 326-328 TearDrop, 122
coste, 316 TELNET, 168
cuarentena, 322 THC, 190
destinatarios válidos, 318 TI, 17, 26
Eudora, 326 TIGER, 120
inspección del contenido, 320 TIME_WAIT, 185
inspección del sobre, 317 Timeouts, 131
listas negras, 317 Timos, 297, 313-314
marco para la política de remitentes, 319 TN, 343
Mozilla, 326 Tolerancia a fallos, 123
Outlook 2003, 324 TP, 343
Outlook Express, 323 Traced, 375
protección en el cliente, 322-326 Trazar una ruta, 180
protección en el servidor, 316-322 Trillian, 286
reconocimiento de patrones, 321 Trinux, 372
redes de colaboración, 321 Tripwire, 119
software personal, 326 Trojans. Véase Troyanos
SpamAssasin, 321 Troyanos, 24, 40, 240, 293-294
Spim, 285 Trustworthy Computing, 300
Splitter, 348 Tsutomu Shimomura, 23
Spoofing, 23, 176 TTL, 179
SpyBot, 61 Túneles HTTP, 56
Spyware, 48, 60-64, 297 Túneles SSL, 114
SQL Server, 274-275
SQL Server Best Practices Analyzer, 275 U
SSH, 115, 168
SSID, 175, 207 UDP, 168
SSL, 50, 104, 109, 233 Ulookup, 211
StackGuard, 272 UMTS, 210
stand-alone. Véase Aislados UNE 71501 IN, 37
Steganos, 113 UNE 71502:2004, 37
Steve Wozniaz, 25 UNE-ISO/IEC 17799, 27
StoneGate, 227 UNE-ISO/IEC 17799:2002, 37
STP, 170 UPnP, 268
Strings, 373 UPS, 125
Stunnel, 115 URLScan, 273
SU, 364 US Standard DoD 5220.22-M, 75
Subdominios, 340 Uso de Internet, 43
SubSeven, 294 UTMP, 364
SUID, 340 UTP, 170
Super DLT, 136
Superficie de ataque, reducción de, 241-255 V
SurfControl, 289
Switch, 170, 198 VDSL, 201
Switch Hibrido, 353 Vector de ataque, 296, 335-336
Switch nivel 7, 353 Verisign, 157
Symantec Firewall, 227
SYN, 182
SysInternals, 347
Syslog, 366
SysSP, 14
Systems Management Server (SMS) 2003, 261
Virus, 39, 240, 246, 249, 255, 277, 282, 284, 289 Índice 411
carga explosiva, 291
métodos de infección, 291 WEP, 206
Wi-Fi, 173
VisualRoute, 181
Vladimir Levin, 25 modo Adhoc, 175
VLAN, 170, 233 modo Infraestructura, 174
VMWare, 375 Windows File Protection (WFP), 118
VPN, 18, 121, 213, 229 Windows Scripting Host (WSH), 255
Windows Update, 259
client to site, 232 Windows Update Services (WUS), 260
client to server, 232 WLAN, 173
empresarial, 232 Worms. Véase Gusanos
particular, 230 WSH. Véase Windows Scripting Host
site to site, 232 WTMP, 364
Vulnerabilidad, 30
Vulnerabilidades, 21 X
de Internet Explorer, 278
detección de, 262 X.509, 153
Xail, 25
W xDSL, 201
XML, 70
WAP, 174 X-Originating-IP, 58
WapScan, 211 X-Sender-Ip, 58
WarChalking, 195 XSS. Véase Cross-Site Scripting
Wardialer, 200 X-WINDOWS, 168
WarDialing, 195
WarDriving, 195, 338 Y
Warez, 335
Warm Site, 145 Yahoo, 24, 57, 286, 311, 317, 320, 326, 327
WatchGuard, 227
Web Seguro, 110 Z
Web Spoofing, 109
WebBugs, 60, 61 Zonas de seguridad, Internet Explorer, 279
Websense, 289 ZoneAlarm, 220, 222
Webwasher, 289
412 Índice
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Seguridad informática para empresas y particulares - Gonzalo Álvarez M-FREELIBROS.ORG
Discover the best professional documents and content resources in AnyFlip Document Base.
Search