17 SOLUCION_PREGUNTAS_EMPRESA_WORLD_CORP-GILBERT_JAIR_SANCHEZ_AVILA

•
SIN SIGLA

gilbert Sanchez
27/5/2023
¡Este material tiene más páginas!
Entonces, ¿te gustó este material?
Ayude a animar a otros estudiantes a mejorar el contenido
¿Te gustó este material? ¡Compartir! 🧡
Seguridad Informática

3980 Materiales compartidos
Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
Vista previa del material en texto
Solución Preguntas Empresa ABC World Corp 
Ing.Gilbert Jair Sanchez Avila 
Gilbertjair21@yahoo.es 
Universidad Abierta y a Distancia UNAD 
Especialización en seguridad Informática 
Seguridad en Sistemas Operativos 
 
Resumen: En este informe daremos 
respuestas a dos interrogantes de la 
organización World Corp en materia de 
seguridad informática como parte del trabajo 
investigativo que hemos venido haciendo en 
la materia de seguridad informática en la 
primera parte nos pide investigar los tipos 
ataques mas recientes con su respectivo 
control o modo de disuadir amenazas para sus 
equipos Windows y Linux y en la segunda 
parte de este informe daremos respuesta o 
explicaremos en que consiste un sistema de 
detección de intrusos el cual es importante 
para la seguridad informática de la 
organización al informarnos que tipos de 
intrusos quiere acceder a nuestros sistemas y 
sabotear el desempeño de la organización. 
Palabras claves: Linux, Windows, IPS, 
IDS, Ataques 
 
Pregunta 1: ABC WorldCorp desea saber 
5 ataques actuales y sus respectivos 
controles para sus dos principales Sistemas 
Operativos al interior. Se deben describir 5 
ataques/controles para cada uno de los 2 
sistemas operativos más utilizados en la 
compañía (Windows y Linux) 
 
ATAQUES, VULNERABILIDADES Y 
FORMA DE CONTROLARLAS EN 
EQUIPOS CON WINDOWS: 
1) CONEXIONES O PUERTOS 
ABIERTOS: 
La vulnerabilidad o desventaja radica en que 
si hay puertos abiertos , algún usuario 
indebido puede “hackear” nuestro sistema o 
son puerta de entrada para los diversos tipos 
de malware existentes . 
Un puerto abierto no es necesariamente 
peligroso, estas en riesgo solo si el programa 
que usa el puerto tiene códigos dañinos. Un 
puerto no es abierto por el sistema operativo, 
es abierto por un programa específico 
queriendo usarlo. Para cerrar un puerto, 
usualmente solo es necesario cerrar el 
programa ó servicio que mantiene dicho 
puerto abierto. Así que no hay razón para 
cerrar todos los puertos en tu sistema. En 
realidad, sin tener puertos abiertos, no 
funcionaría internet! 
MODO DE CONTROL: 
Una de las formas de controlarlo es en 
Windows abrir la consola o símbolo de 
sistema , en el cuadro de Windows donde 
dice buscar programas , escribes cmd y le das 
enter una vex allí en la consola escribes el 
comando NETSTAT , este comando nos 
muestra las conexiones entrantes en nuestro 
equipo ( En referencias colocare una página 
donde se explica mas detalladamente 
esto),también con el comando netstat-b , 
detecta las conexiones ocultas , para conocer 
los puertos abiertos podemos usar la siguiente 
orden: NETSTAT -an |find /i "listening", 
también se puede descargar la herramienta 
llamada currents ports , el cual muestra la 
información de los puertos permitiendo 
cerrar las conexiones indeseadas, cerrar los 
procesos, y guardar toda la información en un 
archivo, también marca con un color rosado 
los puertos sospechosos abiertos por 
conexiones sin identificar o también para 
cerrar un puerto, solo es necesario cerrar el 
mailto:Gilbertjair21@yahoo.es
programa ó servicio que mantiene dicho 
puerto abierto. 
2) ATAQUE DE DIA CERO 
es un ataque contra una aplicación o sistema 
que tiene como objetivo la ejecución de 
código malicioso gracias al conocimiento de 
vulnerabilidades que, por lo general, son 
desconocidas para la gente y el fabricante del 
producto. Esto supone que aún no hayan sido 
arregladas Una de las formas de ataque es por 
medio de vulnerabilidades de que tienes los 
navegadores o también cuando nuestros 
programas no son actualizados con las 
últimas versiones. 
Hay momentos en las que los fallos de las 
aplicaciones permiten tomar el control 
remoto de un ordenador. Esto significa que, 
en el caso de que un computador tenga una 
versión vulnerable de un programa, se puede 
utilizar para manejarlo de forma remota. 
Permitiendo la ejecución de código o 
comandos no permitidos en situaciones 
normales, utilizando algún tipo de 
vulnerabilidad, las cuales pueden estar en los 
programas instalados. Es decir, estos ataques 
usan las vulnerabilidades para ejecutar código 
en el ordenador afectado. 
MODO DE CONTROL: 
Una de las recomendaciones más importantes 
es mantener todos nuestros programas 
actualizados y licenciados ya que este tipo de 
ataque se aprovecha de esa debilidad o falla 
instalando los respectivos parches de 
seguridad recomendados por Microsoft , tener 
un antivirus actualizado , el firewall 
configurado correctamente permitiendo el 
trafico minimo necesario , también se 
recomienda desinstalar programas que no se 
estén usando ya que hasta el momento no hay 
una solución definitiva en caso de que algún 
equipo quede infectado por medio de los 
ataques de dia cero 
 
3) VULNERABILIDAD EN JAVA 7: 
 
Vulnerabilidad existe en Java 7 Actualización 
10, que fue liberada en octubre del año 
pasado; cuando los usuarios que tienen Java 
en sus computadoras visitan un sitio web con 
el código malicioso, su sistema puede ser 
controlado por quien haya insertado dicho 
código. 
Supuestamente, una vez que el sistema está 
bajo el control del hacker, se le pedirá al 
usuario una cantidad de dinero para liberarlo; 
la probabilidad de que esto suceda a un 
amplio número de personas es alta, pues Java 
corre en millones de dispositivos de todo tipo, 
esta vulnerabilidad permite ejecutar ataques 
tipo botnet los cuales son diseñados para 
tomar el control de la computadora del 
usuario. 
MODO DE CONTROL: 
Por el momento se ha dicho que es 
recomendable desinstalar o desactivar JAVA 
, también se lanzo java 7 actualizacion 11 
orientada a reparar este mal , si necesita 
desactivar JAVA darle clic al siguiente link: 
http://www.java.com/es/download/help/disabl
e_browser.xml 
 
 
 
 
 
 
 
http://www.java.com/es/download/help/disable_browser.xml
http://www.java.com/es/download/help/disable_browser.xml
4) PANTALLA AZUL: 
 
Por lo general cuando nos sale “la pantalla 
azul” en Windows se debe a daños en la 
memoria RAM ,fallo en el sector de arranque 
del disco duro ,daños en los componentes 
internos de la board o demás tarjetas 
integradas a veces por “picos” o subidas de 
voltajes , o ciertos virus que originan esta 
falla pero parece que hoy en día incluso con 
Windows 7 sale este falla: 
el envío de una petición de negociación de 
red deliberadamente incorrecto puede forzar a 
un sistema de Windows 7 a un error que pone 
en marcha el conocido "pantallazo azul", 
incluso sin la ayuda del usuario en el 
lanzamiento del código. El ataque afecta a 
32-bit y 64-bit del sistema operativo. 
El fallo se deriva por rescribir la pila del 
protocolo heredado de Vista, que también ha 
sido descubierto como vulnerable al ataque. 
Este problema que ya había sido parcheado 
solucionado en Windows 2000 y XP, ahora 
regresa con Windows 7. 
MODO DE CONTROL: 
Microsoft nos recomienda mientras sale el 
“parche” o actualización de seguridad para 
este problema es desactivar el Server 
Message Block o SMB el cual es un 
Protocolo de red (que pertenece a la capa de 
aplicación en el modelo OSI) que permite 
compartir archivos e impresoras (entre otras 
cosas) entre nodos de una red. Es utilizado 
principalmente en ordenadores con Microsoft 
Windows y DOS. 
 
5) ATAQUE ICMP 
El ICMP es el protocolo encargado de 
informar de errores y problemas en la red , 
Este protocolo esta siendo victima de una 
variedad de ataques llamados nuke( que 
consisten en hacer caer la conexión TCP/IP) , 
este tipo de ataque consiste en enviar al 
cliente o al servidor un paquete ICMP 
indicando que la conexión no puede continuar 
debido a uno de los siguientes errores: 
 Host Unreachable 
 Bad Protocol 
 Network Unreachable 
 Bad Port 
para detectar este ataque El cliente puede 
observando una inusitada actividad en sumódem o bien instalando software de traceo 
tal como el incluído en el paquete Winsock 
de Trumpet. 
MODO DE CONTROL: 
La protección más obvia consiste en utilizar 
puertos poco previsibles. Es decir, emplear un 
puerto diferente del 6667 en la conexión al 
servidor y un puerto aleatorio en nuestra 
máquina local . Un paquete ICMP es 
ignorado si no contiene los puertos correctos. 
Un cliente no puede protegerse salvo que 
instale un cortafuegos o una versión 
modificada de su pila TCP/IP. Un servidor 
puede protegerse con un cortafuegos que 
filtre las tramas ICMP. Dado que dichos 
paquetes son útiles en el diagnóstico de 
problemas en la red y resulta 
contraproducente filtrarlos todos y para todas 
las máquinas, se puede optar por filtrarsolo 
los ICMP (y solo los ICMP problemáticos) 
dirigidos al servidorIRC. 
ATAQUES, VULNERABILIDADES Y 
FORMA DE CONTROLARLAS EN 
EQUIPOS CON LINUX: 
1) ATAQUES DOS POR FALLA EN 
EL KERNEL: 
 
 
Como sabemos DOS significa ataque de 
negación de servicios el cual hace que un 
recurso de un sistema sea inaccesible a los 
usuarios legítimos , debido a una sobrecarga 
en los recursos computacionales de la víctima 
o perdida del ancho de banda en sus 
conexiones y kernel es el núcleo de los 
sistemas operativos de Linux donde están los 
parámetros mas importantes del sistema. 
Se ha descubierto sobre una vulnerabilidad 
en el Kernel 2.4 de Linux, que puede ser 
explotado para causar un ataque de 
denegación de servicio. El Kernel o corazón 
de un sistema operativo, es el encargado de 
las funciones básicas del mismo. La falla se 
produce en la forma en que el Kernel de 
Linux maneja el caché de la información 
ruteada. La información fue aportada por la 
empresa consultora de seguridad de origen 
británico, Secunia. 
Inundando un sistema Linux con paquetes 
con direcciones falsas, el manejo de la "hash 
table" (se usa para rearmar los trozos en que 
se dividen los paquetes al transmitirlos por la 
red), puede consumir grandes cantidades de 
recursos del procesador. Para ello es 
necesario utilizar direcciones falsas 
cuidadosamente seleccionadas para que las 
mismas causen colisiones al intentar volver a 
armar cada paquete. 
MODO DE CONTROL: 
Una solución temporaria, podría ser filtrar el 
tráfico utilizando PREROUTING en lugar de 
INPUT en iptables, ya que PREROUTING 
actúa antes del caché de la tabla de rutas. Esto 
requiere un cambio menor en las reglas de 
filtrado. 
2) ATAQUES DE NEGACION DE 
SERVICIO DISTRIBUIDO: 
Es muy similar al ataque de negación de 
servicios pero se diferencia en que no es una 
sola maquina la que hace este tipo de ataque 
sino que se ve ejecutando este tipo de ataque 
desde diversas maquinas del exterior de la red 
, para ello se usa las programas o virus botnet 
que como ya dijimos toman el control de una 
maquina y ejecutar diversas tareas o lo que 
quiera la persona o ente atacante en este caso 
se logra infectando ordenadores con pequeños 
programas que producen el ciberataque de 
forma simultanea contra el objetivo 
establecido. Casi siempre esto es de forma 
involuntaria, y los PCs y los dueños por 
consiguiente de los PCS atacantes, no saben 
que su Ordenador de forma zombi está siendo 
utilizado para realizar un ataque de 
denegación de servicio. 
MODO DE CONTROL: 
Una de las formas mas efectivas es usando la 
consola o terminal de Linux para ejecutar 
diversos comandos entre ellos : 
netstat -an | grep :80 | sort 
el cual Muestra sólo las conexiones activas 
de Internet al servidor en el puerto 80 , que es 
el puerto http y ordenar los resultados. Útil en 
la detección de una sola inundación (flood) 
por lo que permite reconocer muchas 
conexiones provenientes de una dirección IP. 
También si queremos saber los implicados en 
el ataque colocamos la siguiente orden en 
consola: 
netstat -n -p | grep SYN_REC | sort –u 
una vez sabemos cual direcciones ip son 
sospechosas procederemos a usar el firewall 
incorporado en Linux que es el iptables 
tecleando la siguiente orden : 
iptables -A INPUT 1 -s $IPADRESS -j 
DROP/REJECT 
donde dice $IPADRESS , borramos esa 
palabra y colocamos la direccion IP 
sospechosa 
Después de la colocar el comando anterior, 
tenemos que matar todas las conexiones 
httpd para limpiar su sistema y reiniciarlo 
posteriormente usando los siguientes 
comandos: 
 
killall -KILL httpd , este comando mata 
todas las conexiones httpd 
y luego para reiniciar : 
service httpd start # Para los sistemas de 
Red Hat 
/etc/init/d/apache2 restart # Para sistemas 
Debian 
 
En referencias colocare la pagina que nos 
indica como hacerlo de forma mas detallada 
por si tienen dudas. 
 
3) NO COLOCACION DE ANTIVIRUS 
EN LINUX 
 
 
Muchos usuarios de Linux creen que por que 
Linux no usa antivirus es seguro , como la 
mayoría de usuarios Linux piensan que por 
este tiene muchas distribuciones y su código 
es abierto y por que hay que tener ciertos 
conocimientos informáticos para modificar el 
kernel o nucleo de sistema operativo pues 
andan confiados , pero se equivocan por que 
resulta y pasa que usando backtrack que es la 
distribución de Linux enfocada a la seguridad 
informática se puede usar el siguiente xploit 
para acceder a Linux : 
auxiliary/server/browser_autopwn 
 
Este exploit lo que hace (a grandes rasgos) 
una vez configurado, es que carga diversos 
"módulos" que van a aprovechar las 
vulnerabilidades de los distintos navegadores 
(Internet Explorer, Firefox, Google Chrome, 
Opera, Safari, y otros...).para los usuarios de 
Windows basta con tener actualizado el 
antivirus y el sistema operativo. 
MODO DE CONTROL: 
Lomas recomendable seria obviamente 
instalarle algún antivirus dependiendo la 
versión que tengamos es mas por ejemplo 
avast ,bit defender ,AVG,NOD32 además de 
ser usados en Windows también tienen 
variantes para Linux , otros buenos también 
serian ClamAV está liberado bajo licencia 
GPLv2 (totalmente Open Source), y F-Prot se 
puede utilizar también grauitamente -aunque 
sea código cerrado- en máquinas con Linux. 
Esto evitaría ataques de xploit como el ya 
mencionado y demás tipos de malware 
reforzando la seguridad ya conocida en 
Linux. 
 
 
 
 
 
4) ATAQUES SSH 
SSH (Secure Shell) es un protocolo de red de 
código abierto que se utiliza para conectar 
servidores Linux locales o remotos para 
transferir archivos, hacer copias de seguridad 
remotas, ejecución de comandos remotos y 
otras tareas relacionadas con la red mediante 
scp o sftp entre dos servidores que conectan a 
un canal seguro través de la red, previniendo 
ataques de fuerza bruta y de diccionario , un 
ataque de fuerza bruta consiste en probar 
todas las combinaciones de claves posibles 
para acceder a un sistema , en cambio un 
ataque de diccionario consiste en probar 
contraseñas de acuerdo a las palabras o 
terminologías de un diccionario ejemplo de 
este programa para hacer este tipo de ataques 
se llama john the ripper y también nos sirve 
para comprobar si los usuarios no usan claves 
fuertes o usan como claves palabras 
conocidas en sus passwords . 
 
MODO DE CONTROL: 
mostramos dos de los más populares 
programas para Linux que sirven para 
controlar este tipo de ataques: 
1. DenyHosts: es un script de código 
abierto para la seguridad de 
prevención de intrusiones basada en 
registros de los servidores SSH fue 
escrito en el lenguaje de 
programación Python para 
administradores de sistemas Linux y 
usuarios para controlar y analizar los 
registros de acceso del servidor SSH 
y los intentos de conexión fallidos, 
conocidos como ataques basados en 
diccionario, y ataques de fuerza. El 
script funciona mediante la 
prohibición de direcciones IP después 
de un número determinado de 
intentos fallidos en la conexión y 
evitar que tales ataques puedan 
acceder al servidor. 
2.Fail2Ban: es uno de los software más 
populares de código abierto para la 
detección / prevención de intrusiones. 
Escrito en lenguaje de programación 
Python. Funciona mediante el 
escaneo de los archivos de registro 
como /var/log/secure, 
/var/log/auth.log, /var/log/pwdfail, 
etc por demasiados intentos fallidos 
de inicio de sesión. Fail2ban utiliza 
para actualizar Netfilter / iptables o el 
archivo hosts.deny de TCP Wrapper, 
para rechazar la dirección IP de un 
atacante por una cantidad fija de 
tiempo. También cuenta con una 
capacidad para eliminar la 
prohibición de una dirección IP 
bloqueada durante un determinado 
período de tiempo establecido por los 
administradores. Sin embargo, ciertos 
actos sobre la prohibición, es más que 
suficiente para detener este tipo de 
ataques maliciosos. Pregunta 2. 
Desea conocer el funcionamiento de 
los diferentes sistemas de detección 
de intrusos, sus tipos, 
funcionamiento, características y 
algunas aplicaciones y soluciones que 
podrían implementar en su compañía. 
Listas 5 posibles soluciones software 
y/o hardware con su respectiva 
descripción 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5) ENVENENAMIENTO DE LAS 
TABLAS ARP(ARP SPOOFING) 
 
 
El ARP Spoofing o envenenamiento de tablas 
ARP, es una técnica de hacking usada para 
infiltrarse en una red, con el objetivo de que 
un atacante pueda husmear los paquetes de 
datos que pasan por la LAN (red de área 
local), modificar el tráfico, o incluso 
detenerlo. Mediante este tipo de ataques, se 
puede obtener información sensible de una 
víctima que esté en la misma red que el 
atacante, como nombres de usuario, 
contraseñas, cookies, mensajes de correo y 
mensajería instantánea, conversaciones VoIP, 
etc. 
El envenenamiento de las tablas ARP 
consiste básicamente en inundar la red con 
paquetes ARP indicando que la nuestra es la 
MAC asociada a la IP de nuestra víctima y 
que nuestra MAC está también asociada a la 
IP del router (puerta de enlace) de nuestra 
red. De este modo, todas las máquinas 
actualizaran sus tablas con esta nueva 
información maliciosa. Así cada vez que 
alguien quiera enviar un paquete a través del 
router, ese paquete no será recogido por el 
router, sino por nuestra máquina, pues se 
dirige a nuestra dirección MAC, y cada vez 
que el router u otra máquina envíe un paquete 
a nuestra víctima sucederá lo mismo. 
 
 
MODO DE CONTROL: 
Unas herramientas o programas que podemos 
usar para evitar esto son: 
1-ARP Watch (linux) 
ARP Watch es una herramienta para sistemas 
Linux que nos puede ayudar a detectar el 
envenenamiento ARP en nuestro sistema 
operativo. con esta herramienta podemos 
comprobar la correspondencia entre pares 
(IP/MAC). en el caso en que se este 
provocando un ataque ARP Watch manda un 
correo de notificación a la cuenta 
administrador del sistema. 
Tambien puede detectar nuevos host en la 
red(si alguien falsifica su IP/MAC para hacer 
un ataque de envenenamiento ARP) 
2-ARP Guard (hardware) 
ARP guard es un hardware que nos permite 
reconocer las amenazas de un posible ataque 
de enevenenamiento ARP.esta 
constantemente observando los paquetes ARP 
y si detecta alguna anomalia manda un 
mensaje a el administrador de la redcon el 
origen del ataque. 
O también podemos dar asignación estatica 
en la tabla de entradas ARP, para evitar este 
problema. 
 
 
 
 
 
 
 
 
 
 
Pregunta 2. Desea conocer el 
funcionamiento de los diferentes sistemas 
de detección de intrusos, sus tipos, 
funcionamiento, características y algunas 
aplicaciones y soluciones que podrían 
implementar en su compañía. Listas 5 
posibles soluciones software y/o hardware 
con su respectiva descripción. 
 
CONCEPTO 
IDS o sistema de detección de intrusos, 
también va complementado con un IPS o 
sistema de prevención de intrusos , esto nos 
proteje de amenazas externas en la red o 
redes que estemos conectados , como accesos 
no autorizados a la internet u otras redes 
externas denegando las transmisiones y 
vigilando los puertos de la red , también 
ocultan la IP y puertos de nuestra red , 
también monitorean la red impidiendo 
ataques de negación de servicios y ataques de 
servicios distribuidos y llevan a cabo un 
análisis entiempo real de las conexiones y los 
protocolos para determinar si se está 
produciendo o se va a producir un incidente. 
Son herramientas utilizadas para detectar y 
prevenir accesos no autorizados a un equipo o 
a una red, es decir hay IPS/IDS de equipo y 
de red, ambos monitorizan el tráfico para 
determinar y prevenir comportamientos 
sospechosos. Se integran con frecuencia con 
cortafuegos que realizan la función de 
bloquear el tráfico sospechoso. 
 
TIPOS DE IDS 
 
El término IDS (Sistema de detección de 
intrusiones) hace referencia a un mecanismo 
que, sigilosamente, escucha el tráfico en la 
red para detectar actividades anormales o 
sospechosas, y de este modo, reducir el riesgo 
de intrusión. 
Existen dos claras familias importantes de 
IDS: 
 El grupo N-IDS (Sistema de detección de 
intrusiones de red), que garantiza la 
seguridad dentro de la red. 
 El grupo H-IDS (Sistema de detección de 
intrusiones en el host), que garantiza la 
seguridad en el host. 
Un N-IDS necesita un hardware exclusivo. 
Éste forma un sistema que puede verificar 
paquetes de información que viajan por una o 
más líneas de la red para descubrir si se ha 
producido alguna actividad maliciosa o 
anormal. El N-IDS pone uno o más de los 
adaptadores de red exclusivos del sistema en 
modo promiscuo. Éste es una especie de 
modo "invisible" en el que no 
tienen dirección IP. Tampoco tienen una serie 
de protocolos asignados. Es común encontrar 
diversos IDS en diferentes partes de la red. 
Por lo general, se colocan sondas fuera de la 
red para estudiar los posibles ataques, así 
como también se colocan sondas internas 
para analizar solicitudes que hayan pasado a 
través del firewall o que se han realizado 
desde dentro. 
 
El H-IDS se encuentra en un host particular. 
Por lo tanto, su software cubre una amplia 
gama de sistemas operativos 
como Windows, Solaris, Linux, HP-UX, Aix 
etc. 
El H-IDS actúa como un daemon o servicio 
estándar en el sistema de un host. 
Tradicionalmente, el H-IDS analiza la 
información particular almacenada en 
registros (como registros de sistema, 
mensajes, lastlogs y wtmp) y también captura 
paquetes de la red que se introducen/salen del 
host para poder verificar las señales de 
intrusión (como ataques por denegación de 
servicio, puertas traseras, troyanos, intentos 
de acceso no autorizado, ejecución de códigos 
http://es.kioskea.net/contents/internet/ip.php3
malignos o ataques de desbordamiento de 
búfer). 
 
COMO FUNCIONA UN IDS 
Los principales métodos utilizados por N-IDS 
para informar y bloquear intrusiones son: 
 Reconfiguración de dispositivos 
externos (firewalls o ACL en routers): 
Comando enviado por el N-IDS a un 
dispositivo externo (como un filtro de 
paquetes o un firewall) para que se 
reconfigure inmediatamente y así poder 
bloquear una intrusión. Esta 
reconfiguración es posible a través del 
envío de datos que expliquen la alerta (en 
el encabezado del paquete). 
 Envío de una trampa SNMP a un 
hipervisor externo: Envío de una alerta 
(y detalles de los datos involucrados) en 
forma de un datagrama SNMP a una 
consola externa como HP Open View 
Tivoli, Cabletron, Spectrum, etc. 
 Envío de un correo electrónico a uno o 
más usuarios: Envío de un correo 
electrónico a uno o más buzones de correo 
para informar sobre una intrusión seria. 
 Registro del ataque: Se guardan los 
detalles de la alerta en una base de datos 
central, incluyendo información como el 
registro de fecha, la dirección IP del 
intruso, la dirección IP del destino, el 
protocolo utilizado y la carga útil. 
 Almacenamientode paquetes 
sospechosos: Se guardan todos los 
paquetes originales capturados y/o los 
paquetes que dispararon la alerta. 
 Apertura de una aplicación: Se lanza un 
programa externo que realice una acción 
específica (envío de un mensaje de texto 
SMS o la emisión de una alarma sonora). 
 Envío de un "ResetKill": Se construye un 
paquete de alerta TCP para forzar la 
finalización de una conexión (sólo válido 
para técnicas de intrusión que utilizan el 
protocolo de transporte TCP). 
 Notificación visual de una alerta: Se 
muestra una alerta en una o más de las 
consolas de administración. 
 
CARACTERISTICAS IPS 
cada vez resuena más el término IPS (Sistema 
de prevención de intrusiones) que viene a 
sustituir al IDS "tradicional" o para hacer una 
distinción entre ellos. 
Un IPS es un sistema de 
prevención/protección para defenderse de las 
intrusiones y no sólo para reconocerlas e 
informar sobre ellas, como hacen la mayoría 
de los IDS. Hay dos características 
principales que distinguen a un IDS (de red) 
de un IPS (de red): 
 El IPS se sitúa en línea dentro de la red 
IPS y no sólo escucha pasivamente a la 
red como un IDS (tradicionalmente 
colocado como un rastreador de 
puertos en la red). 
 El IPS tiene la habilidad de bloquear 
inmediatamente las intrusiones, sin 
importar el protocolo de transporte 
utilizado y sin reconfigurar un dispositivo 
externo. Esto significa que el IPS puede 
filtrar y bloquear paquetes en modo nativo 
(al utilizar técnicas como la caída de una 
conexión, la caída de paquetes ofensivos, 
el bloqueo de un intruso, etc.). 
 
ALGUNOS PRODUCTOS IDS/IPS 
1) Producto: Enterasys Dragon IDS-IPS 
Proveedor: ENTERASYS NETWORKS 
Página Web: www.enterasys.com 
 
Descripción: Enterasys Dragon IDS/IPS 
permite realizar la detección y prevención de 
intrusiones. Es capaz de trabajar bloqueando 
ataques en el perímetro pero su mayor ventaja 
competitiva reside en la capacidad de detectar 
amenazas y mal uso también dentro de la red 
interna. Una vez detectada la amenaza se 
procede a localizar el equipo causante del 
problema pudiendo aislarlo a un segmento de 
red de cuarentena de cara a evitar que 
comprometa o infecte a otros equipos de la 
red interna y solucionar sus problemas. 
 
2)Producto: HP ProCurve Threat 
Management Services zl Module 
Proveedor: HP PROCURVE 
NETWORKING 
Página Web: www.procurve.eu 
 
Descripción: El módulo de servicio para la 
gestión de amenazas es un dispositivo de 
seguridad multifunción para las gamas de 
switches HP ProCurve 5400 zl y 8212zl. El 
módulo ofrece funcionalidades de Firewall 
(cortafuegos) dinámico, sistema de 
detección/prevención de intrusiones 
(IDS/IPS) y VPN. Permite a los 
administradores de red segmentar el trafico 
por departamentos, proteger a la red de 
software malicioso y proveer una 
conectividad segura en conexiones remotas y 
entre sedes. 
3)Producto:IDS/IPS 
Proveedor: CISCO SYSTEMS 
Página Web: www.cisco.es 
 
Descripción: Un software de Detección y 
Prevención de Intrusos, IDS/IPS, monitoriza 
redes y equipos en tiempo real en busca de 
comportamientos sospechosos no susceptibles 
de ser detectados por dispositivos de 
seguridad convencionales. De esta manera, se 
pretende detectar intrusiones o accesos no 
autorizados o maliciosos a recursos o 
servicios. Mediante los sistemas IDS/IPS se 
previenen ataques y se recoge información 
útil para la protección de los Sistemas de 
Información conforme a políticas de 
seguridad establecidas. 
 
4)Producto: SEINHE PyIDS 
Proveedor: SEINHE 
Página Web:www.seinhe.com 
 
Descripción: Este sistema de detección de 
intrusiones le permite monitorizar sus 
servidores con el objetivo de detectar 
cualquier intento de intrusión. Se desarrollo 
con las premisas de ser fiable, ligero y 
cuidadoso con la privacidad de los usuarios 
de los sistemas dónde está instalado. Este IDS 
se centra en la detección de cambios en los 
ficheros del sistema, detección de conexiones 
no autorizadas, intentos de acceso vía SSH, 
monitorización de logs, consumo de recursos 
y procesos no autorizados 
 
5)Producto: IPS-1 
Proveedor: CHECKPOINT SOFTWARE 
TECHNOLOGIES 
Página Web: www.checkpoint.com 
Descripción: IDS / IPS en formatos 
appliance y software. 
 
CONCLUSIONES: 
Básicamente dos conclusiones podemos sacar 
de este informe: 
La primera conclusión es que como 
encargados de la seguridad informática de 
una organización debemos estar actualizados 
todos los días sobre las amenazas constantes 
que salen , procurar leer los boletines mas 
actualizados de las empresas de seguridad 
informática por ejemplo las empresas que 
hacen antivirus entregan muchos reportes al 
públicos sobre las principales amenazas , en 
este informe la primera parte se hizo basado 
en lo que circula en la internet sobre ataques 
y amenazas igual en referencias dejaremos 
los links para que profundicen un tema por si 
tiene una duda. 
La segunda conclusión es que el IDS para que 
tenga mas efectividad en su labor de detectar 
intrusión debe ir de la mano funcionando de 
un IPS , que es el encargado de prevenir 
intrusiones ajenas , por que por ejemplo es 
como si en un negocio colocáramos cámaras 
de seguridad y no colocáramos vigilante lo 
cual en este caso pues ladrones se meterían a 
robar y no hubiera alguien para evitarlo , solo 
la cámara los filmaría y se sabrían quien fue 
pero no se contrarrestaría el robo , entonces lo 
mismo decimos del IDS ayuda a detectar 
intrusos y en ciertos casos los bloquea pero 
con el IPS se prevendrían que accedieran a 
nuestros sistemas , entonces mi 
recomendación es que estos dos dispositivos 
trabajen de la mano para mayor seguridad. 
 
REFERENCIAS: 
1. Intrusiones de red, disponible 
en:http://norfipc.com/articulos/intr
usiones-red.html 
2. concepto de ataque de dia cero, 
disponible en 
:http://es.wikipedia.org/wiki/Ataqu
e_de_d%C3%ADa_cero 
3. ataque de día cero,disponible en 
:http://www.omicrono.com/2013/02
/que-es-un-ataque-de-dia-cero-en-
informatica/ 
4. vulnerabilidad en java 7,disponible 
en : 
http://www.unocero.com/2013/01/1
4/vulnerabilidad-en-java-permite-
ataques-a-mac-linux-y-windows/ 
5. ataques de pantallazo azul, disponible 
en 
:http://www.fayerwayer.com/2009/
09/windows-7-permite-ataques-
remotos-que-provocan-un-
pantallazo-azul-bsod/ 
6. SMB, disponible 
en:http://es.wikipedia.org/wiki/Serv
er_Message_Block 
7. Ataques de Nuke, disponible en 
:http://www.sarrio.org/sockets/ataq
ues.htm 
8. Vulnerabilidad en el kernel de Linux 
,disponible: 
http://www.vsantivirus.com/vul-
linux-kernel-dos.htm 
9. detectar ataques con netstat en 
Linux, disponible en 
:http://blog.desdelinux.net/netstat-
detectar-ataques-ddos/ 
10. que es un ataque de negación de 
servicio distribuido, disponible 
en::http://www.xatakaon.com/segur
idad-en-redes/que-es-un-ddos-o-
un-ataque-distribuido-de-
denegacion-de-servicio 
11. detectar ataques en Linux, disponible 
en 
:http://blog.desdelinux.net/netstat-
detectar-ataques-ddos/ 
12. vulnerabilidades en Linux , 
disponible en : 
http://itxpertsmx.blogspot.com/201
2/10/gnulinux-si-es-vulnerable-
ataques.html 
13. antivirus para Linux ,disponible 
en:http://www.muylinux.com/2009/
12/08/antivirus-para-linux 
 
14. ataques shh, disponible en 
:http://www.linux-
party.com/index.php/55-
redhat/8970-por-terminar-
denyhosts-para-bloquear-ataques-
ssh-server-en-rhel-centos-fedora# 
15. Envenenamiento 
ARPhttp://linuxgnublog.org/envena
miento-de-las-tablas-arp-arp-
spoofing 
16. Evitar ataques de envenamiento 
ARP,disponible 
en:http://foro.infiernohacker.com/i
ndex.php?topic=7022.0 
 
17. Seguridad perimetral, disponible 
en:http://www.inteco.es/extfrontint
eco/img/File/demostrador/monogra
fico_catalogo_seguridad_perimetra
l.pdf 
 
18. Características IDS,disponible en : 
http://es.kioskea.net/contents/162-
sistema-de-deteccion-de-intrusiones-ids 
19. Características IPS,disponible en: 
http://es.kioskea.net/contents/163-
sistema-de-prevencion-de-
intrusiones-ips 
 
http://norfipc.com/articulos/intrusiones-red.html
http://norfipc.com/articulos/intrusiones-red.html
http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero
http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero
http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero
http://www.omicrono.com/2013/02/que-es-un-ataque-de-dia-cero-en-informatica/
http://www.omicrono.com/2013/02/que-es-un-ataque-de-dia-cero-en-informatica/
http://www.omicrono.com/2013/02/que-es-un-ataque-de-dia-cero-en-informatica/
http://www.omicrono.com/2013/02/que-es-un-ataque-de-dia-cero-en-informatica/
http://www.unocero.com/2013/01/14/vulnerabilidad-en-java-permite-ataques-a-mac-linux-y-windows/
http://www.unocero.com/2013/01/14/vulnerabilidad-en-java-permite-ataques-a-mac-linux-y-windows/
http://www.unocero.com/2013/01/14/vulnerabilidad-en-java-permite-ataques-a-mac-linux-y-windows/
http://www.fayerwayer.com/2009/09/windows-7-permite-ataques-remotos-que-provocan-un-pantallazo-azul-bsod/
http://www.fayerwayer.com/2009/09/windows-7-permite-ataques-remotos-que-provocan-un-pantallazo-azul-bsod/
http://www.fayerwayer.com/2009/09/windows-7-permite-ataques-remotos-que-provocan-un-pantallazo-azul-bsod/
http://www.fayerwayer.com/2009/09/windows-7-permite-ataques-remotos-que-provocan-un-pantallazo-azul-bsod/
http://es.wikipedia.org/wiki/Server_Message_Block
http://es.wikipedia.org/wiki/Server_Message_Block
http://es.wikipedia.org/wiki/Server_Message_Block
http://www.sarrio.org/sockets/ataques.htm
http://www.sarrio.org/sockets/ataques.htm
http://www.sarrio.org/sockets/ataques.htm
http://www.vsantivirus.com/vul-linux-kernel-dos.htm
http://www.vsantivirus.com/vul-linux-kernel-dos.htm
http://blog.desdelinux.net/netstat-detectar-ataques-ddos/
http://blog.desdelinux.net/netstat-detectar-ataques-ddos/
http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio
http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio
http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio
http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio
http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio
http://blog.desdelinux.net/netstat-detectar-ataques-ddos/
http://blog.desdelinux.net/netstat-detectar-ataques-ddos/
http://itxpertsmx.blogspot.com/2012/10/gnulinux-si-es-vulnerable-ataques.html
http://itxpertsmx.blogspot.com/2012/10/gnulinux-si-es-vulnerable-ataques.html
http://itxpertsmx.blogspot.com/2012/10/gnulinux-si-es-vulnerable-ataques.html
http://www.muylinux.com/2009/12/08/antivirus-para-linux
http://www.muylinux.com/2009/12/08/antivirus-para-linux
http://www.muylinux.com/2009/12/08/antivirus-para-linux
http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora
http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora
http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora
http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora
http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora
http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing
http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing
http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing
http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing
http://foro.infiernohacker.com/index.php?topic=7022.0
http://foro.infiernohacker.com/index.php?topic=7022.0
http://foro.infiernohacker.com/index.php?topic=7022.0
http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf
http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf
http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf
http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf
http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf
http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids
http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids
http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids
http://es.kioskea.net/contents/163-sistema-de-prevencion-de-intrusiones-ips
http://es.kioskea.net/contents/163-sistema-de-prevencion-de-intrusiones-ips
http://es.kioskea.net/contents/163-sistema-de-prevencion-de-intrusiones-ips