Dos MS-DOS es un sistema operativo sin interfaz gráfica que confiaba puramente en una interfaz de línea de comandos para funcionar, con un total de 109 comandos con los que movernos por el sistema y utilizar sus capacidades, que en la mayoría de casos pasaban por ejecutar otras aplicaciones que residían en un disquete, pero que en ocasiones podía extenderse entre dos o más de estos medios. MS-DOS se compuso de un amplio rango de versiones, donde la última versión distribuida por separado fue la MS-DOS 6.22, pero no la última formalmente, pues el desarrollo de MS-DOS siguió adelante para que MS-DOS 7.0 llegase distribuido junto a Windows 95, MS-DOS 7.1 junto a Windows 95 OSR2, Windows 98 y Windows 98SE, y finalmente la última versión oficial, MSDOS 8.0, que llegó integrada en Windows ME, algo que hizo sin separación entre sistemas, pero que posteriores actualizaciones del sistema solucionaron. Ventajas de MS-DOS: Una ventaja del MS-DOS, es que fue capaz de ir actualizándose cada año desde su aparición, cada vez con mejoras en su rendimiento funcional ya que se pudo ir incorporando nuevos programas y archivos según sus actualizaciones. Otra de sus ventajas es que fue capaz de soportar a otros sistemas operativos como es el caso de windows sin perder ninguna de sus cualidades como sistema operativo. Capas de actualizarse: con mejoras en su rendimiento funcional, incorporando nuevos programas y archivos según sus aplicaciones. Capas de soportar: otros sistemas operativos sin perder ninguna cualidad como sistema operativo. Desventajas de MS-DOS: Las desventajas del MS-DOS quedan en evidencia al intentar realizar más de una tarea al mismo tiempo, debido a que este sistema operativo es monotarea. Otra desventaja es que solo lo puede ocupar un usuario a la vez debido a que es un sistema MONOUSUARIO. No tenia un interface amigable, es decir, no contaba con ventanas, colores, etc, que hicieran más grato el trabajo o la comunicación entre el computador y el usuario. Monotarea: No se pueden realizar mas de una cosa a la vez. Esto provocaría lentitud o simplemente ninguno de los programas trabajaría. Monousuario: Solo puede ser utilizado por un usuario. Interfaz: La forma de visualización no era muy agradable, debió a que no contaba con ventanas, colores agrables, que hicieran mas grato el utilizarlo. ¿Para qué sirve MS-DOS? Este sistema nos puede ser útil en equipos antiguos que no cuenten con potencia suficiente para ejecutar un sistema operativo que no depende de MS-DOS, o bien para ejecutar tanto juegos antiguos como gestores de ventanas como lo eran Windows 1.0, 2.0 o 3.1. En su época, MS-DOS tenía la misma utilidad que a día de hoy tiene Windows 10, y es que excepto en contadas ocasiones, hace falta un sistema operativo para ejecutar cualquier programa que necesitemos, por lo que en su época, era necesario contar con MS-DOS para ejecutar los programas que necesitaríamos para pasar nuestro día, ya fuese de entretenimiento –generalmente con juegos—o con programas de productividad para nuestro trabajo, pues a pesar de no contarse con una interfaz gráfica, el teclado era más que suficiente para realizar un uso productivo del sistema. A día de hoy, la consola de comandos de Windows es lo que ha quedado de la época de MSDOS, y desde ella podemos aún realizar determinadas gestiones, que si bien no son precisamente extensas, sí que pueden ser llamativamente más rápidas que hacerlo a través de la interfaz gráfica que precisamente sustituye a éstos comandos. Características Se caracterizaba por ser muy sencilla y en la cual había que introducir códigos alfanuméricos que se debían memorizar, no obstante, la aparición de Windows como sistema operativo reemplazó al DOS y este se empezó a utilizar en segundo plano. Este sistema no es multitarea, ni multiusuario ya que no puede trabajar con más de un usuario, ni con más de un proceso a la vez. Lo que para los programadores de hoy en día y los expertos en este tema no es de utilidad. En la actualidad existen varias versiones de DOS: FreeDos: el más reciente y el cual posee licencia libre. PC-DOS: propia de IBM. MS-DOS: pertenece a Microsoft y es el más conocido. Apple DOS: desarrollado por Apple. Por su parte en la versión XP, el DOS tiene un papel secundario y es relegado a un segundo plano, no obstante, en algunas versiones aún se utiliza el MS-DOS para ejecutar alguna interfaz del dispositivo. Entre los principales comandos del MS-DOS se pueden mencionar: DATE: el cual permite cambiar la fecha. TIME: cambia la hora. COPY: copiar archivos HELP: ofrece ayuda sobre los distintos comandos ERASE: borrar archivo CLS: limpia la pantalla DIR: muestra los archivos que están en el directorio RENAME: renombrar archivos. MD: crear un nuevo directorio EDIT: edita archivos. Muchas veces escuchamos sobre ataques DOS, que traducido literalmente del inglés significa ataque de denegación de servicio. Ahora bien, hay muchos que conocen y han sufrido estos ataques en el pasado, pero muchos que recién comienzan en el mundo del hosting pueden desconocer este tema. Por eso hoy abordaremos un breve artículo para explicar en términos simples y prácticos… qué es un ataque DOS. ¿Qué es un ataque DOS? Un ataque DOS (del inglés, Denial Of Service) es un ataque a un sistema o red que tiene como finalidad la denegación del servicio, es decir, que el sistema o red no pueda servir normalmente las peticiones a usuarios legítimos. En un DOS se genera una enorme cantidad de peticiones desde un host en particular, lo cual satura los servicios que corren de cara al servidor y generalmente provoca la pérdida de conectividad de la red por un alto consumo de ancho de banda, o una sobrecarga por un alto número de paquetes por segundo (ppts) Tipos de ataque DOS Los ataques DOS se puede dar de muchas formas, pero todas tienen un punto en común, y es la utilización del protocolo TCP/IP para lograr que el ataque sea efectivo. Si bien existen muchísimas formas, estas características son compartidas por la mayoría de los ataques: Consumo de recursos de sistema, como ancho de banda, ram o cpu. Alteración de información de configuración, como puede ser el routeo de la información. Alteraciónes de estado, tales como interrupción de sesiones TCP (TCP reset). Interrupción de componentes físicos de red. Interrupción de los medios que enlazan un servicio y la víctima, de manera que ya no pueda haber comunicación. Se da cuando el ataque alcanza el límite máximo de conexiones simultáneas que un servicio de internet puede soportar, una vez se llega a ese límite ya no se admiten conexiones nuevas. Por lo tanto, se genera una denegación del servicio en ese momento, las conexiones se establecen pero no hacen peticiones y es una forma de colmar la capacidad del servidor. Este tipo de ataques, más si vienen desde un solo host, son fácilmente identificables. Ataque SYN Flood Un ataque SYN flood es una forma de DOS que involucra al atacante enviando sucesivas peticiones de tipo SYN. Normalmente cuando un cliente intenta establecer una conexión TCP a un servidor, el cliente y el servidor intercambian una serie de mensaje, que normalmente se podrían resumir de esta manera: El cliente hace una petición de la conexión enviando un mensaje SYN al servidor. El servidor acepta esta petición enviando un mensaje SYN-ACK hacia el cliente. El cliente responde nuevamente con un ACK, y finalmente se establece la conexión. Esto sería el comportamiento normal para establecer una conexión TCP, sin embargo, en el caso del SYN Flood, el ataque funciona no respondiendo de la manera que se espera, en su lugar el atacante puede elegir entre no enviar el código ACK por defecto o hacer un spoof a la dirección IP en el mensaje SYN, causando así que el server envíe mensajes SYN-ACK a una IP falsa, que no devolverá nunca el ACK por que sabe que nunca envió el SYN. Es uno de los ataques más frecuentes, el concepto es simple, enviar más paquetes de las que el buffer del servicio puede soportar, y por lógica llegando al límite del mismo, ocasionando así que el servidor no pueda responder a nuevas peticiones. De esta manera se satura el buffer y se impide que las conexiones legítimas puedan ser servidas correctamente por el servidor. Podemos concluir que el Sistema Operativo en Disco actualmente no es utilizada por las nuevas actualizaciones de los sistemas operativos actuales, como por ejemplo la más actual que es Windows. DDOS Que es DDOS Es un atasco de tráfico inesperado causado por cientos de solicitudes de transporte compartido falsas. Las solicitudes parecen ser legítimas para los servicios de transporte compartido, así que envían a conductores al lugar de recogida, lo que inevitablemente obstruye las calles de la ciudad. Esto evita que el tráfico legítimo regular llegue a su destino. Qué es un ataque de DDoS Los ataques de DDoS también conocidas como ataques de red distribuidos son un tipo de ataque que aprovecha los límites de capacidad específicos de una red. Por ejemplo la capacidad de la infraestructura que habilita el sitio web de la empresa. El ciberataque consiste en enviar múltiples solicitudes al recurso web a la vez, lo cual provoca que llegue a su máxima capacidad y desborde. Una vez atacada la web deja de funcionar correctamente y se crea una brecha de seguridad. Cómo funciona Los recursos de red como los servidores tienen un límite de solicitudes que pueden llegar al mismo tiempo. Cuando las cantidades de solicitudes sobrepasan los límites de cualquiera de las infraestructuras, el servicio puede verse afectado de las siguientes maneras: Las respuestas de las solicitudes se volverán mucho más lentas de lo normal, dejando el servidor o web casi inaccesible. El servidor probablemente rechazará todas las solicitudes de los usuarios. Un ataque cibernético de DDoS puede dejar inutilizada una página web o un servidor durante horas o incluso días, provocando pérdidas monetarias y de archivos importantes. Un caso muy popular es el caso de Andorra Telecom, en el que un ataque de DDoS a sus servidores principales dejó incomunicado al país durante horas. Significado de ataque DDoS Un ataque DDoS, o ataque distribuido de denegación de servicio, es un tipo de ciberataque que intenta hacer que un sitio web o recurso de red no esté disponible colapsándolo con tráfico malintencionado para que no pueda funcionar correctamente. Durante un ataque DDoS, los atacantes utilizan una gran cantidad de equipos infectados y dispositivos conectados a través de Internet, incluidos dispositivos del Internet de las cosas (IoT), smartphones, ordenadores personales y servidores de red, para enviar una gran cantidad de tráfico a sus objetivos. El objetivo del ataque DDoS es desestabilizar e interrumpir el funcionamiento normal de plataformas, páginas web o servidores. Esto compromete directamente la ciberseguridad del proveedor de servicios (es decir, la empresa que posee el servidor web), ya que en algunos casos permite a los hackers tomar el control de computadoras u otros dispositivos de forma remota. Generalmente los ataques DDoS son realizados por ciberdelincuentes con fines malintencionados. Los blancos más usuales son sitios de compras online y sitios que ofrecen servicios online (entre ellos, redes sociales como WhatsApp o servicios de entretenimiento como Netflix), pero cualquier empresa que tenga un servidor o página web puede sufrir este tipo de ataque. Estos ataques no solo son utilizados para sabotear servidores. En una compañía, el administrador de los servidores de la empresa puede probar la capacidad de tráfico de sus equipos realizando un ataque DDoS y con ello determinar el punto en que empeoran su funcionamiento o colapsan. ¿Cómo identificar un ataque? Un ataque de denegación de servicio distribuido puede ser percibido de manera distinta, dependiendo del tamaño y giro de la empresa.. Si su empresa o startup es víctima de un ataque de este tipo, notará un incremento en gran escala del tráfico de internet entrante de múltiples direcciones IP antes de que sus sistemas colapsen. Adicionalmente, este tráfico se caracteriza por usuarios con dispositivos, localización geográfica o versión de navegador web totalmente distintos. Como usuario o cliente, al visitar páginas o aplicaciones web, es posible sospechar que está sufriendo un ataque DDoS si notamos que tarda mucho en cargar o simplemente muestra el error 503. Herramientas que ciberdelincuentes suelen utilizar para atacar la capa de aplicaciones, por lo que las solicitudes con características sospechosas son filtradas. Una de sus principales ventajas es que las especificaciones pueden personalizarse y perfeccionarse cada vez que sea necesario. -Internet, filtrando el tráfico según una serie de especificaciones. Estas especificaciones o normas permiten identificar las herramientas que ciberdelincuentes suelen utilizar para atacar la capa de aplicaciones, por lo que las solicitudes con características sospechosas son filtradas. Una de sus principales ventajas es que las especificaciones pueden personalizarse y perfeccionarse cada vez que sea necesario. -Tipos de ataques DDoS Una conexión de red a Internet está compuesta por varios elementos o capas, descritas en el Modelo OSI (Open Systems Interconnection Model por sus siglas en inglés), que actúa como un modelo universal de la comunicación entre redes y sistemas informáticos con siete capas distribuidas verticalmente. Según la capa que afectan, podemos clasificar a los ataques DDoS en tres tipos principales: los ataques volumétricos, los ataques de protocolo y los ataques a la capa de aplicación. -Ataques volumétricos Este tipo de ataque busca saturar los recursos del servidor de la víctima enviando una gran cantidad de datos mediante alguna técnica de creación de tráfico masivo, como lo hace una red de bots. Esto puede implicar, por ejemplo, que los clientes de una tienda no puedan realizar una compra en línea, o que un paciente no logre acceder a su historia médica. Según la metodología usada por el ciberdelincuente, los ataques volumétricos pueden ser de inundación UDP, de inundación ICMP o de reflexión o amplificación de DNS. -Inundación UDP La inundación de protocolo de datagramas de usuario (UDP por sus siglas en inglés) es un ataque de capa de transporte que busca sobrecargar un puerto con gran ancho de banda enviando solicitudes vacías, de manera que cuando la víctima intenta responderlas obtiene un mensaje de «Destino inalcanzable». Con suficientes solicitudes, el sistema deja de estar disponible para otros usuarios. Inundación ICMP El protocolo de control de mensajes de Internet (ICMP) utiliza dispositivos para diagnosticar errores en la comunicación con la red. Este método de ataque de capa de red sobrecarga la red de la víctima con mensajes ICMP a la víctima, cuyos sistemas se ven obligados a responder cada mensaje, haciendo que su servicio sea extremadamente lento. Reflejo/amplificación de DNS En este caso, los ciberdelincuentes utilizan una dirección IP falsificada (que es la dirección IP de la víctima) para enviar una cantidad excesiva de solicitudes a servidores DNS abiertos. Cuando los servidores DNS generan las respuestas, estas son enviadas a la víctima, sobrecargando sus redes. Logo Delta Protect Ataques DDoS: Qué son, cómo identificarlos y cómo prevenirlos Aprende qué son los ataques DDoS, qué características te permiten identificar si estás siendo un víctima y cómo puedes evitar que afecten a tu empresa. En la actualidad, muchas pymes y startups se valen del uso de sitios web para llevar a cabo operaciones comerciales, para crear foros de interacción o simplemente para publicar información sobre sí mismas. Por ello, las páginas y aplicaciones web son activos de gran importancia para las empresas, lo cual las hace blancos para hackers malintencionados. Entre los ataques que usualmente afectan a los servicios online se encuentran los ataques DDoS. A continuación, te explicaremos qué son, cómo identificarlos y cómo mitigarlos. ¿Qué es un ataque DDoS? Un ataque de denegación de servicio distribuido o distributed denial of service (DDoS) es un tipo de ciberataque en el cual se busca aumentar, de forma desproporcionada, el volumen de tráfico o cantidad de solicitudes a un sitio web o servidor. Para comprender cómo funcionan los ataques de denegación de servicio distribuido es necesario considerar que todos los servidores, sitios web y aplicaciones tienen una cantidad limitada de solicitudes que pueden manejar a la vez. Adicionalmente, la conexión a Internet tiene un límite en la cantidad de datos que puede transmitir en un momento dado, a lo que llamamos ancho de banda. Por ello, para llevar a cabo este tipo de ataque, los cibercriminales primero crean una botnet infectando una red de dispositivos para que lancen solicitudes a un servidor de manera masiva y sincronizada. Así, una persona puede enviar suficientes solicitudes para hacer que colapse un servidor y que su servicio se haga considerablemente más lento o que simplemente sea incapaz de dar respuesta. El objetivo del ataque DDoS es desestabilizar e interrumpir el funcionamiento normal de plataformas, páginas web o servidores. Esto compromete directamente la ciberseguridad del proveedor de servicios (es decir, la empresa que posee el servidor web), ya que en algunos casos permite a los hackers tomar el control de computadoras u otros dispositivos de forma remota. Generalmente los ataques DDoS son realizados por ciberdelincuentes con fines malintencionados. Los blancos más usuales son sitios de compras online y sitios que ofrecen servicios online (entre ellos, redes sociales como WhatsApp o servicios de entretenimiento como Netflix), pero cualquier empresa que tenga un servidor o página web puede sufrir este tipo de ataque. Sin embargo, estos ataques no solo son utilizados para sabotear servidores. En una compañía, el administrador de los servidores de la empresa puede probar la capacidad de tráfico de sus equipos realizando un ataque DDoS y con ello determinar el punto en que empeoran su funcionamiento o colapsan. ¿Cómo identificar un ataque DDoS? Un ataque de denegación de servicio distribuido puede ser percibido de manera distinta, dependiendo del tamaño y giro de la empresa.. Si su empresa o startup es víctima de un ataque de este tipo, notará un incremento en gran escala del tráfico de internet entrante de múltiples direcciones IP antes de que sus sistemas colapsen. Adicionalmente, este tráfico se caracteriza por usuarios con dispositivos, localización geográfica o versión de navegador web totalmente distintos. Como usuario o cliente, al visitar páginas o aplicaciones web, es posible sospechar que está sufriendo un ataque DDoS si notamos que tarda mucho en cargar o simplemente muestra el error 503. Tipos de ataques DDoS Una conexión de red a Internet está compuesta por varios elementos o capas, descritas en el Modelo OSI (Open Systems Interconnection Model por sus siglas en inglés), que actúa como un modelo universal de la comunicación entre redes y sistemas informáticos con siete capas distribuidas verticalmente. Según la capa que afectan, podemos clasificar a los ataques DDoS en tres tipos principales: los ataques volumétricos, los ataques de protocolo y los ataques a la capa de aplicación. -Ataques volumétricos Este tipo de ataque busca saturar los recursos del servidor de la víctima enviando una gran cantidad de datos mediante alguna técnica de creación de tráfico masivo, como lo hace una red de bots. Esto puede implicar, por ejemplo, que los clientes de una tienda no puedan realizar una compra en línea, o que un paciente no logre acceder a su historia médica. Según la metodología usada por el ciberdelincuente, los ataques volumétricos pueden ser de inundación UDP, de inundación ICMP o de reflexión o amplificación de DNS. -Inundación UDP La inundación de protocolo de datagramas de usuario (UDP por sus siglas en inglés) es un ataque de capa de transporte que busca sobrecargar un puerto con gran ancho de banda enviando solicitudes vacías, de manera que cuando la víctima intenta responderlas obtiene un mensaje de «Destino inalcanzable». Con suficientes solicitudes, el sistema deja de estar disponible para otros usuarios. -Inundación ICMP El protocolo de control de mensajes de Internet (ICMP) utiliza dispositivos para diagnosticar errores en la comunicación con la red. Este método de ataque de capa de red sobrecarga la red de la víctima con mensajes ICMP a la víctima, cuyos sistemas se ven obligados a responder cada mensaje, haciendo que su servicio sea extremadamente lento. -Reflejo/amplificación de DNS En este caso, los ciberdelincuentes utilizan una dirección IP falsificada (que es la dirección IP de la víctima) para enviar una cantidad excesiva de solicitudes a servidores DNS abiertos. Cuando los servidores DNS generan las respuestas, estas son enviadas a la víctima, sobrecargando sus redes. -Ataques de protocolo Los ataques de protocolo utilizan solicitudes de conexión maliciosas para agotar los recursos de red y transporte (capas 3 y 4), incluyendo firewalls, servidores y equilibradores de carga. De esta manera, vulneran la seguridad informática de estas capas y evitan que la víctima pueda recibir solicitudes genuinas. -La inundación SYN y los ataques Smurf son los tipos más utilizados de ataques de protocolo. -Ataque de inundación SYN Para conectarse a las aplicaciones de Internet, se activa el protocolo de control de transmisión (TCP) que requiere tres pasos para funcionar: cuando un usuario intenta conectarse al servidor web, primero se envía una paquete SYN, luego debe enviarse un paquete SYN-ACK que confirma la sincronización y, por último, se recibe un mensaje ACK para completar el protocolo y lograr la conexión. Los ataques de inundación SYN se basan en enviar una gran cantidad de paquetes SYN a un servidor, sin enviar el paquete de confirmación. Al hacer esto, el servidor se queda esperando la respuesta de las conexiones TCP hasta que es incapaz de aceptar nuevas conexiones. -Ataque Smurf En este tipo de ataque se envían múltiples paquetes ICMP con una IP de origen falsificada a una red de computadoras que, de forma automática, envían una respuesta a la misma dirección IP, que resulta ser de la víctima. Cada dispositivo de la red envía una respuesta, por lo que mientras más equipos posea, más lento será el tráfico de la víctima. El nombre de este ataque fue tomado de The Smurfs, el nombre en inglés de Los Pitufos, pues se trata de seres pequeños que, en conjunto, pueden paralizar un objetivo más grande que ellos. -Ataques a la capa de aplicación Estos ataques van dirigidos a la capa 7 de OSI o capa de aplicación, la región del servidor donde se generan las páginas y aplicaciones web por solicitudes HTTP. En el extremo del cliente es una solicitud sencilla, pero en el extremo del servidor la respuesta puede ser obstaculizada o retrasada si se están procesando múltiples solicitudes a la vez. Por ello, el objetivo de un ataque DDoS a la capa de aplicación es enviar gran cantidad de solicitudes al servidor para agotar sus recursos. Debido a la forma en que se llevan a cabo, también se llaman ataques de inundación HTTP. Se trata de ataques fáciles de llevar a cabo, pero difíciles de prevenir y controlar, pues es complicado diferenciar una solicitud malintencionada de una genuina. -Prevención de ataque DDoS: No es sencillo detener o evitar un ataque DDoS, pero tampoco es imposible hacerlo. Para mitigar estos ataques y tener un nivel aceptable de protección DDoS, lo ideal es abordar el problema desde múltiples perspectivas, tratando de corregir todas las vulnerabilidades que los facilitan. Por eso, a continuación te dejamos siete consejos para evitar estos ataques: -Disminuir el área vulnerable a ciberataques La mayoría de los ataques DDoS tienen éxito en sistemas desactualizados y con pobres o nulas medidas de ciberseguridad en general. Cuando hablamos de disminuir el área vulnerable, nos referimos a tomar todas las medidas de ciberseguridad general necesarias. Esto incluye mantener todo el software actualizado y eliminar cualquier herramienta o servicio que no sea esencial para la continuidad del negocio. Así mismo, utilizar productos para simplificar y automatizar la ciberseguridad de tu empresa, como Apolo, puede darle ventaja sobre sus competidores en materia de mantenimiento del servicio y capacidad de respuesta a incidentes. -Establecer cómo es el tráfico normal en el servidor Si conoces tu plataforma y tu alcance, puedes establecer cómo es el tráfico usual de tu servidor. Esto te permitirá identificar cuándo el tráfico no sigue un comportamiento normal que probablemente pueda tratarse de un ataque DDoS. Por supuesto, no hay una fórmula maestra. Si lanzas un producto nuevo o una nueva versión de un servicio que has estado promocionando, podrías tener más tráfico de lo normal sin que se trate de un ciberataque. Sin embargo, es recomendable que estés alerta especialmente en momentos en que el tráfico aumenta de forma inexplicable. -Utilizar firewalls para contrarrestar ataques sofisticados Existen firewalls especialmente diseñados para proteger la capa de aplicaciones de ataques DDoS. Los firewalls de aplicaciones web (WAF por sus siglas en inglés) funcionan como un proxy inverso entre el servidor de origen y el Internet, filtrando el tráfico según una serie de especificaciones. Estas especificaciones o normas permiten identificar las herramientas que ciberdelincuentes suelen utilizar para atacar la capa de aplicaciones, por lo que las solicitudes con características sospechosas son filtradas. Una de sus principales ventajas es que las especificaciones pueden personalizarse y perfeccionarse cada vez que sea necesario. -Aplicar limitación de solicitudes Poner un límite a la cantidad de solicitudes que puede procesar un servidor en un periodo de tiempo es una estrategia eficaz de mitigación de ataques DDoS, pero probablemente no sea suficiente para detener el ataque por sí sola. Debe utilizarse en conjunto con otras para complementarse y aumentar su efectividad. -Utilizar programas de mitigación de DDoS Los programas de mitigación o protección DDoS bloquean el paso de tráfico malicioso, evitando que alcance los sistemas o recursos de la víctima, a la vez que permiten que el tráfico auténtico continúe con normalidad. Esto puede lograrse de distintas maneras, que incluyen el uso de servicios de DNS basados en la nube, servicios de barrido o servicios de CDN. Este tipo de programas limita efectivamente el impacto del ataque, reduciendo el tiempo de inactividad y permitiendo que la víctima desarrolle sus operaciones online de manera habitual. -Implementar una CDN El uso de una red de distribución de contenido (CDN por sus siglas en inglés), que se sitúa delante de los sistemas del cliente, acelera el tráfico usando protocolos HTTP y HTTPS y detiene los ataques dirigidos a un sitio web justo antes de pasar a los juegossistemas protegidos. Esto evita los ataques que afectan a las capas 3 y 4 del modelo OSI. Se trata de una herramienta que funciona de manera casi automática, por lo que no requiere intervención del personal de la empresa. Una de las mejores opciones es el CDN de Cloudflare. Sin embargo, como sólo protege las capas de red y transporte, es ideal complementar su uso con un firewall de aplicaciones web que proteja la capa 7. -Implementar balanceadores de carga para distribuir el tráfico Una de las estrategias más efectivas para contrarrestar un ataque de denegación de servicio distribuido es clonar la infraestructura en más de un servidor y utilizar un balanceador de carga para distribuir las solicitudes entre los servidores de manera proporcional a la carga de trabajo que haya en un momento determinado. Al tener múltiples servidores activos y con capacidad de dar respuesta, disminuye la probabilidad de que se sobrecarguen y, por ende, se mantiene el servicio sin interrupciones para los usuarios. Kiting de nombre de Dominio Kiting o Kiting de Dominio se refiere a la práctica de registrar y cancelar repetidamente el mismo nombre de dominio una y otra vez. Esto permite a un individuo de Domain Kiting explotar los días del período de prueba/regalo sin cargo o recargo y «poseer» el nombre de dominio de forma gratuita si el proveedor tiene esta opción. El kiting de dominios es la práctica de registrar repetidamente un nombre de dominio y luego dejarlo expirar, para aprovechar el período de gracia que los registradores ofrecen entre el momento en que un dominio expira y cuando está disponible para volver a registrarlo. El kiting de dominios puede utilizarse para evitar que un nombre de dominio sea registrado por otra persona, o para generar ingresos volviendo a registrar el nombre de dominio y vendiéndolo posteriormente. Seguridad El secuestro de nombres de dominio y de sistemas de nombres de dominio (DNS) es grave y cada vez más frecuente y puede costarle dinero y pérdida de reputación. El secuestro de dominio permite a terceros redirigir a los visitantes del sitio web de su empresa hacia sitios falsos con ánimo de robar credenciales de acceso e información confidencial. Los secuestradores de DNS también pueden recabar información a partir de los correos electrónicos de la empresa para lanzar sofisticados ataques de suplantación de identidad contra clientes y túempleados utilizando los propios dominios de la empresa. De este modo, el ataque parece legítimo. Ello no solo constituye un riesgo grave para la información, sino una pesadilla para la privacidad, especialmente a la luz de políticas de privacidad gubernamentales más estrictas como el Reglamento General de Protección de Datos (RGPD). LOS CIBERDELINCUENTES PONEN EN PELIGRO NOMBRES DE DOMINIO Y DNS El secuestro de nombres de dominio y de sistemas de nombres de dominio (DNS) es grave y cada vez más frecuente y puede costarle dinero y pérdida de reputación. El secuestro de dominio permite a terceros redirigir a los visitantes del sitio web de su empresa hacia sitios falsos con ánimo de robar credenciales de acceso e información confidencial. Los secuestradores de DNS también pueden recabar información a partir de los correos electrónicos de la empresa para lanzar sofisticados ataques de suplantación de identidad contra clientes y empleados utilizando los propios dominios de la empresa. De este modo, el ataque parece legítimo. Ello no solo constituye un riesgo grave para la información, sino una pesadilla para la privacidad, especialmente a la luz de políticas de privacidad gubernamentales más estrictas como el Reglamento General de Protección de Datos (RGPD). ¿CÓMO ATACAN LOS CIBERDELINCUENTES A LOS DNS? A nivel básico, el DNS hace las veces de agenda de direcciones de internet. Es responsable de traducir los nombres de dominio introducidos por su correspondiente dirección IP (una cadena única de dígitos) que los navegadores web utilizan para identificar el enrutamiento del tráfico. Este proceso, al igual que otros protocolos, no tiene mucha visibilidad, pero sostiene toda la actividad del internet público. Por tanto, las actividades maliciosas para corromper o vulnerar los DNS no solo constituyen una amenaza para usuarios y organizaciones, sino que pueden comprometer la confianza general hacia la propia red de redes. Sistema de gestión de nombres de dominio a nivel de registrador Este método se aprovecha de las deficiencias en los controles de acceso y permisos de los sistemas de gestión de dominios. Normalmente, el atacante obtiene el nombre de usuario y la contraseña de un portal de registrador que no está protegido por autenticación de dos factores o por validación IP. De este modo puede acceder y modificar los servidores de nombres de los dominios accesibles de la cuenta, pudiendo tomar así el control de los contenidos. TRES VECTORES DE ATAQUE PARA EL SECUESTRO DE DNS -Sistema de gestión de nombres de dominio a nivel de registrador Este método se aprovecha de las deficiencias en los controles de acceso y permisos de los sistemas de gestión de dominios. Normalmente, el atacante obtiene el nombre de usuario y la contraseña de un portal de registrador que no está protegido por autenticación de dos factores o por validación IP. De este modo puede acceder y modificar los servidores de nombres de los dominios accesibles de la cuenta, pudiendo tomar así el control de los contenidos. -Registro de dominios del servidor de nombres El propio registro puede verse en peligro. Es famoso el caso de un registro en Brasil en 2016, en el que 36 dominios bancarios del país fueron redireccionados a sitios web falsos, reconstruidos a la perfección, durante seis horas. Los sitios web fraudulentos disponían incluso de certificados digitales válidos expedidos a nombre de la entidad bancaria, con lo que se conseguía engañar a los clientes cuyos ordenadores quedaban infectados con un malware que pasaba por una actualización de complementos de seguridad del navegador del banco. -Los sistemas del proveedor de DNS Este ataque se basa en una vulnerabilidad de los sistemas o procesos del registrador, permitiendo así el acceso no autorizado al DNS por medio de credenciales Envenenamiento DNS Que es un envenenamiento DNS? Es una situación creada de manera maliciosa o no deseada que provee datos de un servidor de nombres de dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar debido a diseños inapropiados de software, falta de configuración de nombres de servidores y escenarios maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS ha recibido aquellos datos no autentificados y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, extendiendo el efecto de la situación a los clientes del servidor. También conocido como envenenamiento de la caché DNS. Es un tipo de ataque de suplantación de identidad en el que un hacker se hace pasar por otro dispositivo o usuario y éste disfraz le permite robar con facilidad información valiosa. Es una técnica que manipula vulnerabilidades conocidas dentro del sistema de nombres de dominio DNS. Una vez que el ataque está en marcha, al desviarse la información al servidor ilegítimo, los hackers obtienen acceso a un servidor DNS. De este modo pueden realizar el robo de información en sistemas privados, instalar virus y malware o realizar el bloqueo de dispositivos. Ataque al DNS Un ataque se genera aprovechando las vulnerabilidades del servidor DNS para desviar el tráfico de los sitios legítimos hacia los falsos. Estas amenazas trabajan de forma engañosa, por ejemplo, se modifica la información para que el servidor DNS le indique al usuario una búsqueda de un sitio web determinado con la dirección incorrecta, el usuario visita un sitio que parece perfectamente normal, e incluso, funciona con cierta normalidad; sin embargo, la víctima termina en sitio web malicioso. Ataques de Envenenamiento de Caché Normalmente, una computadora conectada a Internet utiliza un servidor DNS proporcionado por el proveedor de servicios de Internet (ISP). Este DNS generalmente atiende solamente a los propios clientes del ISP y contiene una pequeña cantidad de información sobre DNS almacenada temporalmente por usuarios previos del servidor. Un ataque de envenenamiento (poisoning attack) de un solo servidor DNS de un ISP puede afectar a los usuarios atendidos directamente por el servidor comprometido o indirectamente por los servidores dependientes del servidor. Para realizar un ataque de envenenamiento de caché, el atacante explota una vulnerabilidad en el software de DNS que puede hacer que este acepte información incorrecta. Si el servidor no valida correctamente las respuestas DNS para asegurarse de que ellas provienen de una fuente autoritativa, el servidor puede terminar almacenando localmente información incorrecta y enviándola a los usuarios para que hagan la misma petición. Esta técnica puede ser usada para reemplazar arbitrariamente contenido de una serie de víctimas con contenido elegido por un atacante. Por ejemplo, un atacante envenena las entradas DNS de direcciones IP para un sitio web objetivo, reemplazándolas con la dirección IP de un servidor que él controla. Luego, el atacante crea entradas falsas para archivos en el servidor que él controla con nombres que coinciden con los archivos del servidor objetivo. Estos archivos pueden contener contenido malicioso, como un virus o un gusano. Un usuario cuya computadora ha referenciado al servidor DNS envenenado puede ser engañado al creer que el contenido proviene del servidor objetivo y sin saberlo descarga contenido. Variante En las siguientes variantes, las entradas del servidor ns.wikipedia.org pueden ser envenenadas y redirigidas al servidor de nombres del atacante en la dirección w.x.y.z. Estos ataques asumen que el servidor para wikipedia.org es ns.wikipedia.org. Para conseguir éxito en el ataque, el atacante debe forzar que el servidor DNS objetivo haga una petición hacia un dominio controlado por uno de los servidores de nombres del atacante. Redirección al servidor de nombres del dominio objetivo La primera variante del envenenamiento de caché de DNS involucra redirigir el nombre del servidor del atacante del dominio hacia el servidor de nombres del dominio objetivo, luego se asigna a dicho servidor de nombres una dirección IP especificada por el atacante. Petición del servidor DNS: cuáles son los registros de direcciones para subdominio.ejemplo.com? Subdominio.ejemplo.com. IN A Respuesta del atacante: Answer: (no response) Authority section: Example.com. 3600 IN NS ns.wikipedia.org Additional section: Ns.wikipedia.org. IN A w.x.y.z Un servidor vulnerable puede almacenar en caché el registro A adicional (la dirección IP) para ns.wikipedia.org, permitiendo al atacante resolver consultas para todo el dominio wikipedia.org. -Responder antes del servidor de nombres real La tercera variante de envenenamiento de caché de DNS, que es denominada falsificación de DNS (DNS Forgery) involucra hacer demorar la respuesta real hacia una consulta recursiva DNS hacia el servidor DNS. Las consultas DNS contienen un número identificador (nonce) de 16 bits, utilizado para identificar las respuestas asociadas a una respuesta dada. Si el atacante puede predecir exitosamente el valor de dicho número identificador y devolver la respuesta primero, el servidor aceptará la respuesta del atacante como válida. Si el servidor elige aleatoriamente el puerto origen de respuesta, el ataque se volverá más dificultoso, dado que la respuesta falsa debe ser enviada por el mismo puerto desde donde la consulta se originó. Prevención y mitigación Muchos ataques de envenenamiento de caché contra servidores DNS pueden evitarse al desconfiar de la información que otros servidores DNS les pasan e ignorar cualquier registro DNS pasado que no sea directamente relevante para la consulta. Por ejemplo, las versiones de BIND 9.5.0-P1 [2] y superiores realizan estas comprobaciones. [3] La aleatorización del puerto de origen para solicitudes DNS, combinada con el uso de números aleatorios criptográficamente seguros para seleccionar tanto el puerto de origen como el nonce criptográfico de 16 bits , puede reducir en gran medida la probabilidad de ataques exitosos de DNS. Este tipo de ataque puede ser mitigado también por las capas de transporte o aplicación para conseguir validación extremo a extremo (end-to-end validation) una vez que una conexión es establecida en extremo. Un ejemplo común de esto es el uso de Seguridad de Capa de Transporte y firmas digitales. Por ejemplo, usando la versión segura de HTTP, HTTPS, los usuarios pueden verificar si el certificado digital es válido y pertenece al dueño esperado de un sitio web. De manera similar, el programa de inicio de sesión remoto SSH verifica certificados digitales en los extremos (si los conoce) antes de proseguir con una sesión. Para aplicaciones que descargan actualizaciones automáticamente, la aplicación puede alojar una copia local del certificado digital de los datos y validar el certificado almacenado en la actualización de software contra el certificado alojado. El envenenamiento plantea varios riesgos, tanto para las personas como para las organizaciones. Son difíciles de detectar y de remediar una vez que se establecen. Existen diversas formas para protegerse ante estos ataques, por ejemplo: Configuración segura de DNS: Realizar configuración de servidores DNS para que no dependan en gran medida de las relaciones con otros servidores. Desactivar el DNS dinámico: Éste introduce lagunas en el sistema DNS al permitir que cualquier sistema añada un registro a una zona o modifique un registro si la seguridad es débil. El DNS dinámico nunca debería estar habilitado para los servidores, sólo para las redes de estaciones de trabajo privadas. Cifrar datos DNS: Un paso importante es cifrar siempre los datos incluidos en las solicitudes de respuesta de DNS. Esto ofrece una capa adicional de protección al evitar que los ciberdelincuentes intercepten datos. Los datos cifrados enviados para solicitudes y respuestas de DNS mantienen alejados a los hackers, ya que no podrán duplicar el certificado de seguridad único para el sitio web legítimo. Rechazar las solicitudes de DNS a través de puertos abiertos: Una de las formas en que los atacantes descubren las vulnerabilidades es bombardeando sus servidores DNS con consultas para tomar el control del servidor. Rechazando las peticiones a través de puertos abiertos, se evitan las consultas que pueden contaminar sus datos DNS. Introducir extensiones de seguridad DNS (DNSSEC): Las extensiones de seguridad del sistema de nombres de dominio son un sistema de seguridad que ayuda a verificar el origen y la integridad de los datos que van y vienen en un proceso de resolución de DNS. Capacitación al usuario: Una estrategia importante en la prevención de ataques es la capacitación a usuarios para ayudarlos a ser plenamente conscientes de los riesgos potenciales, si bien, los ataques de envenenamiento de DNS pueden ser difíciles de detectar, incluso, para los usuarios bien preparados. Una capacitación sólida puede ayudar a detener la propagación de ciertas amenazas. Algunas ventajas de envenenamiento DNS son: obtener información , vender información, extorción a empresas , manipular a la persona a cambio de dinero, y demás. Envenenamiento ARP ¿Que es un envenenamiento ARP? Es un tipo de ciberataque llevado a cabo sobre una red de área local (LAN) que consiste en enviar paquetes ARP maliciosos a una gateway predeterminada en una LAN para cambiar los emparejamientos en su tabla de direcciones IP a MAC. El protocolo ARP traduce direcciones IP a direcciones MAC. Debido a que el protocolo ARP fue diseñado puramente para la eficiencia y no para la seguridad, los ataques de envenenamiento de ARP son extremadamente fáciles de llevar a cabo siempre que el atacante tenga el control de una máquina dentro de la LAN de destino o esté directamente conectado a ella. El envenenamiento ARP (también conocido como ARP Spoofing) es un tipo de ciberataque llevado a cabo sobre una red de área local (LAN) que consiste en enviar paquetes ARP maliciosos a una gateway predeterminada en una LAN para cambiar los emparejamientos en su tabla de direcciones IP a MAC. El protocolo ARP traduce direcciones IP a direcciones MAC. Debido a que el protocolo ARP fue diseñado puramente para la eficiencia y no para la seguridad, los ataques de envenenamiento de ARP son extremadamente fáciles de llevar a cabo siempre que el atacante tenga el control de una máquina dentro de la LAN de destino o esté directamente conectado a ella. El ataque en sí consiste en que un atacante envía un mensaje de respuesta ARP falso a la gateway de red predeterminada, informándole que su dirección MAC debe asociarse con la dirección IP de su objetivo (y viceversa, de modo que la dirección MAC de su objetivo sea ahora asociado con la dirección IP del atacante). Una vez que la gateway predeterminada ha recibido este mensaje y transmite sus cambios a todos los demás equipos de la red, todo el tráfico del objetivo a cualquier otro equipo de la red viaja a través de la computadora del atacante, lo que le permite inspeccionarlo o modificarlo antes de reenviarlo a su verdadero destino. Debido a que los ataques de envenenamiento de ARP ocurren en un nivel tan bajo, los usuarios a los que se dirige el envenenamiento de ARP rara vez se dan cuenta de que su tráfico está siendo inspeccionado o modificado. Además de los ataques de hombre en el medio, el envenenamiento de ARP se puede utilizar para causar un estado de negación de servicio en una LAN simplemente interceptando o descartando y no reenviando los paquetes del objetivo. Objetivo Este consiste en infectar a un dispositivo conectado a una red, con el fin de que esté le haga creer a los otros ordenadores que es el router. Esto se logra cambiando la dirección física de la tarjeta de red original por la dirección MC del atacante Tipos de ataque Ataque MITM Un ataque Man-in-the-Middle, o ataque MITM, es una técnica utilizada por ciberdelincuentes para interceptar y manipular la comunicación entre dos partes sin su conocimiento. El atacante se sitúa entre el remitente y el receptor legítimos, actuando como un intermediario invisible. Aprovechando esta posición privilegiada, el atacante puede acceder, modificar y hasta suplantar los mensajes enviados, lo que puede tener consecuencias devastadoras. Ataque SSLSTRIP El SSLStrip es un software que reconoce cuándo una página web no cuenta con la política HSTS (HTTP Strict Transport Security), la cual impide que los usuarios se conecten al sitio de otro modo que no sea por el protocolo de cifrado HTTPS. Luego, redirige a las personas a las versiones HTTP de las páginas web que solicite visitar en un navegador y, de esta forma, el atacante podrá ver toda la información sin ninguna capa de cifrado. Los ataques ARP Poisoning o también conocidos como ARP Spoofing, son uno de los ataques más conocidos y más peligrosos que podemos encontrarnos en las redes cableadas e inalámbricas. Si un ciberdelincuente realiza correctamente este ataque, será capaz de interceptar todas las comunicaciones entre la víctima y la conexión a Internet, además, con técnicas algo más avanzadas, podría incluso modificar el tráfico al vuelo e incluso «levantar» la seguridad del protocolo HTTPS para convertirlo en HTTP y vulnerar nuestra seguridad. ¿Cómo protegerse de un ataque de intermediario? Ahora que sabes qué es el envenenamiento de ARP, te preguntarás cómo protegerte de este y otros tipos de ataques de intermediario. Para ello, puedes aplicar las siguientes recomendaciones para evitar el ataque ARP: Evita las redes wifi públicas: recuerda que el envenenamiento de ARP se puede hacer por medio de un dispositivo infectado conectado a la red. Por eso, es bueno evitar todo tipo de redes públicas. Utiliza una VPN: esto le añade una capa de cifrado a todo tu tráfico de red y protegerte del envenenamiento de ARP. Activa la política HSTS: si eres desarrollador web y permites que los usuarios ingresen información confidencial en tu sistema, como contraseñas, deberías activar este protocolo para protegerte del envenenamiento de ARP. Do un ataque ARP Poisoning. En qué consiste el ataque ARP Poisoning El ataque ARP Poisoning consiste en envenenar la tabla ARP de una víctima, haciéndola creer que el router es el atacante, con el objetivo de que la víctima reenvíe todo su tráfico a este atacante para realizar un sniffing de todas y cada una de las conexiones que realice. De esta forma, un dispositivo víctima podría enviar, sin saberlo, todo su tráfico de red a este atacante, y realizar dos tipos de ataques diferentes: Ataque DoS: si el atacante no reenvía las conexiones al router para salir a Internet, estaremos haciendo una denegación de servicio a la víctima, es decir, le estaremos dejando sin conexión a Internet. Ataque Man in the Middle: si el atacante reenvía las conexiones al router para salir a Internet, estaremos haciendo un ataque MitM, obteniendo todo su tráfico de red para su posterior estudio, además, también se podría modificar al vuelo la información que envíe o reciba la víctima, de hecho, uno de los ataques más peligrosos son los de SSL Stripping, por los que un atacante es capaz de «levantar» el tráfico de HTTPS y convertirlo en HTTP para espiar todas las comunicaciones. El atacante podrá continuar enrutando todas las comunicaciones y obtener toda la información, que es lo más normal, de hecho, podrá robar las cookies de la víctima y hacerse pasar por él sin necesidad de robar cuentas de usuario y contraseñas. Secuestro de sesiones: Se utilizan para robar identificadores de las sesiones, de forma que se puede garantizar el acceso a los atacantes y los sistemas que estos utilicen. Para poder realizar un ataque ARP Poisoning, es necesario cumplir con ciertos requisitos: El atacante debe estar dentro de la misma red que la víctima, misma red cableada o misma red WiFi. Deberá escanear toda la red local en busca de la dirección IP de la víctima, para posteriormente lanzarle el ataque. Debe hacer uso de diferentes herramientas, con el objetivo de crear un paquete ARP falso y enviarlo a la víctima. Dos herramientas muy conocidas para realizar esta tarea son Arpspoof y también BetterCap, de este último tenéis un completo tutorial en RedesZone. Una vez que se envíe a la víctima los paquetes ARP falsos, creerá que nosotros somos el router. Pero para que la comunicación sea bidireccional también es necesario hacer creer al router que nosotros somos la víctima, por tanto, tendremos que lanzar dos ataques ARP Poisoning, uno a la víctima y otro al router. Una vez que tanto la víctima como el router hayan recibido los paquetes ARP falsos, se comunicarán con el atacante directamente en lugar de hacerlo entre ellos, y ahora mismo el atacante ya estará en el medio de la comunicación. Ahora el atacante Pasos más comunes en los ataques ARP Poisoning Este tipo de ataques suelen seguir una estructura común, lo cual puede ayudar a identificarlos de forma más sencilla. El atacante utiliza una herramienta ARP, y fija una dirección IP. Se realiza un escaneo de las direcciones MAC e IP, correspondientes al host de la red objetivo. Se elige el destino y procede a enviar los paquetes maliciosos. Estos contienen las direcciones previamente indicadas. Los paquetes suplantan o imitan al equipo objetivo, y falsea los datos para redireccionar el ataque. Se realizan robos de datos o lanzamiento de paquetes de seguimiento. Este ataque funciona mediante la manipulación de la tabla ARP de una red. La tabla ARP se utiliza para traducir direcciones MAC a direcciones IP, lo que permite a los dispositivos de red comunicarse entre sí. En un ataque ARP Poisoning, el atacante envía falsos mensajes ARP a los dispositivos de la red. Estos mensajes ARP contienen información falsa que hace que los dispositivos de la red asocien la dirección MAC del atacante con la dirección IP de otro dispositivo de la red, como el router o el servidor. Una vez que la tabla ARP de un dispositivo ha sido comprometida, todo el tráfico que se dirige a la dirección IP del dispositivo comprometido se reenvía al atacante. El atacante puede entonces examinar, manipular o bloquear el tráfico que se dirige a la víctima. Este se divide en dos etapas: la etapa de envenenamiento y la etapa de escucha. En la etapa de envenenamiento, el atacante envía paquetes ARP falsificados a los dispositivos de la red. Estos paquetes falsificados contienen una dirección MAC falsa que se asocia con una dirección IP válida de otro dispositivo de la red. De esta manera, cuando un dispositivo desea comunicarse con el dispositivo asociado a esa dirección IP, enviará paquetes a la dirección MAC del atacante en lugar del dispositivo real. En la etapa de escucha, el atacante intercepta el tráfico que fluye entre los dispositivos. El atacante puede examinar el tráfico para obtener información sensible, como credenciales de inicio de sesión o información financiera. También puede manipular el tráfico para lograr sus objetivos. Por ejemplo, puede bloquear el tráfico para impedir que los usuarios accedan a recursos en línea o redirigir el tráfico a sitios web falsos para el robo de información. En todo caso, cada atacante puede establecer diferentes variables en el ataque. De forma que pueden varias en cierto modo. ¿Y el ataque MAC Flooding? Cada uno de los dispositivos que utilizamos para conectarnos a la red tiene una dirección MAC diferente. Esto es necesario para poder ser identificado por el router y, en definitiva, poder conectarnos y navegar por Internet. Es, por decirlo de alguna manera, como un identificador. En total son seis bloques de dos caracteres hexadecimales. También se le conoce como dirección física. En una red los switches gestionan tablas de direcciones MAC. Esto lo hacen para dirigir el tráfico entre los diferentes puertos de una manera más eficiente. Lo que hace un atacante con esta amenaza es crear una inundación, una solicitud masiva para lograr el colapso de esta tabla que mencionamos. Con esto logran que, en caso de un ataque exitoso, el switch pase a enviar paquetes que reciba a través de todos sus puertos y así poder interceptar el tráfico. Es lo que se conoce también como saturación de direcciones MAC. Lo que hace el atacante en este caso es bombardear el switch con una gran cantidad de solicitudes, cada una de ellas con una dirección MAC falsa, con el objetivo de saturar rápidamente esa tabla. Esto significa que van a enviar miles de direcciones falsas en segundos. Cuando esto ocurre, el switch comienza a redireccionar tráfico a través de todos los puertos y permite utilizar un sniffer para capturar el tráfico. Esto, como vemos, pone en riesgo la privacidad y seguridad. Hay que tener en cuenta que el tamaño máximo de la tabla de direcciones MAC puede variar en función del switch que estemos utilizando. Este se puede evitar al llevar a cabo las siguientes acciones: Limitar los puertos. Asignación estática de direcciones MAC. Deshabilitar puertos que no se usen. Evitar conexiones de otros dispositivos. DMZ Una zona desmilitarizada (conocida también como DMZ, sigla en inglés de demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente en Internet. Es una red perimetral que protege la red de área local (local-area network, LAN) interna contra el tráfico no confiable. Un significado común para una DMZ es una subred que se encuentra entre la Internet pública y las redes privadas. Expone los servicios externos a redes no confiables y agrega una capa adicional de seguridad para proteger los datos confidenciales almacenados en redes internas, utilizando firewalls para filtrar el tráfico. El objetivo final de una DMZ es permitir que una organización acceda a redes no confiables, como Internet, a la vez que garantiza que su red privada o LAN permanecen seguras. En la DMZ, las organizaciones normalmente almacenan servicios y recursos externos así como servidores para el sistema de nombres de dominio (Domain Name System, DNS), el protocolo de transferencia de archivos (File Transfer Protocol, FTP), correo, proxy, protocolo de voz sobre Internet (Voice over Internet Protocol, VoIP) y servidores web. Cómo funciona una red DMZ? Las empresas con un sitio web público que los clientes utilizan deben hacer que su servidor web sea accesible desde Internet. Hacerlo significa poner en riesgo toda su red interna. Para evitar esto, una organización podría pagarle a una empresa de alojamiento para que aloje el sitio web o sus servidores públicos en un firewall, pero esto afectaría el rendimiento. En lugar de eso, los servidores públicos se alojan en una red que es independiente y aislada. Estos servidores y recursos están aislados y tienen acceso limitado a la LAN para garantizar que se pueda acceder a ellos a través de Internet, pero la LAN interna no puede hacerlo. Como resultado, un enfoque DMZ hace que sea más difícil para un pirata informático obtener acceso directo a los datos de una organización y a los servidores internos a través de Internet Una red DMZ proporciona un búfer entre Internet y la red privada de una organización. La DMZ está aislada por una puerta de enlace de seguridad, como un firewall, que filtra el tráfico entre la DMZ y una LAN. Está protegida por otra puerta de enlace de seguridad que filtra el tráfico entrante de redes externas. Idealmente se la ubica entre dos firewalls, y la configuración del firewall de la DMZ garantiza que un firewall u otras herramientas de seguridad observen los paquetes de red entrantes antes de que lleguen a los servidores alojados en la DMZ. Esto significa que incluso si un atacante sofisticado puede atravesar el primer firewall, también debe acceder a los servicios reforzados de la DMZ antes de que pueda causarle daño a una empresa. La DMZ establece una “zona de seguridad” entre varios equipos conectados a una misma red, donde se encuentran ubicados archivos e información de la entidad que pueden ser accesibles desde internet. Beneficios de usar una DMZ El principal beneficio de una DMZ es proporcionar una red interna con una capa de seguridad adicional al restringir el acceso a los servidores y datos confidenciales. Una DMZ permite que los visitantes del sitio web obtengan ciertos servicios mientras proporcionan un búfer entre ellos y la red privada de la organización. Como resultado, ofrece también beneficios de seguridad adicionales, tales como: Habilitación del control de acceso: Las empresas pueden proporcionar a los usuarios acceso a servicios fuera de los perímetros de su red a través de Internet pública. La DMZ permite el acceso a estos servicios al tiempo que implementa segmentación de red, para que a un usuario no autorizado se le dificulte llegar a la red privada. Una DMZ también puede incluir un servidor proxy, que centraliza el flujo de tráfico interno y simplifica el monitoreo y el registro de ese tráfico. Prevención del reconocimiento de la red: Al proporcionar un búfer entre Internet y una red privada, una DMZ evita que los atacantes realicen el trabajo de reconocimiento que hacen cuando obtienen datos de objetivos potenciales. Los servidores dentro de la DMZ están expuestos públicamente, pero un firewall ofrece otra capa de seguridad que evita que un atacante pueda ver dentro de la red interna. Incluso si un sistema DMZ se pone en peligro, el firewall interno separa la red privada de la DMZ para mantenerla segura y dificultar el reconocimiento externo. Bloqueo de suplantación del protocolo de Internet (IP): Los atacantes pueden intentar obtener acceso a los sistemas suplantando una dirección IP y haciéndose pasar por un dispositivo aprobado que ha iniciado sesión en una red. Una DMZ puede descubrir y detener estos intentos de suplantación de identidad, ya que otro servicio verifica la legitimidad de la dirección IP. La DMZ también proporciona segmentación de red con el fin de crear un espacio para que se organice el tráfico y se acceda a los servicios públicos lejos de la red privada interna. Los servicios de una DMZ incluyen: Servidores DNS. Es el software o máquina encargada de atender y dar respuesta a la petición de los clientes DNS, por ejemplo, indicando en que dirección se aloja una determinada página web. Los servidores recursivos tienen la capacidad de reenviar la solicitud hacia otro servidor en caso de que ellos no dispongan de la dirección solicitada. Servidores FTP. Es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura clienteservidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo. Servidores de correo. Es una aplicación de red de computadoras ubicada en un servidor de Internet, para prestar servicio de correo electrónico (correo-e o e-mail). Servidores proxy. Es un ordenador que actúa como intermediario entre tu dispositivo e Internet. Puede mejorar la velocidad, la seguridad y la privacidad. Los servidores proxy se usan para gestionar el uso de Internet y denegar el acceso a ciertos sitios, o para acceder a recursos con ubicación bloqueada. Servidores web.Un servidor web es una plataforma computacional muy potente que resguarda datos para ser consultados por diversos usuarios. Cuenta con un software que entrega la información solicitada por visitantes o miembros de un grupo de trabajo, a través de un dispositivo conectado a la red. Diseño y arquitectura de DMZ Una DMZ es una “red abierta amplia”, pero existen varios enfoques de diseño y arquitectura que la protegen. Se la puede diseñar de varias maneras, desde un enfoque de cortafuegos único hasta cortafuegos dobles y múltiples. La mayoría de las arquitecturas modernas de DMZ utilizan firewalls dobles que pueden expandirse para desarrollar sistemas más complejos. Firewall único: una DMZ con un diseño de firewall único requiere tres o más interfaces de red. La primera es la red externa, que conecta la conexión de Internet pública al firewall. La segunda forma la red interna, y la tercera se conecta a la DMZ. Varias reglas monitorean y controlan el tráfico que puede acceder a la DMZ y limitan la conectividad a la red interna. Firewall doble: la implementación de dos firewalls con una DMZ entre ellos suele ser una opción más segura. El primer firewall solo permite el tráfico externo hacia la DMZ, y el segundo solo permite el tráfico que va desde la DMZ hacia la red interna. Un atacante tendría que poner a ambos firewalls en peligro para obtener acceso a la LAN de una organización. La red DMZ no es segura en sí misma. Permite que los hosts y sistemas almacenados dentro de ella sean accesibles desde redes externas no confiables, como Internet, mientras mantiene aislados otros hosts y sistemas en redes privadas. ¿Cuál es el beneficio de la DMZ? Una DMZ proporciona una capa adicional de seguridad a una red interna. Restringe el acceso a datos confidenciales, recursos y servidores al colocar un búfer entre los usuarios externos y una red privada. Otros beneficios incluyen controlar el acceso, evitar que los atacantes realicen reconocimiento de posibles objetivos y proteger a las organizaciones de ser atacadas a través de suplantación de identidad.