Categorieën: Alle - seguridad - vpn - rastreo - cookies

door Alejandro Wood 1 dag geleden

6

Redes y servicios

La seguridad en la navegación en internet es un tema crucial que abarca diversas estrategias y herramientas diseñadas para proteger la privacidad y los datos de los usuarios. Entre las medidas de seguridad se encuentra la instalación de software antivirus y la verificación de sitios web sospechosos mediante herramientas como Virustotal.

Redes y servicios

Redes y servicios

Seguridad en la navegación

Contramedidas
Ocultación del origen

Ocultar IP y ocultar las webs que visitas a tu ISP:

Proyecto TOR

Un servicio VPN

Antirrastreo activo

Hay varias extensiones que mejoran en ciertos aspectos el rastreo, unos ejemplos son:

En Chrome: uBlock origin Lite

En Firefox o Brave: uBlock origin

Acceso a la información almacenada

Cookie Autodelete: Es un complemento que borra automáticamente las cookies después de haber abandonado el dominio

Modo incógnito: La información de navegación no es almacenada

Usar el gestor de contraseñas de manera que éstas siempre se cifren

Deshabilitar el gestor de contraseñas e impedir que se guarden

Borrar todas las cookies al cerrar el navegador

Bloquear las cookies de terceros

Borrar los datos que guarda el navegador

Antimalware

Se pueden instalar antivirus y se pueden verificar los sitios web que se basan en cambiar ligeramente la URL (Usando Virustotal para verificar)

Amenazas
Rastreo

Huella digital

Los terceros espías recopilan información de distintas fuentes:

Características que pueden obtenerse ejecutando códido Javascript

Lista de plugins

De las cabeceras HTTP, como el User-Agent o las lenguas preferidas

Es el conjunto de información ofrecida por el cliente sobre sí mismo

Supercookie

Es la que verifica si la conexión es o no es segura en un sitio web

No son cookies y son infinitamente más persistentes

Cookies de rastreo

Hay dos aspectos importantes:

Dominio

Cookies de terceros: Si especifican dominio y es distinto al del servidor que la envía

Si no especifican dominio entonce se sobreentiende que la cookie refiere al dominio del propio servidor

Duración

Cookie permanente: tiempo muy largo (años)

Si no especifica tiempo la cookie es de sesión y durará lo que dure abierto el navegador

Son imprescindibles para lograr establecer sesiones, ya que el protocolo HTTP no puede crearlas

IP

El rastreo por IP no es especialmente relevante por varias razones

Cada vez hay más usuarios que ni siquiera tienen IP públicas exclusivas, sino CG-NAT que es una IP pública compartida

Hay otros usuarios que, aunque tienen IP pública, la tienen dinámica

Sólo hay una pequeña parte de usuarios que utilicen siempre una misma IP pública

Es el seguimiento que terceros externos realizan de nuestro comportamiento en la web a través de la información que nosotros mismos les facilitamos

Información almacenada

Los navegadores almacenan cierta información, si un tercero accede a el podrá obtener mucha información, estos son los datos que se guardan:

Autocompletado

Contraseñas

Caché

Historial

Engaños

Página web fraudulenta que imita aquella de la que el atacante quiere obtener las credenciales

Cuanto menos complementos del navegador mejor

La descarga de aplicaciones sólo debe realizarse de páginas oficiales

Sistemas activos de seguridad

Filtrados

Lista blanca

Solo está permitido el tráfico que el usuario le dice, el resto del tráfico estará prohibido

Lista negra

Solo se prohíbe el tráfico que el usuario le dice, el resto del tráfico estará permitido

Tipos

De capa de aplicación:

Su inspección es más compleja y, en consecuencia, más lenta

Cortafuegos de filtrado dinámico que analizan la conexión también en la capa de aplicación, identificando el protocolo de esta capa y estableciendo sus reglas

Atención a su funcionamiento:

De filtrado dinámico

Si tienen en cuenta la información de paquetes anteriores al filtrar el actual, pudiendo detectar algún malware que se haya repartido en varios paquetes

De filtrado estático

No tienen en cuenta la información de paquetes anteriores al filtrar el actual

En función del objeto de protección:

Personales

Su propósito es defender un equipo personal.

De red

Su propósito es proteger a una red de ataques, generalmente, externos

Soporte de implantación:

Software

El cortafuegos se ejecuta sobre un sistema operativo de propósito general

Hardware

El cortafuegos es un dispositivo diseñado específicamente para ese fin

Bloquea el tráfico no autorizado y permite el autorizado
Análisis de la red
Se usan diversas herramientas:

Sondas

Inspectores de puertos

Monitores

Honeypots
Es un sistema diseñado para atraer ataques con el fin de monitorizar y estudiar los ataques y desviar la atención del atacante sobre el sistema principal
Software antispam
Para filtrarlo se usan:

Verificación de encabezados

Análisis bayesiano

Análisis de contenido

Listas negras

Herramienta diseñada para detectar y filtrar el correo electrónico no deseado
DNS, DoT y DoH
DNS

Para cifrar se usa

DoH (DNS over HTTPS)

Cifra DNS usando HTTPS

DoT (DNS over TLS)

Cifra DNS usando TLS.

Tu ISP puede ver todo lo que ves

No está cifrado

Traduce nombres a direcciones

Los proxies interceptan y gestionan tráfico de aplicación
Estas comunicaciones se establecen con protocolos de capa de aplicación
Es una máquina que hace de intermediario en la comunicación entre cliente y servidor
Servidor RADIUS
Dispone de la lista de credenciales válidos y la lista de dispositivos de red autorizados
Protocolo de autenticación que permite a un dispositivo de red consultar las credenciales entregadas por un cliente

Interconexión segura de redes

VPN (Red privada virtual)
Se genera interfaces virtuales en cliente y servidor que virtualmente comunican ambos cómo si realmente un cable los comunicara
Es un protocolo que encapsula el tráfico de otros protocolos
La comunicación es cifrada
Es la conexión de dos nodos remotos haciendo que ambos se comporten como una sola red local

Se logra estableciendo una conexión virtual punto a punto

Redes inalámbricas
WPS

Formas de implementarlo

WPS USB

WPS NFC (Permite la transferencia de la configuración de acceso al dispositivo)

WPS PBC (Un botón en el punto de acceso)

WPS PIN

Si se desea, lo recomendable es tener una red wifi para "invitado" con WPS y otra para uso seguro sin WPS

No se recomienda, debido a los problemas de seguridad

Para facilitar el acceso a las redes wifi sin necesidad de escribir las contraseñas

Protección del acceso a la red inalámbrica son:

La autenticación del acceso que básicamente puede ser:

WPA

Dos estrategias

WPA Enterprise

Similar a Andared_Corporativo

Consulta un servidor RADIUS donde cada dispositivo tiene asignado un usuario y contraseña

WPA-PSK

Lo habitual en un domicilio

Todos los clientes comparten la misma contraseña de acceso

Es el usado a día de hoy

Distintas claves para el cifrado y la autenticación

WEP

Poco segura

Solo una clave para el acceso que para el cifrado de datos

Ninguna

Redes abiertas

Filtrado MAC

Cualquier atacante puede capturar paquetes para averiguar la dirección MAC de un dispositivo capaz de conectarse.

No es un mecanismo muy eficaz

Se realiza:

Proteger el acceso a la red wifi

Si un mismo punto de acceso genera distintas SSID, estas están en VLAN distintas

La protección lógica de los puntos de acceso

La protección física de los puntos de acceso

La comunicación se debe cifrar para que, aún capturando la comunicación, sean incapaces de entenderla
Cualquier dispositivo lo suficientemente cercano puede recibir la señal
Seguridad perimetral
Es el conjunto de mecanismos de defensa

Bastión

Existen distintas arquitecturas

Screened subnet o DMZ

Existirán otros servidores accesibles desde el exterior a través del proxy del bastión

Aquella en que el bastión se incluye dentro de una red perimetral intermedia separada de la red interna por un router

Screened host

El acceso de los clientes internos a internet puede hacerse:

Mediante proxy a través del bastión

Directamente atravesando el router

Los clientes externos sólo pueden conectar con el bastión, no con el resto de la red

El router implementa el cortafuegos

El bastión se sitúa dentro de la red interna

Dual-homed host

Obliga a que cualquier comunicación se lleve a cabo a través de proxies.

Impide por completo el encaminamiento de paquetes

Bastión se interpone entre el router y la red interna

Bastión en Screening router

Solo redirección, no existe proxy

Filtra paquetes

El propio router de frontera hace la tarea del bastión

Es una pasarela a nivel de capa de aplicación

Dispone de un servicio proxy accesible desde el exterior

Diseñado para hacer frente a ataques externos

DMZ (Zona desmilitarizada)

Un intruso que lograra penetrar en ella vería restringido su acceso al resto de redes locales

Se caracteriza por permitir conexiones a sus servidores tanto de red externa como interna

Permite desde ella sólo conexiones al exterior

Red local situada entre la red externa y el resto de redes locales

Router de frontera

El router directamente expuesto a internet

Perímetro

Donde se colocan algunos servicios

Sistemas de detección de intrusos

Proxies

Cortafuegos

Frontera fortificada de la red

Objetivos

Auditar el tráfico circulante

Ocultar la estructura y los servicios internos de la red

Redirigir peticiones externas

Limitar las conexiones

Proporcionar un único punto de conexión al exterior

Interconexiones cableadas
Seguridad implica:

Usar switches y topología en estrella

Utilizar un servidor RADIUS

Asociar MAC a cada puerto del switch

Definirse distintas VLANs

Deshabilitar los puertos no usados

Evitar topologías en bus

Vigilar que un dispositivo no intercepte el tráfico.

Mulquatro

Over Mulquatro
Help
Contact
Prijzen
Publieke Mindmap Galerij
Mindmapsjablonen

Meer informatie

Blog
Gebruiksvoorwaarden
Privacybeleid
Security
Accessibility
Security Policy

Veelgestelde vragen

Wat is mindmappen?
Maak online een mindmap
Mind Map Eksempler
Wat is conceptmapping?
Concept Map Maker