Accesos directos a las distintas zonas del curso
Ir a los contenidos
Ir a menú navegación principal
Ir a menú pie de página
Subject's code : 31109044
En este tema se van a repasar algunos de los conceptos básicos de seguridad. Estos conceptos de vulnerabilidad, riesgo, políticas de seguridad, etc. son esenciales para cualquier persona que quiera dedicarse a la seguridad. Posteriormente, veremos cómo los hackers pueden ser clasificados según sus propósitos y nos centraremos en los denominados hackers éticos. Estos hackers suelen realizar pruebas de penetración y deben cumplir con las leyes establecidas en el país o países donde van a desarrollar su actividad.
La recolección de información o fase de reconocimientos es donde el hacker, tanto ético como no, recopila toda la información posible de un sistema. En este tema se pretende dar respuesta a dos preguntas muy importantes ¿Qué clase de información se busca? Y ¿Cómo obtener esa información?
Para ello, se mostrarán diferentes tipos de técnicas de reconocimiento y footprinting, como:
Esta etapa es fundamental, para posteriormente revisar posibles vulnerabilidades, amenazas y riesgos del sistema a auditar.
Este tema describirá algunos de los servidores más utilizados actualmente. Posteriormente, se centrará en las etapas definidas por EC-Council para atacar un servidor. Por último, se describirán algunos de los ataque más frecuentes en servidores y aplicaciones Web.
Entre los ataques que, tanto de servidores como de aplicaciones Web, podemos encontrar están:
El alumno deberá conocer su funcionamiento y algunas plataformas libres que facilitan la práctica de dichos ataques.
La ingeniería social es utilizada en nuestra vida cotidiana. Este capítulo definirá que es la ingeniería social y sus principios básicos. Así como los métodos y técnicas, tanto a nivel personal como tecnológico, que se utilizan para explotar aspectos humanos como la confianza, el deseo, etc. Por último, se describirá el uso de la herramienta Social Engineering Toolkit que proporciona realizar ataques sociales de una manera rápida y sencilla.
La ingeniería social es uno de los métodos más utilizados a la hora de realizar un ataque. Conceptos como spear phising, whaling o smishing empiezan a formar parte de nuestra vida y debemos ser conscientes de su peligrosidad y de su uso. Además, es importante remarcar que algunos de estos ataques se basan en la información recopilada con técnicas del tema 2 del curso "Footprinting, reconocimiento" como correos electrónicos, teléfonos, etc.
Los cortafuegos o firewalls son herramientas muy utilizadas en redes de comunicaciones. Este capítulo introduce conceptos como tipos de firewalls, funcionamiento y uso de listas de control de acceso a ACLs
Las listas de control de acceso permiten filtrar paquetes de información y por tanto minimizar el riesgo de algunos ataques. Veremos algunos ejemplos de aplicación y también se remarcará que, aunque un firewall minimiza riesgos, existen mecanismo de evasión de firewalls, tema 6 del curso "Evadirse de IDS, Firewalls y Honeypots"
En este tema se estudia algunas de las técnicas utilizadas para la evasión de firewalls y de sistema de detección de intrusiones (IDS). También el uso de Honeypots que permite dirigir al atacante a un sistema controlado y monitoreado, y que permite a la organización aprender como un atacante trabaja.
El tema presenta al estudiante los conceptos de IDSs y Honeypots. El concepto de firewall ya se estudió en el tema 5 "Mecanismos de prevención de amenazas: Firewalls". Por último, se introducen algunos de los mecanismos de evasión más conocidos como: IP Spoofing o suplantación de direcciones IP, fragmentación de paquetes o uso servidores proxy.
El número de dispositivos móviles ha aumentado enormemente. También, su capacidad de procesamiento, almacenamiento y comunicación a aumentando de forma importante. Esto hace que sea un objetivo de posibles ataques.
En este tema se estudiaránn algunos de los ataques más utilizados en dispositivos móviles. Entre los más destacados están:
Estas características pueden ser explotadas por atacantes. El hacker ético debe conocer los métodos de ataque y comprobar las posibles vulnerabilidades de la organización que lo contrata.