Fundamentos de redes

Semestre Agosto Diciembre 2016

REPORTE DE PRCTICA
NOMBRE (S):

MENDOZA MARTNEZ PERLA JENNIFER

GRADO Y GRUPO:

5 E
CARRERA:
TECNOLOGAS DE LA INFORMACIN Y COMUNICACIN
FACILITADOR:
SUSANA MNICA ROMAN NJERA
18/09/16

Prctica N: 3
Unidad 2: Protocolos de capas superiores y capa de transporte
Objetivo
Identificar los protocolos y servicios brindados por las capas superiores en los
modelos OSI y TCP/IP y describir su funcionamiento en diversos tipos de redes.
Analizar las funciones y caractersticas de los protocolos y servicios de la capa de
transporte.

Materiales
-

La computadora

SANS

Actividad 1.4.5: Identificacin de las vulnerabilidades de

seguridad ms importantes
Tarea 1: Ubicacin de los Recursos SANS.
Paso 1: Abrir la Lista SANS de los 20 principales. Con un navegador Web, vaya al
URL http://www.sans.org. En el men Recursos, elija Lista de los 20 principales,
como se muestra en la Figura 1.

Paso 2: Hacer clic en el hipervnculo N2. Debilidades comunes de configuracin

de dispositivos de red y de otro tipo, para ingresar en este tema.

Tarea 2: Repaso sobre los Recursos SANS.

Paso 1: Repasar el contenido de N2.2 Temas comunes de configuracin
predeterminada. Por ejemplo, N2.2.2 (en enero de 2007) contena informacin
sobre amenazas relacionadas con cuentas y valores predeterminados. Una
bsqueda en Google sobre contraseas de router inalmbrico arroja vnculos a
diversos sitios que publican una lista de nombres de cuenta de administrador y
contraseas predeterminadas de routers inalmbricos. La imposibilidad de
cambiar la contrasea predeterminada en estos dispositivos puede generar
compromiso y vulnerabilidad hacia los atacantes.

Tarea 3: Recoleccin de datos.

El resto de esta prctica de laboratorio lo guiar a travs de la investigacin y
solucin de una vulnerabilidad.
Paso 1: Seleccionar un tema para investigar y hacer clic en un hipervnculo CVE
de ejemplo. Nota: Debido a que la lista CVE cambia, la lista actual puede no
contener las mismas vulnerabilidades que en enero de 2007. El vnculo debe abrir
un nuevo explorador Web conectado a http://nvd.nist.gov/ y la pgina resumen de
vulnerabilidades de CVE.

Paso 2: Completar la informacin sobre la vulnerabilidad:

Fecha de lanzamiento original: 06 de julio de, 2011
ltima revisin:13 de septiembre de, 2011
Fuente: Copyright 2011, http://cwe.mitre.org/top25/
Descripcin general: El 2011 CWE / SANS Top 25 errores de software ms
peligroso es una lista de los errores ms generalizados y crticos que pueden
conducir a graves vulnerabilidades en el software. A menudo son fciles de
encontrar y fcil de explotar. Son peligrosos porque con frecuencia permitirn a los
atacantes tomar completo sobre el software, robar datos, o impiden que el
software funcione en absoluto.
En Impacto hay varios valores. Se muestra la severidad del Sistema de puntaje de
vulnerabilidades comunes (CVSS), que contiene un valor entre 1 y 10.
Paso 3: Completar la informacin sobre el impacto de vulnerabilidad:
Severidad CVSS: bajo
Autenticacin: No requiere ningno
Tipo de impacto: Cross-site scripting (XSS) es una de las vulnerabilidades ms
prevalentes, obstinadas, y peligrosos en aplicaciones web. Es ms o menos
inevitable cuando se combina la naturaleza sin estado de HTTP, la mezcla de los
datos y la escritura en HTML, una gran cantidad de datos que pasan entre los
sitios web y diversos esquemas de codificacin, y los navegadores web con
mltiples funciones.
Paso 4: Con la ayuda de los hipervnculos, escribir una breve descripcin sobre la
solucin encontrada en esas pginas.
Para ayudar a prevenir los ataques XSS contra la cookie de sesin del usuario,
establece la cookie de sesin para ser HttpOnly. En los navegadores compatibles
con la funcin HttpOnly (como las versiones ms recientes de Internet Explorer y
Firefox), este atributo puede prevenir la cookie de sesin del usuario de ser
accesibles a las secuencias de comandos del lado del cliente maliciosos que
utilizan document.cookie. Esto no es una solucin completa, ya que HttpOnly no
es compatible con todos los navegadores. Ms importante an, XMLHTTPRequest
y otras tecnologas de navegacin de gran alcance proporcionan acceso de lectura
a las cabeceras HTTP, incluyendo la cabecera Set-Cookie en el que se establece
el indicador HttpOnly.
Eficacia: Defensa en profundidad.

Tarea 4: Reflexin
La cantidad de vulnerabilidades para las computadoras, redes y datos sigue
creciendo. Los gobiernos han dedicado importantes recursos para coordinar y
difundir informacin sobre las vulnerabilidades y las posibles soluciones. Sigue
siendo responsabilidad del usuario final la implementacin de la solucin. Piense
de qu manera pueden los usuarios ayudar a fortalecer la seguridad. Piense qu
hbitos de los usuarios crean riesgos en la seguridad.
Una de las formas seria en no acceder a pginas web de dudosa reputacin o que
muestren desconfianza (un ejemplo a pginas que contengan cracks, anuncios de
que te has ganado algo muy costoso etc,). Utilizar contraseas seguras (difciles
de descubrir con ms de 10 dgitos combinados entre smbolos, nmeros y letras),
etc. Y tambin como prevencin tener un buen antivirus, no guardar en archivos
de texto dentro de los mismos ordenadores las contraseas que se utilizan, no
descargar nada que no sea conocido de internet (aplicaciones o programas).
Tener siempre en el sistema operativo dos tipos de usuario el administrador para
instalaciones y el nivel usuario para navegar por internet y trabajar, ya que de esta
manera si alguna aplicacin intenta instalarse necesitara los permisos del
administrador y nos daremos cuenta que se est intentando instalar algo
desconocido.

Tarea 5: Desafo
Intente identificar una organizacin que se pueda reunir con nosotros para
explicarnos cmo se rastrean las vulnerabilidades y se aplican las soluciones.
Encontrar una organizacin dispuesta a hacer esto puede ser difcil, por razones
de seguridad, pero ayudar a los estudiantes a aprender cmo se logra mitigar las
vulnerabilidades en el mundo. Tambin les dar a los representantes de las
organizaciones la oportunidad de conocer a los estudiantes y realizar entrevistas
informales.

http://www.360sec.com

https://www.tacticaltech.org/

https://protejete.wordpress.com/herramientas_proteccion/

CONCLUSION
SANS, nos llena de confianza porque es una fuente en donde la seguridad es
importante. La seguridad se desarrolla gracias a varios lderes de cualquier campo
laboral, en seguridad de red, auditoria, liderazgos de seguridad y la seguridad de
aplicaciones. Los datos siempre estn protegidos, tanto si estn en reposo como
si estn siendo transportados, replicados o almacenados.