4 Redes híbridas seguras para Dummies

Introduction
W here would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.

It used to work just fine to monitor network and application

performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies

Introduction
Técnicas de Evasión
Avanzada
W FOR be without your network?
here would your business
Where would you be without the applications that

DUMmIES
‰
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply
EDICIÓNcan’t run smoothly.
ESPECIAL

It used to work just fine to monitor network and application

performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact
por Klaus Majewski, CISSP, CISA
that the network exists to support the applications that run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies

Técnicas de evasión avanzada For Dummies®, Edición especial

Published por
John Wiley & Sons, Ltd
The Atrium
Southern Gate
Chichester
West Sussex
PO19 8SQ
Inglaterra
Para obtener información sobre cómo crear un libro For Dummies personalizado para tu negocio u
organización, ponte en contacto con CorporateDevelopment@wiley.com. Para obtener información sobre
cómo obtener licencias de la marca For Dummies para productos o servicios, ponte en contacto con
BrandedRights&Licenses@Wiley.com.
Visita nuestra página en www.customdummies.com
Copyright © 2016 por John Wiley & Sons Ltd, Chichester, West Sussex, Inglaterra
Todos los derechos reservados. Esta publicación no se puede reproducir, almacenar en un sistema de
recuperación ni transmitir de ninguna forma ni por ningún medio, ya sea electrónico, mecánico, fotocopiado,
grabado, escaneado o de otro tipo, salvo de conformidad con lo dispuesto en los términos de la Ley de
Derechos de Autor, Diseños y Patentes de 1988 o en virtud de los términos de una licencia expedida por
Copyright Licensing Agency Ltd, 90 Tottenham Court Road, Londres, W1T 4LP (Reino Unido), sin el permiso
por escrito de la editorial. Las solicitudes de autorización a la editorial deben remitirse al Departamento de
Autorizaciones de John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ
(Inglaterra) o deben ser enviadas por correo electrónico a permreq@wiley.com o por fax a (44) 1243 770620.
Marcas registradas: Wiley, el logotipo de Wiley, For Dummies, el logotipo de Dummies Man, A Reference for
the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way, Dummies.com y las referencias
relacionadas son marcas registradas de John Wiley & Sons, Inc. y/o sus afiliados en Estados Unidos y otros
países, y no pueden utilizarse sin autorización. Las demás marcas registradas son propiedad de sus
respectivos dueños. John Wiley & Sons, Ltd no tiene ninguna asociación con ningún producto o proveedor
mencionado en este libro.
LÍMITE DE RESPONSABILIDAD/EXENCIÓN DE RESPONSABILIDAD DE GARANTÍA: LA EDITORIAL, EL
AUTOR Y CUALQUIERA INVOLUCRADO EN LA CREACIÓN DE ESTE TRABAJO NO OFRECEN NINGUNA
AFIRMACIÓN NI GARANTÍA SOBRE LA PRECISIÓN O INTEGRIDAD DE LOS CONTENIDOS DE ESTE
TRABAJO Y EXPRESAMENTE RECHAZAN CUALESQUIERA GARANTÍAS, INCLUYENDO A TÍTULO
MERAMENTE INFORMATIVO LAS GARANTÍAS DE ADECUACIÓN A UN OBJETIVO ESPECÍFICO. LOS
MATERIALES PROMOCIONALES O EL DEPARTAMENTO DE VENTAS NO PUEDEN CREAR NI AMPLIAR
NINGUNA GARANTÍA. LOS CONSEJOS Y LAS ESTRATEGIAS CONTENIDAS EN EL PRESENTE LIBRO
PUEDEN NO SER ADECUADOS PARA TODAS LAS SITUACIONES. ESTE TRABAJO SE COMERCIALIZA
PARTIENDO DEL ENTENDIMIENTO DE QUE LA EDITORIAL NO SE COMPROMETE A PRESTAR SERVICIOS
JURÍDICOS, CONTABLES NI OTROS SERVICIOS PROFESIONALES. SI SE REQUIERE ASISTENCIA
PROFESIONAL, ES PRECISO SOLICITAR LOS SERVICIOS DE UN PROFESIONAL COMPETENTE. NI LA
EDITORIAL NI EL AUTOR SERÁN RESPONSABLES DE LOS DAÑOS DERIVADOS DE LO ANTERIOR. EL
HECHO DE QUE SE MENCIONE UNA ORGANIZACIÓN O PÁGINA WEB EN ESTA OBRA COMO CITA O
POSIBLE FUENTE DE INFORMACIÓN ADICIONAL NO SIGNIFICA QUE EL AUTOR O LA EDITORIAL
AVALEN LA INFORMACIÓN QUE LA ORGANIZACIÓN O LA PÁGINA WEB PUEDAN PROPORCIONAR O
LAS RECOMENDACIONES QUE SE PUDIERAN HACER. ADEMÁS, LOS LECTORES DEBEN SER
CONSCIENTES DE QUE LAS PÁGINAS WEB ENUMERADAS EN ESTA OBRA PUEDEN HABER CAMBIADO
O DESAPARECIDO EN EL PERIODO DE TIEMPO TRANSCURRIDO ENTRE LA REDACCIÓN DE ESTA OBRA
Y LA LECTURA DE LA MISMA.
Wiley también publica sus libros en una gran variedad de formatos electrónicos. Puede que parte de los
contenidos impresos no aparezcan en los libros electrónicos.
Reimpreso con modificaciones.
ISBN: 978-1-119-33669-3 (pbk); ISBN: 978-1-119-33668-6 (ebk)
Impreso y encuadernado en Gran Bretaña por Page Bros, Norwich
10 9 8 7 6 5 4 3 2

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies

Introduction
Introducción
W
B
run ontu
here would your business be without your network?
Where would
ienvenido
your network?
you be without
a las Técnicas
The
de evasión
answer is
the
. . . in
applications
avanzada
a world of
guía sobre las técnicas de evasión de utilizadas en seguri-
that
For Dummies,
hurt.
Organizations
dad que se hanare increasingly
convertido dependent
en una on the performance
gran preocupación para el sector
of their networks and applications alike — if
de la TI. Con esto no decimos que la seguridad en things aren’t
la TI no hayarun-
sido
ning in tiptop
una enorme shape,
fuente de the business simply
preocupación can’t al
en el pasado; run smoothly.
contrario, la
última década ha sido testigo de un crecimiento de las amenazas
Ita used to worklajust
la seguridad, fine to monitor
ciberdelincuencia network
y las normativasand application
de cumpli-
performance separately, but these days the two
miento. No obstante, investigaciones recientes han arrojado are too inter-
más
dependent for thatde
luz sobre el negocio tolabeprotección
a workable approach.
y han demostrado It takes
que las aneva-
integrated approach to troubleshoot effectively and
siones avanzadas destruirán el modelo de protección de seguridad minimize
downtime.
que utilizanThat’s where
la mayoría deAANPM comes in. The
las organizaciones hoyacronym is short
en día. Teniendo
for application-aware network performance management,
en cuenta este cambiante panorama de amenazas, tenemos queit and
describes
reconsideraran integrated
los modelosapproach that de
tradicionales fully recognizes
seguridad. the fact
Y para eso
that the network
está este libro. exists to support the applications that run on it.

Acerca de este libro

Application-Aware Network Performance Management For
Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
Este and
ters, librothat
te ofrece una visión
end user needs general de la seguridad
the application to workdewell.
redes y
From
explica cómo los cibercriminales utilizan métodos ocultos
his or her perspective, if the application is slow, or down com- o actual-
mente indetectables
pletely, it makes littlepara traspasar
difference los sistemas
where the problemde redes protegi-
is. What mat-
dos. Las técnicas de evasión avanzada (AETs) sortean las
ters is solving the problem, and doing so quickly. Read on to find soluciones
tradicionales
out more about desolutions
seguridadthat
de redes. Pueden transportar
offer end-to-end visibility,cualquier
from
ataque o vulnerar la seguridad a través de los firewalls
the data center to the front line where the end user is — as o disposi-
well
tivos
as thede seguridad
most deway
efficient redes, sistemas
to locate and deeliminate
detecciónanyde intrusiones
troubles.
(IDS) y sistemas de prevención de intrusiones (IPS), e incluso los
ruteadores que efectúan inspecciones profundas de paquetes.

Foolish Assumptions
En este libro encontrarás todo lo que necesitas saber sobre las
técnicas de evasión avanzada (AETs), así como consejos y trucos
útiles
Yes, weque te ayudarán
know what they a asegurar tu organización.
say about Si trabajasBut
making assumptions. en
el gobierno,
we’re en do
going to el ejército, en la banca,
so, anyway. Seeingenaselhow
sector
youindustrial, en
have picked
comercio
up electrónico
this book, o en cualquier
it’s reasonable otro sector
to presume a fewcon infraestructu-
things about
ras críticas,
you, lee este libro para averiguar a qué te enfrentas y cómo
the reader:
protegerte mejor contra evasiones avanzadas.
✓ You work in IT supporting a network for an organization
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
2 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

SupuestosIntroduction
obvios
Al escribir este libro hemos hecho algunas suposiciones
sobre ti:
✓✓ Eres profesional de la TI o trabajas codo a codo con

W
especialistas, y posees al menos algún conocimiento básico de
lashere
redeswould
de TI. your business be without your network?
Where would you be without the applications that
✓ Estás
run✓on your familiarizado
network? The conanswer
la terminología
is . . . indea seguridad de redes
world of hurt.
(por ejemplo, diferencias un bug de una nueva
Organizations are increasingly dependent on the performance función).
of their
✓✓ Te networks
interesa la and applications
evaluación alike — if
de seguridad things
de redes y/oaren’t
la run-
ning in tiptop shape,
evaluación the business
de riesgos simply can’t run smoothly.
en tu organización.
✓✓ Tienes
It used un enfoque
to work just fineproactivo
to monitor hacia la TI y deseas
network conocer
and application
hacia dónde se dirige el modelo de seguridad
performance separately, but these days the two are too inter- de su
organización.
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize

Cómo utilizar este libro

downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
describes
Técnicas de anevasión
integrated approach
avanzada that fullyse
For Dummies recognizes the fact
divide en cuatro
that the network exists to support the applications
capítulos concisos, pero llenos de información. Echa un vistazo that run ona it.
lo
que encontrarás:
Application-Aware Network Performance Management For
✓✓ Capítulo
Dummies is an1: Comprender
introduction toelthis
riesgo para lanew
relatively seguridad.
frontier.Una
This
book introducción
explains thatque thete
end muestra
user’slos conceptos
experience isde ataques
what reallyde
mat-
redes,
ters, and thatparcheo
end user y los diferentes
needs niveles de protección.
the application to work well. From
his✓or✓ Capítulo
her perspective,
2: Lo último if the application
sobre is slow,
las técnicas or down com-
de evasión
pletely, it makesEmpieza
avanzada. little difference
explicando where los the problem is.
antecedentes deWhat
la mat-
ters isinvestigación
solving the problem, and doing so quickly.
en materia de evasión y, a continuación, Read on to find
out more about solutions that offer end-to-end visibility,
explica las técnicas de evasión avanzada (AETs) y por qué la from
the data center tradicional
detección to the frontfalla.
line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.
✓✓ Capítulo 3: La amenaza que representa el uso de las técnicas
de evasión avanzada para la industria. Analiza los sistemas de

Foolish Assumptions control industrial, el marco normativo y por qué las técnicas
de evasión avanzada son el arma preferida en los ataques de
alto valor.
Yes, we know what they say about making assumptions. But
✓✓ Capítulo
we’re going to4:do Cómo protegernos
so, anyway. Seeing frente a lasyou
as how técnicas
havede picked
up this evasión
book,avanzada.
it’s reasonablePropone pasos prácticos
to presume para evaluar
a few things aboutel
you, theriesgo, evaluar tu red e implementar medidas protectoras.
reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies Introducción 3

Introduction
Iconos empleados en este libro
Para facilitar la búsqueda de la información más útil, utilizamos
iconos para resaltar el texto importante:

W
La diana atrae tu atención hacia un excelente consejo.
here would your business be without your network?
Where would you be without the applications that
El nudo resalta información importante que hay que tener en
run on your network? The answer is . . . in a world of hurt.
mente.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.
Presta atención a posibles obstáculos.
It used to work just fine to monitor network and application
performance separately, but these days the two are too inter-
¿Cómo continuar?
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime.
Puedes elegirThat’s where
la ruta AANPMy comes
tradicional in. The
leer el libro acronym aisfin.
de principio short
O
for application-aware
puedes network
saltarte apartados performance
o capítulos, management,
utilizando los títulosand
comoit
describes an integrated
guía para encontrar approach that
la información fully recognizes
que necesitas. the fact
Independiente-
that thede
mente network
la formaexists to support
que elijas, thesalir
no puede applications
mal. Ambos thatcaminos
run on it.
conducen al mismo resultado: un mayor conocimiento de lo que
Application-Aware
son las técnicas deNetwork Performance
evasión avanzada, quéManagement
tipo de riesgosForrepresen-
Dummies
tan para tuis negocio
an introduction to this relatively
y cómo protegerte frente anew
ellas.frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
W here would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.

It used to work just fine to monitor network and application

performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies

Introduction
Capítulo 1

Comprender el riesgo
Wpara la seguridad
here would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
En este ning in tiptop shape, the business simply can’t run smoothly.
capítulo
▶▶Conocer el actual
It used estilo
to work define
just juego de los cibercriminales
to monitor network and application
performance
▶▶Ver cómo funcionanseparately,
los ataquesbut
a lathese
red days the two are too inter-
dependent for that to be a workable approach. It takes an
▶▶Asociar vulnerabilidad y parcheo
integrated approach to troubleshoot effectively and minimize
▶▶Reconocer las limitaciones
downtime. That’s where de AANPM
la seguridad
comes enin.
capas
The acronym is short
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact

E
that the network exists to support the applications that run on it.
ste capítulo te brinda unos buenos conocimientos de la situa-
ción actual deNetwork
Application-Aware la seguridad de Internet.
Performance Vemos Internet
Management For desde
el punto de
Dummies is vista de los cibercriminales
an introduction y entendemos
to this relatively lo prome-
new frontier. This
tedorexplains
book que es elthat
panorama
the enddesde
user’ssuexperience
perspectiva. isExploramos
what really qué
mat-
son los
ters, andataques
that end deuser
red: quién
needslos thelleva a cabo yto
application cómo.
workTratamos
well. From
la aplicación
his de parchesifpara
or her perspective, corregir errores
the application y mostramos
is slow, or down com-cómo
crea vulnerabilidades.
pletely, Y, por último,
it makes little difference echamos
where un vistazo
the problem al enfoque
is. What mat-
habitual
ters para defendernos
is solving the problem,deand losdoing
ataquesso–seguridad conon
quickly. Read capas–
to find
y cómo
out moreeste fracasa
about ante las
solutions técnicas
that de evasión visibility,
offer end-to-end avanzada.from
the data center to the front line where the end user is — as well

Veamos cómo operan los

as the most efficient way to locate and eliminate any troubles.

cibercriminales
Foolish Assumptions
Desde el punto de vista de los cibercriminales, Internet está lleno
de objetivos.
Yes, we knowAlgunos
what theyobjetivos estánmaking
say about bien protegidos, pero laBut
assumptions.
mayoría
we’re pueden
going to dohackearse fácilmente.
so, anyway. Seeing Por ejemplo,
as how you los
havecomputado-
picked
resthis
up en casa suelen
book, ser objetivostofáciles
it’s reasonable y losacriminales
presume few thingslosabout
pueden
utilizar
you, thecomo plataformas para llevar a cabo ataques contra otras
reader:
computadoras.
✓ You work in IT supporting a network for an organization
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
6 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
El costo de la ciberdelincuencia
Un estudio sobre el coste de la ciber- debido a código malicioso, denegación
delincuencia de 2015 llevado a cabo de servicio, ataques a la web, intrusos

W
por el Ponemon Institute descubrió maliciosos y otros ataques. El instituto
que el coste medio
hereanual de la
would ciber-
your también
business beapuntó
withoutque las organizaciones
your network?
delincuencia enWhere
252 grandes
wouldorgani-
you be en servicios
without thefinancieros
applications y servicios
that
zaciones
runfue
ondeyour
7.7 millones
network? de The
USD answer
públicosisy. . .
energía
in a sufrían
worldcostes signi-
of hurt.
por organización. El estudio reveló que ficativamente más altos
Organizations are increasingly dependent on the performance que las organi-
las empresas senetworks
of their enfrentabanand a costes zaciones
applications en los ámbitos
alike — if thingsde aren’t
la salud,run-
la
relacionados
ning incon la ciberdelincuencia
tiptop automoción
shape, the business simply y lacan’t
agricultura.
run smoothly.

It used to work just fine to monitor network and application

performance
Como no existe separately,
una policíabut thesede
mundial days the two
Internet, y noare too ninguna
existe inter-
dependent for that
forma de aplicar la leytoque
be cubra
a workable approach.
adecuadamente It takes an
la delincuencia
integrated approach
internacional to troubleshoot
en Internet, los criminaleseffectively
perciben la and minimize
red como un
downtime.
entorno de bajo riesgo. Los delitos en línea pueden resultarisdifíci-
That’s where AANPM comes in. The acronym short
lesapplication-aware
for networkde
de rastrear; la posibilidad performance
ser detectadomanagement, and it
es potencialmente
describes
pequeña y,an integrated
aunque approachfuera
el delincuente that detenido,
fully recognizes the fact
las condenas de
that theson
cárcel network
brevesexists to support
y la posible the applications
recompensa that run on it.
es muy atractiva.
Además, los cibercriminales
Application-Aware pueden atacar
Network Performance a millones de
Management objetivos
For
en todo elismundo,
Dummies lo que significa
an introduction que
to this cada delito
relatively newno tiene que
frontier. This
ser demasiado
book grande.
explains that the Si
endrobas
user’s100experience
USD a un millón de really
is what objetivos
mat-
diferentes,
ters, and thatconsigues
end user unneeds
beneficio
the de 100 millones
application de USD.
to work Si From
well. cada
víctima
his or hersufre una pérdida
perspective, de únicamente
if the application100 USD,or
is slow, esdown
una cantidad
com-
tan pequeña
pletely, quelittle
it makes es posible que lawhere
difference policíathe
ni problem
siquiera seis.moleste
What mat-en
investigar.
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
Condata
the estas condiciones,
center es fácil
to the front linever por qué
where thela ciberdelincuencia
end user is — as well
as the most efficient way to locate and eliminate anyjurídica.
sigue aumentando y sigue desafiando a la comunidad troubles. A
medida que la ciberdelincuencia se industrializa y es más orga-
nizada, sofisticada y empresarial, presenta una amenaza cada

Foolish Assumptions
vez mayor para las empresas, sus negocios y sus resultados
económicos.

Comprender los ataques de la red

Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this
Hay dosbook,
tipos it’s reasonable
de ataques: to presume
los basados en la ared
few things
y los about
basados en el
you, the reader:
host. La tabla 1-1 explica las diferencias.
✓ You work in IT supporting a network for an organization
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras
Capítulo para Dummies
1: Comprender el riesgo para la seguridad 7
Tabla 1-1
Introduction
Comparación de ataques basados en
red y basados en host
Tipo de Dónde ataca Ejemplo Tipo de protección
ataque empleada

W
Basado Sobre la red Gusano Dispositivos de
Conficker
en red here would your business be withoutseguridad de redes
your network?
BasadoWhere Ubicación
would you be without the applications
Virus Melissa that
Productos antivi-
run on
en hostyour network? The
local en el host answer is . . . in a world of hurt.
rus y sistemas de
Organizations are increasingly dependent onseguridad
de destino the performance
host
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.
En este libro nos concentramos en los ataques basados en redes
Itporque
used tolaswork
técnicas
justde evasión
fine avanzada
to monitor funcionan
network and principalmente
application
con este tipo de
performance ataque. Las
separately, buttécnicas de evasión
these days avanzada
the two are tooocultan
inter-
los ataques basados
dependent for that en
to red,
be ade forma queapproach.
workable los dispositivos de segu-
It takes an
ridad de redes
integrated no los perciban
approach como ataques
to troubleshoot o vulnerabilidad
effectively and minimize de la
seguridad, That’s
downtime. lo que permite
where AANPMa los delincuentes
comes in. The acceder a los objetivos
acronym is short
de application-aware
for la red. network performance management, and it
describes an integrated approach that fully recognizes the fact
Conociendo los participantes
that the network exists to support the applications that run on it.

de un ataque
Application-Aware enPerformance
Network red Management For
Dummies is an introduction to this relatively new frontier. This
Un ataque normal de la red tiene tres participantes:
book explains that the end user’s experience is what really mat-
ters,
✓✓and that endatacante:
Dispositivo user needs thetráfico
envía application
de red to
dework
ataquewell. From
al dispo-
his orsitivo
her perspective, if the traspasarlo
objetivo e intenta applicationy,isen
slow, or down
última com-
instancia, lo
pletely, it makes
controla delittle
forma difference
remota. where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out✓ ✓ Dispositivo
more de seguridad
about solutions de red:
that offer Normalmente,
end-to-end situado
visibility, fromen
algún punto entre el atacante y el dispositivo objetivo;
the data center to the front line where the end user is — as well su
as themisión es proteger
most efficient wayelto
dispositivo
locate andobjetivo frente
eliminate anyatroubles.
ataques.
✓✓ Dispositivo objetivo: puede ser cualquier cosa, desde un
portátil normal hasta un servidor corporativo utilizado para
Foolish Assumptions aplicaciones tipo ERP (Enterprise Resource Planning).

Yes, we know what they say about making assumptions. But

we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
8 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
Conficker sigue ahí afuera
Un gusano apodado Conficker empezó El informe sobre la inteligencia de la
a infectar a millones de ordenadores seguridad de Microsoft de abril de

W
en 2008, aprovechando la vulnera- 2012, que recopiló datos de más de
bilidad del serviciohere del servidor
would youren 660 millones
business de sistemas
be without de todo el
your network?
ordenadores deWhere Windows. El gusano
would you be mundo,
without descubrió que el gusano
the applications Con-
that
utiliza una
run llamada
on yourdenetwork?
procedimiento ficker había
The answer is . . .sido
in adetectado
world ofalrededor
hurt.
remotoOrganizations
(RPC) especialmente diseñada dedependent
are increasingly 220 milloneson de the
veces en todo el
performance
para forzar un desbordamiento del mundo en los dos
of their networks and applications alike — if things aren’t años y medio ante-
run-
búfer yning
ejecutar un código
in tiptop shellthe
shape, en elbusiness
riores.simply
La investigación
can’t run reveló que
smoothly.
ordenador de destino, lo que permite las infecciones por Conficker fueron
a un delincuente
It used tohacerse
work justcon fine
el con- fundamentalmente
to monitor network and una application
consecuencia
trol remoto de la máquina. Algunas de de contraseñas
performance separately, but these days the two are robadas o demasiado
too inter-
las víctimas
dependentconocidasfor de
thatConficker simples, y el
to be a workable aprovechamiento
approach. It takesde an
vul-
fueron integrated
el ejército francés, que tuvo
approach toque nerabilidades
troubleshoot para lasand
effectively queminimize
existían
hacer aterrizar
downtime. aviones de combate
That’s en actualizaciones
where AANPM comes in. The de acronym
seguridad,is pero
short
2009, y for
la policía de Greater Manches-
application-aware network performance management, andPor
que no habían sido implementadas. it
ter, quedescribes
se vio obligada a desconectar
an integrated desgracia,
approach Conficker
that fully sigue afectando
recognizes the facta
su red durante
that thetres días en exists
network 2010. to support
muchos theordenadores
applications hoythat
en día.
run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
Entendiendo el flujo de un ataque típico:
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
A continuación
his encontrará
or her perspective, losapplication
if the pasos de unisflujo
slow,habitual
or downdecom-
ataque
tipico aituna
pletely, red. little difference where the problem is. What mat-
makes
ters is1.
solving the problem,
Recopilar and doing so quickly. Read on to find
información.
out more about solutions that offer end-to-end visibility, from

the data Los atacantes
center intentan
to the front lineaveriguar
where thetanta
endinformación
user is — ascomo
well
as the mostles resulte
efficientposible
way tosobre el dispositivo
locate and eliminateobjetivo y su
any troubles.
entorno. Utilizan diferentes fuentes de información como la
base de datos WHOIS, páginas web y el sistema de nombre

Foolish Assumptions
de dominio (DNS). También utilizan ingeniería social para
intentar obtener información de personas que trabajan en
la empresa en donde se ubica el dispositivo objetivo.
Yes, we know
Además,whaten they sayhay
Internet about makingdeassumptions.
montones But
programas diferentes
we’re going to do so, anyway. Seeing as how you have
para recopilar información que los atacantes pueden utili-picked
up this book, it’saveriguar
zar para reasonable to presume a más
automáticamente few things aboutsobre
información
you, the el reader:
dispositivo objetivo.

2. Buscar
✓ You work in vulnerabilidades.
IT supporting a network for an organization
or business, or you’re
Muchos recursos en alínea
decision-maker who might
ofrecen información be
en profundi-
askeddadtosobre
signlas
offvulnerabilidades
on acquiring a new and
en los better way
diferentes to
sistemas
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras
Capítulo para Dummies
1: Comprender el riesgo para la seguridad 9

Introduction
operativos y aplicaciones. Los atacantes también pueden
utilizar programas de escáner específicos que escanean las
redes para detectar puertos no asegurados o buscan vecto-
res de ataque en la arquitectura de la aplicación.

3. Seleccionar el método correcto de ataque.

W
Los atacantes tienen que elegir un ataque adecuado que
aproveche
here wouldlayour
vulnerabilidad
business be delwithout
dispositivo
your objetivo.
network?
Where would you be without the applications that
run on4. your
Atacar.
network? The answer is . . . in a world of hurt.
Los atacantes
Organizations intentan ejecutar
are increasingly su propio
dependent on the código en el dis-
performance
positivo objetivo
of their networks o abrir una ventana
and applications alike — ifdethings
línea de comando,
aren’t run-
de forma
ning in tiptop que puedan
shape, crear una
the business conexión
simply can’tderuncontrol remota
smoothly.
confiable con el dispositivo objetivo.
It used to work just fine to monitor network and application
5. Robarseparately,
performance la información.
but these days the two are too inter-

dependent Losfor
atacantes
that tobuscan la información
be a workable en el dispositivo.
approach. It takes an
integrated En función
approach detolo que busquen los
troubleshoot atacantes,and
effectively pueden o bien
minimize
downtime. robar la información
That’s where AANPM del dispositivo
comes in. Theo utilizar el dispositivo
acronym is short
objetivo comonetwork
for application-aware plataforma para lanzar
performance un nuevo ataque
management, and iten
describeselan entorno del objetivo.
integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

Entendiendo el concepto de parcheo

Application-Aware Network Performance Management For
Dummies is an introduction
Si los atacantes to this relatively
no pueden encontrar new frontier. This
ninguna vulnerabilidad en el
book explains that the end user’s experience
sistema objetivo, seguramente no podrán encontrar is what
unreally
ataquemat-
que
ters, and that end user needs the application to work well. From
ponga en riesgo el dispositivo, ¿no? En teoría, es verdad. Pero, en la
his or herlos
práctica, perspective, if thecrean
bugs y parches application is slow, or down
una vulnerabilidad com-
adicional.
pletely, it makes little difference where the problem is. What mat-

Saber que el software siempre

ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
tendrá bugs
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.
Muchos argumentan que la solución de seguridad definitiva es un
software totalmente libre de bugs que nadie pueda traspasar. Des-

Foolish Assumptions
afortunadamente, crear un software así es una misión imposible.
El ejército de Estados Unidos intentó una vez crear un software en
el que se pudiera probar matemáticamente que no contenía ningún
Yes,
bug.we know what
El proyecto fue they say about
muy caro makingen
y el programa assumptions.
sí mismo fue But
bas-
we’re going to do so, anyway. Seeing
tante corto. No lo volvieron a intentar. as how you have picked
up this book, it’s reasonable to presume a few things about
Los estudios
you, the reader:realizados sobre la calidad del software han indicado
que por cada mil líneas de código siempre habrá al menos tres
fallas
✓ Youde diseño.
work in IT supporting a network for an organization
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
10 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
Los programas de software modernos contienen varios millones de
líneas de código y es imposible encontrar todos los errores durante
la fase de pruebas internas de la calidad. En 2005, Toyota retiró
160 000 coches híbridos de la marca Prius tras recibir notificaciones
de que las luces de advertencia se encendían sin razón aparente y
los motores se ponían en punto muerto inesperadamente, debido

W
a un error en el código integrado en el coche inteligente. Todos los
sistemas operativos
here y aplicaciones
would your businesscontienen
be without errores.
your Microsoft,
network? por
ejemplo,Where
utiliza would
sus actualizaciones Service
you be without the Pack para arreglar
applications thatmiles
de errores
run on youry deficiencias
network? Thede seguridad
answer isen
. . .sus
in sistemas
a world ofoperativos.
hurt.
Organizations are increasingly dependent on the performance
Entendiendo como los parches
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.
arreglan los bugs
It used to work just fine to monitor network and application
Los proveedores de software saben que existen errores en todos
performance separately, but these days the two are too inter-
los programas de software, por lo que continuamente se dedican a
dependent for that to be a workable approach. It takes an
arreglarlos. Lo hacen mediante un proceso denominado parcheo, un
integrated approach to troubleshoot effectively and minimize
proceso manual o automatizado que ofrece los arreglos de los bugs
downtime. That’s where AANPM comes in. The acronym is short
del software a los usuarios del software.
for application-aware network performance management, and it
describes an integrated
Desafortunadamente, pasaapproach
algo de that fully
tiempo recognizes
entre the fact el
que se descubre
that the
error, senetwork
desarrollaexists to support
una solución y sethe applications
aplica el arreglo.that run on
Durante it.
este
periodo de tiempo los atacantes pueden tomar la iniciativa.
Application-Aware Network Performance Management For
Algunas circunstancias
Dummies aumentan
is an introduction larelatively
to this vulnerabilidad:
new frontier. This
book explains that the end user’s experience
✓✓ Los parches pueden destruir los servidores is what really mat-
de producción en
ters, and that end user needs the application to work
lugar de arreglarlos. El sistema objetivo de un atacante well. es
From
un
his orconjunto
her perspective,
formado ifpor theelapplication is slow,base
sistema operativo or down com-
y el software
pletely, it makesylittle
comercial, ambosdifference
contienenwhere the problem
errores. En palabrasis. más
Whatsenci-
mat-
ters isllas,
solving
denominamos este tipo de ordenador y este softwarefind
the problem, and doing so quickly. Read on to un
out more
servidor desolutions
about producción. that
Losoffer end-to-end
parches arreglanvisibility, from
algunos procesos
the data center to
o métodos enthe front linepero
el software, where the endque
es posible user is — asunwell
arreglar pro-
as theblema
most pueda
efficient way tosin
cambiar locate
quererand eliminate
otro procesoany troubles.
o método en el
software, lo que provoca que se rompa algo nuevo. La estrecha
relación entre el sistema operativo y el software comercial
Foolish Assumptions
significa que un parche para el sistema operativo, es decir,
arreglar una vulnerabilidad en él, podría introducir un nuevo
problema
Yes, we know whatpara they
el software comercial.
say about making assumptions. But
Las empresas preocupadas por la as
we’re going to do so, anyway. Seeing how you
seguridad have picked
prueban sus
up this
parches antes de aplicarlos para tener la certeza de about
book, it’s reasonable to presume a few things que el arre-
you, the
glo reader:
no avería su servidor de producción. Pero esto prolonga el
periodo de tiempo durante el cual el servidor de producción
✓ You work in IT supporting a network for an organization
es vulnerable.
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras
Capítulo para Dummies
1: Comprender el riesgo para la seguridad 11

Introduction
✓✓ No se puede parchear servidores de producción muy impor-
tantes que controlan los procesos (controladores de máqui-
nas industriales o controladores de reactores nucleares, por
ejemplo), porque no se pueden reiniciar ni alterar mientras
controlan los procesos. Consulta el capítulo 3 para obtener
más información. Los sistemas avanzados de prevención de

W
intrusiones actuales pueden encargarse temporalmente de
este problema,
here parcheando
would your businessvirtualmente
be without losyour
dispositivos
network? obje-
tivo (bloqueando
Where el tráfico
would you de red con
be without the el fin de aprovechar
applications that una
run onvulnerabilidad
your network?específica que elisparche
The answer . . . inpodría
a world arreglar)
of hurt.hasta
que se pueda
Organizations aplicar el parche
are increasingly en el servidor
dependent on thedeperformance
producción.
of their networks and applications alike — if things aren’t run-

Darse cuenta de que la seguridad

ning in tiptop shape, the business simply can’t run smoothly.

It used to work just fine to monitor network and application

en capas no es suficiente
performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
Los profesionales
integrated approach de seguridad de redeseffectively
to troubleshoot están abordando el pro-
and minimize
blema de la vulnerabilidad de los servidores
downtime. That’s where AANPM comes in. The acronym is short de muchas formas.
Una
for de ellas es la seguridad
application-aware network enperformance
capas. Tienesmanagement,
varias capas de anddispo-
it
sitivos de an
describes seguridad
integratedde redes y estos
approach dispositivos
that puedenthe
fully recognizes llevar
facta
cabothe
that diferentes
networktareas.
existsPor ejemplo,the
to support en el perímetro de
applications la organiza-
that run on it.
ción, los firewalls y los concentradores de VPN restringen el tráfico
que llega a la organización.
Application-Aware Network La siguiente capa
Performance podría contener
Management For siste-
mas de prevención
Dummies de intrusiones
is an introduction to this(IPS) para inspeccionar
relatively new frontier.elThis
tráfico
en busca
book de ataques
explains that the o malware.
end user’s experience is what really mat-
ters,
Otroand that en
enfoque endcapas
user es
needs
añadirthedispositivos
applicationde toseguridad
work well. deFrom
redes
his
(normalmente sistemas de prevención de intrusiones (IPS))com-
or her perspective, if the application is slow, or down delante
pletely, it makes
del servicio little difference
vulnerable para crearwherelo quethe problem is.
se denomina unWhat
parche mat-
ters is solving the problem, and doing so quickly.
virtual en el que el dispositivo de seguridad de redes detenga todoRead on to find
out more about solutions that offer end-to-end visibility,
el tráfico que trate de acceder a la parte vulnerable (permitiendo from
the
quedata center
el tráfico tono
que thetrate
frontdeline where
acceder lathe end user is — as
vulnerabilidad circulewell
hacia
as
el the most efficient way to locate and eliminate any troubles.
objetivo).
Si existe una forma de superar la seguridad de redes en capas o el
Foolish Assumptions
parcheo virtual, los servidores de producción que sean vulnerables
están en peligro. Como mostramos en los siguientes capítulos, las
técnicas de evasión avanzada hacen exactamente eso. Los parches
Yes, we know what they say about making assumptions. But
y la seguridad de redes en capas no son siempre suficientes para
we’re going to do so, anyway. Seeing as how you have picked
proteger a las organizaciones de los ataques de técnicas de evasión
up this book, it’s reasonable to presume a few things about
avanzada.
you, the reader:
Piensa en la situación como algo similar a cerrar la puerta de tu
✓ You
casa parawork in IT supporting
protegerla a network
de los ladrones, for anlaorganization
pero dejando ventana
or business,
abierta or you’re
de par en par. a decision-maker
Los cibercriminales puedenwho mightlabe
superar segu-
ridadasked to sign
en capas off a
gracias onlasacquiring a new
técnicas de andavanzada,
evasión better way to
lo que
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
12 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
les da fácil acceso a tus servidores de producción. Además, las
técnicas de evasión avanzada normalmente no dejan huellas para
los analistas forenses, ya que los dispositivos tradicionales de segu-
ridad de redes no ven ni detectan las técnicas de evasión avanzada,
por lo que no marcarán ese tráfico para analizarlo posteriormente.

W
Enfrentando la amenaza invisible
on
here would your business be without your network?
Where would
Los responsables
run your
de layou
network?
tomabedewithout
The answer is
thede
decisiones
. . .
nicas de evasión avanzada y las vulnerabilidades
applications
in a
TI conocen that
world
de la of
las téc-
hurt.
seguridad
Organizations are increasingly
en capas, y las tienen en cuenta en dependent
sus decisioneson thedeperformance
gestión de
of their networks
riesgos. Como pocas and applications
personas alike — if
conocen things
las técnicas de aren’t
evasiónrun-
ning in tiptop
avanzada, son shape, the business
herramientas simply ycan’t
muy atractivas run para
valiosas smoothly.
los
cibercriminales.
It used to work just fine to monitor network and application
En una entrevista
performance de 2012, but
separately, (publicada en lathe
these days twoInfosecurity),
revista are too inter- el
vicepresidente
dependent for ythat
director
to bedeaSeguridad
workablede la Información
approach. de Elec-
It takes an
tronic Art, Spencer
integrated approach Mott, pronunció algunas
to troubleshoot palabras
effectively andmuy sensatas.
minimize
Dijo que había
downtime. doswhere
That’s tipos de directores
AANPM comesde in.
Seguridad de la Informa-
The acronym is short
ción:
for «Los que habíannetwork
application-aware sido atacados y los que
performance no sabían que
management, habían
and it
sido atacados».
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies Capítulo 2

TodaIntroduction
la verdad sobre
las técnicas de
Wevasión avanzada
here would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
En este ning
capítulo
in tiptop shape, the business simply can’t run smoothly.
▶▶Conocer qué son las técnicas de evasión avanzada
It used to work just fine to monitor network and application
▶▶Dar seguimiento al proceso
performance de investigación
separately, en lasthe
but these days evasiones
two areavanzadas
too inter-
dependent
▶▶Comprender for thatbásicos
los principios to be ade
workable approach.
las técnicas It avanzada
de evasión takes an
integrated approach to troubleshoot effectively and minimize
▶▶Ver las técnicas de evasión avanzada en acción
downtime. That’s where AANPM comes in. The acronym is short
▶▶Ver losfor
problemas con los dispositivos
application-aware actuales de seguridad
network performance de redes
management, and it
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

E
Dummies
n este capítulo,
Application-Aware
siónis
seguridad,
book
avanzada:
explains
te contamos
Network
qué son,to
an introduction
cómothatfuncionan
the end y
qué
todo sobre
Performance
nivel
this
por qué
user’s
relatively
las técnicas
Management
de riesgo
new
son capaces
experience
suponen
Forde eva-
para
frontier.
de evadir
is what
la
This
reallylos
mat-
dispositivos
ters, and thattradicionales
end user needsde seguridad de redes.
the application to work well. From
his or her perspective, if the application is slow, or down com-

Definiendo las AETs

pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about
Un principio solutions
común that offer
en el diseño de unend-to-end
protocolovisibility, from
de Internet es el
the data center
principio to the front line where the end user is — as well
de robustez
as the most efficient way to locate and eliminate any troubles.
La implementación de un protocolo debe ser robusta. Cada imple-
mentación debe soportar la interacción con otras creadas por

Foolish Assumptions diferentes individuos. Si bien el objetivo de esta especificación

es ser explícito en cuanto al protocolo, existen interpretaciones
distintas. En general, una implementación debe ser conservadora
Yes, en
wesu know what they say
comportamiento abouty liberal
de envío making enassumptions. But
su comportamiento
we’redegoing to do so, anyway. Seeing as how you have
recepción. Es decir, debe tener cuidado al enviar datagramas picked
up this
bienbook, it’s reasonable
formados, to presume
pero debe aceptar a few
cualquier things about
datagrama que pueda
you,interpretar
the reader: (por ejemplo, no realizar objeciones a errores técnicos
en los que el significado sigue siendo claro).
✓ You work in IT supporting a network for an organization
or business, or you’re– RFC 760 – Protocolo Estándar
a decision-maker de Internet
who might be del
asked to sign off on acquiring a new and better wayde
Departamento de Defensa, enero to1980
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
14 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
El principio de ingeniería robusta es la piedra angular del diseño de
protocolos de Internet. No obstante, los protocolos de Internet con
frecuencia son complicados y permiten varias interpretaciones en
la implementación.
Al utilizar propiedades de protocolos poco comunes en combi-

W
naciones inusuales, un atacante puede dificultar que la seguridad
de la redhere
detecte un ataque.
would Además,be
your business unwithout
atacanteyour
podría dificul-
network?
tar todavía más la detección creando tráfico que descarte
Where would you be without the applications that el uso
de protocolos convencionales. Si el extremo receptor
run on your network? The answer is . . . in a world of hurt.del tráfico
intenta libremente
Organizations are interpretar el tráfico,
increasingly dependentel ataque podría
on the llegar a su
performance
destino sin ser detectado. Dichas técnicas de enmascarar
of their networks and applications alike — if things aren’t se cono-
run-
cen colectivamente como técnicas de evasión.
ning in tiptop shape, the business simply can’t run smoothly.
Una técnica de evasión avanzada permite la entrega de código mali-
Itcioso
usedconocido
to work sin
justque
fineseatodetectado
monitor network
mediante:and application
performance separately, but these days the two are too inter-
✓✓ La combinación
dependent for that to debeunoa oworkable
varios métodos de evasión
approach. conoci-
It takes an
integrateddos con el fin de to
approach crear una nueva técnica
troubleshoot que se
effectively andentregue en
minimize
downtime. variasThat’s
capas where
de la red al mismo
AANPM tiempo.
comes in. The acronym is short
for✓ application-aware
✓ La capacidad denetwork
cambiar performance
la combinación management,
de evasiones and it
describes an integrated
durante el ataque. approach that fully recognizes the fact
that the network exists to support the applications that run on it.
✓✓ La evasión de la inspección gracias a un diseño novedoso
y poco común.
Application-Aware Network Performance Management For
Dummies is an introduction to this relatively new frontier. This
Descubriendo las evasiones
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
Lasor
his evasiones no son un
her perspective, fenómeno
if the nuevo.
application is Ptacek
slow, ory down
Newshamcom-
escribieron
pletely, un ensayo
it makes académico
little difference en enero
where de 1998 denominado
the problem is. What mat-
«Insertion,
ters Evasion,
is solving and Denial
the problem, andofdoing
Service: Eluding Read
so quickly. Networkon toIntru-
find
sionmore
out Detection». En él explicaban
about solutions cómo
that offer funcionan
end-to-end las técnicas
visibility, from de
evasión
the data sencilla
center toy the
cómo los line
front atacantes
wherelastheutilizan
end userpara superar
is — as los
well
asdispositivos de seguridad
the most efficient way todelocate
redes.and eliminate any troubles.
Forcepoint empezó a investigar las técnicas de evasión avanzada

Foolish Assumptions
en 2007. El proyecto comenzó porque el departamento de Inves-
tigación y Desarrollo no podía encontrar buenas herramientas de
prueba de evasión comercial que pudieran utilizar para probar los
Yes, we knowdewhat
dispositivos they say
seguridad aboutPor
de redes. making assumptions.
lo tanto, el equipo deBut
análi-
we’re
sis degoing to do so, anyway.
vulnerabilidades Seeing as
de Investigación how you have
y Desarrollo picked
decidió crear
up
su this book,
propia it’s reasonable
herramienta to presume
de prueba de evasióna avanzada
few things about
automati-
you,
zadathe
parareader:
probar sus productos de seguridad de redes.
En
✓primer lugar,inseITinformaron
You work supporting deatodas las investigaciones
network llevadas
for an organization
a cabo para describir diferentes tipos de evasiones
or business, or you’re a decision-maker who might bey cómo funcio-
naban. Había
asked toalgunos
sign offestudios técnicos
on acquiring teóricos
a new and sobre
betterlas
wayevasio-
to
nes, pero
keepninguno
your IT describía la implementación
infrastructure de ideas.
running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Capítulo
Redes 2: híbridas segurassobre
Toda la verdad paralas técnicas de evasión avanzada 15
Dummies

Introduction
A continuación, para ver lo que ya se había desarrollado en este
campo, el equipo comenzó a buscar herramientas de Open Source
o gratuitas que aplicaran técnicas de evasión. Solo pudiendo encon-
trar un par de herramientas y su cobertura era mínima.
Así que el equipo construyó su propia versión de una herramienta

W
de evasión, incorporando todo lo que había aprendido, y continuó
su investigación en las
here would evasiones
your y en
business belawithout
forma deyour
prevenirlas.
network?
Al hacerlo, descubrió varios cientos de nuevas evasiones.
Where would you be without the applications that
run on your
El equipo network?
aprendió Thelecciones
cuatro answer al
is implementar
. . . in a world
la of hurt.
herramienta
Organizations
de prueba: are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning✓✓in
Las evasiones
tiptop existen
shape, en todos simply
the business los protocolos.
can’t run smoothly.
✓✓ Las evasiones se pueden combinar para crear nuevas
It used to work just fine to monitor network and application
evasiones.
performance separately, but these days the two are too inter-
✓✓ El orden
dependent fordethat
evasiones
to be acombinadas
workable es importante.
approach. It takes an
integrated approach to troubleshoot effectively
✓✓ El número de diferentes combinaciones de evasiones and minimize
es
downtime. That’s
enorme. where AANPM comes in. The acronym is short
for application-aware network performance management, and it
Cuando elan
describes equipo de análisis
integrated de vulnerabilidad
approach empezó athe
that fully recognizes probar
fact
sus propios
that productos
the network existscon evasiones
to support theavanzadas,
applications descubrió
that runque
on it.
algunas de las evasiones avanzadas engañaban a los dispositivos de
seguridad. QueríanNetwork
Application-Aware saber si Performance
las evasiones Management
avanzadas también For podían
engañar aisotros
Dummies productos detoseguridad.
an introduction Pidieron
this relatively newafrontier.
instituciones
This
independientes
book explains thatquetheprobaran
end user’s experiencefirewalls
los principales is whatde última
really mat-
generación
ters, and thaty sistemas
end userde prevención
needs de intrusiones
the application to work(IPS) para
well. ver
From
cómo
his se comportaban
or her perspective, otros
if theproveedores.
application isElslow,
equipoor se sorprendió
down com-
cuandoitsemakes
pletely, le mostraron los resultados.
little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
Lasmore
out instituciones independientes
about solutions burlaron
that offer fácilmente
end-to-end todosfrom
visibility, los dis-
positivos de seguridad de redes probados.
the data center to the front line where the end user is — as well
as the most efficient
Normalmente, poníanway to locate
en marcha el and eliminate
entorno any troubles.
de prueba durante dos
segundos y durante ese periodo varias técnicas de evasión avanzada
tuvieron éxito. Incluso las evasiones básicas burlaron muchos dis-
Foolish Assumptions
positivos. Imagine usted, ¿qué habría pasado si hubieran puesto en
marcha el mismo entorno de prueba durante varios días?
Yes, we know
El equipo what they
de análisis say about making
de vulnerabilidad estabaassumptions.
preocupado. Fue But
we’re going to do so, anyway. Seeing as how
un resultado devastador para toda la comunidad de seguridad.you have picked
up
Casithis book,
todos los it’s reasonable
dispositivos to presume
de seguridad de aredes
few things about
existentes eran
you, the reader:
vulnerables a las técnicas de evasión avanzada. Parecía que las eva-
siones avanzadas eran un ámbito de seguridad abandonado, quizá
✓ Younowork
porque in ITbuenas
existían supporting a network
herramientas for an organization
de evasión para probar la
or business,
vulnerabilidad. or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
16 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
Así que el equipo se puso en contacto con CERT-FI en Finlandia,
sede del laboratorio de Investigación y Desarrollo. (CERTI-FI pro-
mueve la seguridad al distribuir información sobre amenazas para
la seguridad de la información). El equipo proporcionó 23 muestras
de capturas de tráfico de evasiones avanzadas en funcionamiento
y pidió a CERT-FI que brindara esta información a todos los provee-

W
dores de seguridad relevantes.
here would your business be without your network?
Sorprendentemente,
Where wouldlayou respuesta de otros
be without theproveedores
applicationsdethat
seguri-
run on your network? The answer is . . . in a world of hurt.que
dad de redes fue deficiente. O bien no respondieron o dijeron
las técnicas de are
Organizations evasión avanzadadependent
increasingly no eran un problema para sus dis-
on the performance
positivos. Tardaron casi dos años y 287 nuevas muestras
of their networks and applications alike — if things aren’t de captu-
run-
ning in tiptop shape, the business simply can’t run smoothly.de
ras de tráfico de evasión avanzada antes de que los proveedores
seguridad de redes empezaran a entender el alcance del problema.
It used to work just fine to monitor network and application
Comprendiendo el alcance
performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
masivo de las AETs
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware
El alcance network
de las diferentes performance
técnicas de evasiónmanagement,
avanzada es and it
describes
enorme. La ansituación
integrated approach
es similar a lathat
de lafully recognizes
industria the fact
de antivirus de
that
hacethe15 network
años, en laexists to support
que todo el mundothesabía
applications that runde
que el problema onlos
it.
virus era enorme, pero nadie en la industria sabía qué tan grande
Application-Aware Network Performance
era. Hoy en día, la industria Management
antivirus ha dejado Forel número
de contar
Dummies
de virus yisvariaciones
an introduction
de virusto existentes,
this relatively new frontier.
sencillamente This
porque
book
es unaexplains
cantidad that the end user’s
demasiado grande.experience is whatelreally
De forma similar, númeromat-
de
ters, and that end
posibilidades user needs
de evasiones the application
avanzadas únicas estotanwork well.que
grande From
es
his or her
difícil perspective, if the application is slow, or down com-
de abarcar.
pletely, it makes little difference where the problem is. What mat-
Por is
ters ejemplo,
solving Forcepoint
the problem, descubrió
and doing 147
soevasiones atómicas
quickly. Read on to find
out more about solutions that offer end-to-end visibility, todavía
durante 2010. Combinar dos o más evasiones expande from
másdata
the la cantidad
center tode posibilidades
the de evasión
front line where the endúnicas, y el número
user is — as well
crece
as rápidamente
the most efficientaway
partir de ahí and
to locate ya que el orden
eliminate detroubles.
any evasiones
atómicas dentro de una combinación también añade singula-
ridad. En términos matemáticos, el número de combinaciones

Foolish Assumptions
únicas de evasiones es un número binario que tiene 147 dígitos
(2147), una enorme variedad de posibles combinaciones.
No todas
Yes, estaswhat
we know combinaciones de evasiones
they say about makingfuncionan, pero But
assumptions.
muchas
we’re de ellas
going to dosí.so,
Desde la perspectiva
anyway. Seeing asdehow
la seguridad,
you haveelpicked
desafío
es this
up encontrar
book,aquellas combinaciones
it’s reasonable que son
to presume letales
a few y crear
things una
about
defensa para ellas.
you, the reader: La necesidad de herramientas de prueba auto-
matizadas para la evasión avanzada es obligatoria para este trabajo.
✓ You work in IT supporting a network for an organization
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Capítulo
Redes 2: híbridas segurassobre
Toda la verdad paralas técnicas de evasión avanzada 17
Dummies

Introduction
Descubriendo los principios
claves de las AETs
Puedes identificar las técnicas de evasión avanzada según determi-

W
nados principios básicos. Las técnicas de evasión avanzada
✓✓ Sehere would your
implementan business
de forma be without
muy abierta your el
(consulta network?
apartado
Where
«Definir laswould youdebe
técnicas without
evasión the applications
avanzada» anterior enthat
este
run oncapítulo).
your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
✓✓ Tienen
of their como and
networks objetivo dispositivos
applications tradicionales
alike — if thingsdearen’t
seguridad.
run-
ning in tiptop shape, the business simply can’t
✓✓ Rara vez utilizan propiedades de protocolos. run smoothly.

✓✓ Utilizan
It used to workcombinaciones de evasiones
just fine to monitor inusuales.
network and application
performance separately,
✓✓ Crean tráfico but ignora
de red que these especificaciones
days the two aredetoo inter-
protocolos
dependent for that to be a workable approach. It takes an
estrictos.
integrated approach to troubleshoot effectively and minimize
✓✓ Aprovechan
downtime. las limitaciones
That’s where AANPM comestécnicasin.y The
de inspección
acronym isdeshort
dis-
positivos de seguridad, como la capacidad de
for application-aware network performance management, and itmemoria, opti-
mización
describes de rendimiento
an integrated o fallos
approach thatdefully
diseño, entre otras.
recognizes the fact
that the network exists to support the applications
Las técnicas de evasión avanzada son una forma de ocultar that run
loson it.
ciberataques para evitar la detección y el bloqueo por parte de los
Application-Aware
sistemas de seguridadNetwork Performance
de redes. Management
Las técnicas de evasiónFor avanzada
Dummies
permiten is an introduction
entregar contenidoto this relatively
malicioso new frontier.
a un sistema Thissin
vulnerable
book explains that the end user’s experience is what
detección, lo que normalmente detendría la amenaza. La seguridadreally mat-
ters, and that end user needs the application to work well.
tradicional de redes es ineficaz contra las técnicas de evasión avan- From
his
zadaorde
her
laperspective,
misma formaifquetheelapplication is slow,
radar tradicional esor down contra
ineficaz com- el
pletely, it makes
ataque de little
un avión dedifference where the problem is. What mat-
combate furtivo.
ters is solving the problem, and doing so quickly. Read on to find
out moreexclusivamente
Confiar about solutions enthat offer end-to-end
anomalías o violacionesvisibility, from
del protocolo
the
paradata centerlas
bloquear totécnicas
the frontdeline whereavanzada
evasión the end no useresis — as well
suficiente.
as
Si the
bienmost efficient
algunas way to
anomalías locate and del
y violaciones eliminate anyse
protocolo troubles.
producen
únicamente cuando se utilizan las técnicas de evasión avanzada,
la mayor parte de las irregularidades del protocolo se producen
Foolish Assumptions
debido a una implementación ligeramente defectuosa de aplicacio-
nes de Internet utilizadas habitualmente.
Yes,
Parawe unaknow whatmás
detección theyprecisa,
say about making
necesitas assumptions.
analizar But
y descodificar
we’re going to do so, anyway. Seeing as how you have picked
el tráfico de la red capa a capa. Como un ataque podría estar encu-
up thispor
bierto book, it’s reasonable
evasiones to presume
en numerosas a fewque
capas, tienes things about
llevar a cabo
you, the reader: del tráfico de red y un detallado análisis de cada
la normalización
capa relevante.
✓ You work in IT supporting a network for an organization
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
18 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
Analicemos un ejemplo de evasión
Con frecuencia, las técnicas de evasión no tienen que ser muy avan-
zadas para poder traspasar las defensas tradicionales de redes.
Por eso hay tanta preocupación por ellas. De hecho, una evasión

W
de fragmentación sencilla es un buen punto de partida que evadirá
muchos de los principales productos de seguridad de redes.
here would your business be without your network?
AnalicemosWhere wouldgusano
el infame you beConficker
without (consulta
the applications
el capítulo that1),
run on your
detectado pornetwork?
primera vez Theen answer
noviembreis . . .dein2008,
a world
que of hurt.
aprovecha
Organizations
la vulnerabilidad aredelincreasingly dependent
Servicio Server on thecon
de los equipos performance
sistema
of their networks
operativo Windows. and applications
Si bien alike — if
fue devastador en suthings
momento,aren’t run-
este
ning
gusanoin tiptop
ahora es shape, the business
fácilmente detectable simply
por todos can’tlos
run smoothly.
dispositivos
de seguridad de redes conocidos.
It used to work just fine to monitor network and application
El tráfico de red
performance en una redbut
separately, de these
TCP/IPdays (Transmission
the two are Control Pro-
too inter-
tocol/Internet
dependent forProtocol)
that to be se basa en paquetes.
a workable approach.PuedesItfragmentar
takes an
estos paquetes
integrated en paquetes
approach más pequeños,
to troubleshoot si lo necesitas,
effectively pero
and minimize
lo habitual es utilizar los mínimos paquetes
downtime. That’s where AANPM comes in. The acronym is short posibles para mejorar
la eficacia.
for Para implementar
application-aware networkuna de las evasiones
performance más sencillas,
management, and it
divide el gusano
describes Conficker
an integrated en dos fragmentos
approach y, a continuación,
that fully recognizes the fact
pasathe
that estos por el exists
network dispositivo de seguridad
to support de redes, esperando
the applications that run on diez
it.
segundos entre cada fragmento. Lamentablemente, cuando se modi-
fica así, numerososNetwork
Application-Aware dispositivos de seguridad
Performance de redes no
Management Fordetecta-
rán al gusano
Dummies is anConficker,
introduction incluso cuando
to this todo está
relatively newactualizado.
frontier. This
book
¿Quéexplains
sucedió?that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her
Bueno, losperspective,
dispositivosif de theseguridad
application deisredes
slow,tienen
or down quecom-
pletely,
soportar it makes
millones little
dedifference
conexiones where
cadathe problem
segundo. is. provoca
Esto What mat- la
ters is solving
limitación porthe problem,
la que and doing
solo pueden so quickly.
almacenar Read
parte de onesastocone-
find
out more
xiones enabout solutions
la memoria. La that offer normal
cantidad end-to-end visibility, asignada
de memoria from
the
paradata center inspeccionado
el tráfico to the front lineeswhere the end user
de alrededor is — as
de siete well
segundos
as
porthe most efficient way to locate and eliminate any troubles.
conexión.
En el ejemplo de Conficker, se envían dos fragmentos con diez

Foolish Assumptions
segundos de diferencia. Por lo tanto, durante los primeros siete
segundos, el dispositivo de seguridad de redes obtiene una coin-
cidencia parcial, pero no hará nada con el tráfico hasta que tenga
Yes,
una we know what
coincidencia they
total. say
Solo about
una making completa
coincidencia assumptions. But a
y positiva
we’re going to do so, anyway. Seeing as how you have picked
la huella de detección propiciará alguna acción del dispositivo de
up this book,
seguridad it’s reasonable to presume a few things about
de redes.
you, the reader:
Pero, después de siete segundos, el dispositivo de seguridad de
redes
✓ Youreinicia
worksuinmemoria, reciclándola
IT supporting para otro
a network for anuso. Esto significa
organization
que toda la investigación
or business, de la
or you’re a primera parte y lawho
decision-maker coincidencia
might bepar-
cial de Conficker
asked to signseoff
pierde. Cuando laasegunda
on acquiring new and parte de Conficker
better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Capítulo
Redes 2: híbridas segurassobre
Toda la verdad paralas técnicas de evasión avanzada 19
Dummies

Introduction
pasa a los diez segundos, como la primera parte, el dispositivo de
seguridad de redes no realiza una coincidencia completa, por lo
que no toma ninguna medida. De esta forma, ambas partes de Con-
ficker pueden entrar para atacar al dispositivo de destino y no se
efectúa ni una alerta.

W
Esta sencilla fragmentación utilizando técnicas de evasión avan-
zada eshere
un ejemplo
would rudimentario
your businessque be demuestra
without yourlas vulnera-
network?
bilidades de los dispositivos que tienen muy
Where would you be without the applications poca memoria
thaten
run on your network? The answer is . . . in a world of hurt. las
comparación con la cantidad de tráfico que esperan. Si bien
vulnerabilidades
Organizations aredebidas a la limitación
increasingly dependent de memoria pueden ser
on the performance
menos frecuentes en el futuro, a medida que los dispositivos
of their networks and applications alike — if things aren’t run- de
seguridad de redes adoptan arquitecturas de 64 bits
ning in tiptop shape, the business simply can’t run smoothly. y son capa-
ces de acceder a más memoria, confirma el caso de uso, y existen
Itotras
usedvulnerabilidades
to work just fineque las técnicas
to monitor de evasión
network avanzada
and application
pueden explotar.
performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
Considerando los puntos débiles
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
de los dispositivos de seguridad
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact

de redes tradicionales
that the network exists to support the applications that run on it.

Application-Aware
Las organizacionesNetwork Performance
se enfrentan Management
a dos preguntas For
fundamentales:
Dummies is an introduction to this relatively new frontier. This
book✓✓explains
¿Por qué that
los dispositivos de seguridad
the end user’s experience deisredes
whattradicionales
really mat-
no pueden
ters, and that endofrecer una protección
user needs eficaz contra
the application to work laswell.
evasiones
From
avanzadas?
his or her perspective, if the application is slow, or down com-
pletely, it makes
✓✓ ¿Por qué laslittle difference
mejoras where the
a los exploits problem
normales sonis. What mat-
ineficaces
ters iscontra
solving the problem, and doing so
el problema de evasión avanzada? quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
La respuesta
the data centerse to
encuentra
the frontenline
la gestión, inspección
where the end usery is — as
detección del
well
tráfico.
as Cadaefficient
the most una de estas
way tocapacidades
locate andes fundamental
eliminate para crear
any troubles.
una protección adecuada para la evasión avanzada en firewalls de
última generación o incluso en sistemas de prevención de intrusio-

Foolish Assumptions
nes (IPS).

¿Estás sacrificando la seguridad

Yes, we know what they say about making assumptions. But

por la velocidad?
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
Los dispositivos
you, the reader: de seguridad de redes deberían efectuar la
normalización del tráfico en cada capa TCP/IP. Pero muchos
dispositivos
✓ You work deinseguridad de redes
IT supporting favorecen
a network forlaanvelocidad en
organization
lugarordebusiness,
la seguridad y, por alodecision-maker
or you’re tanto, toman atajos.
who Estos
mightdis-
be
positivos
askedno toinspeccionan las cuatroa capas
sign off on acquiring delbetter
new and modeloway
TCP/IP.
to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
20 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
Con frecuencia, esto permite que el dispositivo de seguridad de
redes funcione más rápido, pero deja la red vulnerable ante eva-
siones avanzadas.
Las técnicas de evasión avanzada aprovechan los atajos y las debili-
dades en los procesos de normalización e inspección.

WPara obtener
consultaWhere
The
más información
here would
el librowould
Protocols
de W. Richard
sobrebe
your business
you be without
(Addison-Wesley,
laswithout

1994).
capas del
Stevens TCP/IP
modelo
your TCP/IP,
network?
Illustrated, volumen
the applications
run on your network? The answer is . . . in a world of hurt.
that 1:

Organizations are increasingly dependent on the performance

Inspección por paquetes
of their networks and applications alike — if things aren’t run-
ning in tiptop
La mayoría de shape, the business
los dispositivos simply de
de seguridad can’t runtradicionales
redes smoothly.
y centrados en las firmas solo inspeccionan elementos o pseudopa-
Itquetes,
used to work
y no just inspeccionar
pueden fine to monitor network
un flujo and application
constante de datos. Este
performance
problema clave separately,
del diseñobut these days the two
es extremadamente difícilare
detoo inter-
cambiar.
dependent
Especialmente foren that to be
el caso dealos
workable
productos approach.
basados en It takes
hardware,an
integrated approach to troubleshoot effectively
el rediseño de los dispositivos de seguridad necesitaría un desem- and minimize
downtime. That’s en
bolso importante where AANPM
el área comes in. The
de Investigación acronym is short
y Desarrollo.
for application-aware network performance management, and it
Muchos dispositivos
describes an integrated de seguridad
approach de thatredes
fullybasados
recognizes en paquetes
the fact
descargan
that las funciones
the network exists to desupport
gestión de thepaquetes de bajo
applications that nivel
runen onlos
it.
componentes de hardware fabricados a medida con el fin de mejo-
rar el rendimiento yNetwork
Application-Aware la eficacia. Esta filosofía
Performance del diseño For
Management se centra
en vulnerabilidades
Dummies de la seguridad
is an introduction conocidasnew
to this relatively y vincula
frontier.a estos
This
proveedores
book explainsen unathe
that ruta de user’s
end procesamiento
experience queisasume la asigna-
what really mat-
ción and
ters, de patrones
that endbasadosuser needs en firmas de segmentos
the application cortos
to work de tráfico
well. From
de or
his redes.
her La combinación
perspective, de descarga
if the application delis
hardware
slow, or ydown del análisis
com-
de segmentos
pletely, it makes cortos
littlerequiere
difference menos
where recursos de memoria
the problem is. Whaty demat-
la
unidad
ters centralthe
is solving de procesamiento
problem, and doing por loso que, con elRead
quickly. tiempo, onestos
to find
proveedores
out more about suelen ahorrar
solutions en offer
that costos de fabricación,
end-to-end al invertir
visibility, from
menos en memoria y CPU.
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.
La inspección basada en el flujo de datos requiere más capaci-
dad de memoria y CPU para seguir rindiendo eficazmente en sus

Foolish Assumptions
resultados. Pasar de una inspección basada en segmentos a una
inspección basada en flujos de datos requiere cambios significati-
vos en funciones de nivel bajo. La mayor parte de los productos de
asignación
Yes, we know de firmas
what they no tienen la flexibilidad
say about makingde diseño para hacer
assumptions. But
estos going
we’re cambios to porque implementaron
do so, anyway. Seeingsu aslógica
how youde procesamiento
have picked
up el hardware.
en this book, it’s reasonable to presume a few things about
you, the reader:
Para muchos proveedores de seguridad de redes tradicionales
centrados
✓ You work en lasinfirmas, rediseñarasus
IT supporting productos
network basados
for an en
organization
hardware
or business, or you’re a decision-maker who mightdebe
o cambiar a un entorno de 64 bits para disponer más
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Capítulo
Redes 2: híbridas segurassobre
Toda la verdad paralas técnicas de evasión avanzada 21
Dummies

Introduction
memoria no es práctico debido a los compromisos de producción
de hardware, que ponen en riesgo su flexibilidad.
Las técnicas de evasión avanzada aprovechan la inspección basada
en pseudopaquetes o basada en segmentos al diseminar ataques
por los límites de los pseudopaquetes o segmentos.

W

Detección basada en exploit
here would your business be without your network?
Where would
La normalización you be withouteficaz
y la reconstrucción the applications
de protocolos thatper-
run
mitenongestionar
your network? The answer
adecuadamente is . . . inavanzada
la evasión a world of hurt.
y garantiza
Organizations
que un enfoqueare increasingly
basado dependent on
en vulnerabilidades the performance
pueda detectar y
of their networks
prevenir los ataques andcorrectamente.
applications alike — if
Por otro lado,things losaren’t run-
enfoques
ning in tiptop
basados shape, the business
en vulnerabilidades simply can’t
de la seguridad, run smoothly.
al depender de la
asignación de patrones orientada a los paquetes y en el análi-
Itsis
used to work just
de segmentos fine to
cortos, nomonitor
considerannetwork
que sea andimportante
application la
performance
reconstrucción separately,
profunda but these daysythe
de protocolos two are too inter-
la normalización de
dependent for that
los flujos. Como to be a workable
consecuencia, approach.
con frecuencia son It takes ande
incapaces
integrated
identificar approach to troubleshoot
evasiones avanzadas effectively
y presentan and riesgo
un grave minimize para
downtime.
la seguridad That’s where AANPM comes in. The acronym is short
general.
for application-aware network performance management, and it
Un enfoque
describes anbasado
integratedúnicamente
approach en that
las firmas, como es habitual
fully recognizes the facten
las defensas
that the networkbasadas
existsentovulnerabilidades de la seguridad
support the applications that run y orien-
on it.
tadas a los paquetes, requeriría una única firma para cada combina-
ción de evasiones avanzadas.
Application-Aware Debido al enorme
Network Performance númeroFor
Management de combi-
naciones conocidas
Dummies de evasiones
is an introduction avanzadas,
to this relativelyelnew volumen
frontier.de firmas
This
requeridas
book para
explains este
that theenfoque haríaexperience
end user’s que el sistema fuerareally
is what imposible
mat-
de gestionar
ters, and that(seend necesitarían
user needsdemasiadas
the applicationfirmas).
to work well. From
his
Un or her perspective,
dispositivo normal de if the application
seguridad is slow,
de redes tieneor down
entre com-
3000 y
pletely, it makes
30 000 firmas littleen
activas difference where the
un determinado problem
momento. Si is. What mat-
intentara pro-
ters is solving
tegerse the problem,
ante algunas and doing
de las técnicas so quickly.
de evasión Read on
avanzada to find
utilizando
out more about
un enfoque solutions
basado thatpodría
en firmas, offer end-to-end
crear 1 000 000 visibility,
de nuevasfrom
the data center to the front line where the end
firmas de evasión avanzada para empezar. Desafortunadamente, user is — as well
asla the most efficient
tecnología hoy en día waynotopuede
locateprocesar
and eliminate any
el tráfico troubles.
contra tantas
firmas al tiempo que mantiene un rendimiento aceptable.

Foolish Assumptions
Afortunadamente, hay otra manera de solucionar este problema.
Continúe leyendo si desea conocer la solución.
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
22 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
W here would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.

It used to work just fine to monitor network and application

performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies

Introduction
Capítulo 3

La amenaza de las técnicas

W
de evasión avanzadahere would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.

en la industria
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.

It used to work just fine to monitor network and application

En este performance
capítulo separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
▶▶Conocer las amenazas persistentes avanzadas
integrated approach to troubleshoot effectively and minimize
▶▶Proteger los sistemas
downtime. That’sdewhere
control industrial
AANPM comes in. The acronym is short
for application-aware network performance management, and it

E
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.
n este capítulo, analizamos las técnicas de evasión avanzada
en relación con
Application-Aware grandes
Network sistemas críticos
Performance –sistemas
Management Forde control
industrial–
Dummies ispara ayudarte a entender
an introduction la importancia
to this relatively de protegerse
new frontier. This
ante dicha
book amenaza
explains en end
that the todos los niveles
user’s de unaisorganización.
experience what really mat-
ters, and that end user needs the application to work well. From
Las técnicas de evasión avanzada:
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-

la herramienta básica de los

ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from

cibercriminales
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.
Las técnicas de evasión avanzada no son muy conocidas todavía y
pueden superar los dispositivos de seguridad de redes habituales,
Foolish Assumptions
por lo que son herramientas muy potentes para los cibercriminales.
Los cibercriminales quieren utilizar el mínimo esfuerzo para atacar
Yes,
a su we know No
objetivo. what they emplear
quieren say about making
métodos assumptions.
que But
sean exagerados;
we’re going to do so, anyway. Seeing as how you have
en definitiva, llevan sus actividades como un negocio normal, picked
up
porthis book,
lo que it’s reasonable
quieren reducir lostocostos
presume a few things about
al máximo.
you, the reader:
Las pruebas de evasión avanzada no son sencillas. Forcepoint tardó
más de cuatro
✓ You workañosin ITen crear una herramienta
supporting a network forde an
prueba de evasión
organization
avanzada, y eso que
or business, orlos programadores
you’re eran profesionales
a decision-maker who mightde besegu-
ridadasked
de redes. Por off
to sign lo tanto, es evidente
on acquiring queand
a new desarrollar
better técnicas
way to de
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
24 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
evasión avanzada requiere una inversión de dinero, tiempo e inteli-
gencia por parte de los cibercriminales.
Por esta razón, los delincuentes utilizan las técnicas de evasión
avanzada contra objetivos que son muy difíciles o en aquellos en
los que el posible valor de la recompensa es muy elevado. Normal-

W
mente son objetivos que cuentan con varias capas de seguridad
de redeshere
y una buenayour
would vigilancia de redes.
business Por ejemplo,
be without el profe-
your network?
sor Andrew Blyth y su equipo de la Universidad de
Where would you be without the applications that Glamorgan
llevan
run onayour
cabonetwork?
estudios de Thela red siempre
answer que
is . . . inlos departamentos
a world of hurt.
del gobierno del Reino Unido han sido víctimas
Organizations are increasingly dependent on the de unperformance
ataque. Ha
ofcomentado que «las
their networks técnicas
and de evasión
applications avanzada
alike — if presentan
things aren’tuna
run-
grave amenaza para la seguridad de redes y ya hemos
ning in tiptop shape, the business simply can’t run smoothly. visto prue-
bas de piratas informáticos que las utilizan en la jungla informá-
Ittica».
used to work just fine to monitor network and application
performance separately, but these days the two are too inter-
Proteger los sistemas
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
de control industrial
downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
El nacimiento
describes de Stuxnetapproach
an integrated en 2010 animó a muchas
that fully organizaciones
recognizes the fact a
centrarse
that en las redes
the network existsdetoadquisición
support the deapplications
datos y control thatsupervisor
run on it.
(SCADA) como parte de sus sistemas de control industrial.
Application-Aware
La vulnerabilidad de Network
las redesPerformance
industrialesManagement
y las posiblesFor conse-
Dummies is anla
cuencias para introduction
seguridad detolas this relatively
personas y elnew frontier.
entorno This
significan
book
que los responsables de la seguridad de las redes industrialesmat-
explains that the end user’s experience is what really
ters,
deben and that endpor
esforzarse user needs
llevar the application
a cabo evaluaciones tode
work well.avanza-
riesgos From
his or her perspective, if the
dos y encontrar soluciones adecuadas.application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solvingaun
Sin embargo, thecuando
problem, and doing
muchas so quickly.consiguen
organizaciones Read on to find
ase-
out more
gurar bienabout solutions
sus redes SCADA, that offer
otro end-to-end
ataque visibility,
de malware fromde
en otoño
the data
2011, center to
el troyano the demostró
Duju, front line que
wherelosthe end user
métodos is — as well
convencionales
as
dethe mostsiguen
ataque efficient way toéxito
teniendo locate
y queandlaeliminate
seguridadany ICS troubles.
seguía
teniendo muchos defectos.

Foolish Assumptions
Por lo tanto, la seguridad para SCADA y otras redes ICS, especial-
mente con el surgimiento de los ataques de técnicas de evasión
avanzada, sigue siendo una preocupación.
Yes, we know what they say about making assumptions. But
Limitando la exposición
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
No son
you, thesolo las redes SCADA, sino también todos los sistemas ICS
reader:
los que se ven afectados por problemas de seguridad. La figura 3-1
muestra
✓ You que,
worksiinbien
IT algunas organizaciones
supporting a network tienen
for anmás probabili-
organization
dades de sufrir ataques que otras, todas pueden ser víctimas
or business, or you’re a decision-maker who might be de un
ciberataque.
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4Capítulo
Redes
3: Lahíbridas
amenazaseguras de evasión avanzada en la industria 25
para Dummies
de las técnicas

100%
Introduction
Cibercrimen

Gobiernos, tecnología de defensa,

banca, infraestructura crítica,
por ejemplo
Riesgo alto

W
Riesgo medio
Alta tecnología, medios, comercio
here would
minorista, yourindustrial,
fabricación business be
without your network?
Where would you be without
por ejemplo the applications that
run on your network? The
Riesgo bajo answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
Valor financiero, político,
ning in tiptop shape, the business
Organizaciones sin ánimosimply can’t run
de lucro, pequeños smoothly.
comercial o de derechos
0% negocios locales y servicios, por ejemplo de propiedad intelectual
It used to work just fine to monitor network and application
performance
Bajo separately, but these days the two Altoare too inter-
dependent for that to be a workable approach.
Figura 3-1: Cómo la aparición masiva de las amenazas avanzadas It takes an
afecta
integrateda diferentes
approachindustrias.
to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware
Debido a ello, se están network
tomando performance
medidas para management,
encontrarand it
solucio-
describes
nes que puedanan integrated approachdethat
implementarse fullygeneralizada.
forma recognizes the Porfact
ejem-
that
plo, the network exists
la normativa to support
NERC-CIP (Norththe applications
American Electric that run on it.
Reliability
Corporation-Critical Infrastructure Protection) es obligatoria
Application-Aware
para grandes plantas Network Performance
de energía Management
de Estados Unidos. No Forobstante,
Dummies
no existe is an introduction
ningún reglamentotomundial
this relatively
uniforme new frontier.
para This
la protec-
book explains that the end user’s experience is
ción de las redes ICS, por lo que hoy en día se emplean varias what really mat-
ters, and that end user needs the application to
normativas con diferentes niveles de eficacia, como Achilles de work well. From
his or her perspective,
Wurldtech if the application
Security Technology is slow, or down com-
e ISA Secure.
pletely, it makes little difference where the problem is. What mat-
De forma
ters similar,
is solving the la investigación
problem, de los
and doing soposibles
quickly. huecos
Read ondetosegu-
find
ridad
out morese encuentra en sus inicios.
about solutions Porend-to-end
that offer ejemplo, en 2011, NSS
visibility, fromLabs
descubrió
the data centerhuecos de seguridad
to the en losthe
front line where controladores
end user is — as lógicos pro-
well
gramables
as the mostque se emplean
efficient way to para
locatecontrolar y supervisar
and eliminate procesos
any troubles.
industriales. Si los piratas informáticos se propusieran utilizar
este hueco, tendrían total acceso al sistema y podrían controlar

Foolish Assumptions
el procesador principal.

Parcheo virtual
Yes, we know what they say about making assumptions. But
Una forma
we’re goingdetolimitar
do so,elanyway.
riesgo deSeeing
los sistemas
as how SCADA es eliminarlos
you have picked
de this
up la red. Se reducen
book, considerablemente
it’s reasonable to presume lasalíneas de ataque
few things aboutsi no
existe
you, ninguna
the reader: conexión con el exterior. Pero, con frecuencia, es
imposible la eliminación total de la red. Por esta razón, las organiza-
ciones
✓ You y empresas
work in IT con sistemas SCADA
supporting suelen
a network forutilizar soluciones
an organization
de seguridad comoorsistemas
or business, you’re adedecision-maker
prevención de intrusiones
who might(IPS).
be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
26 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
El sistema de prevención de intrusiones (IPS) supervisa todo el trá-
fico de datos y solo permite que acceda a la red si no hay indicios
de amenaza. Si un malware trata de acceder a la red, automática-
mente interrumpe la conexión de datos y, por lo tanto, evita que el
malware entre en la red. Este método de seguridad también permite
el parcheo virtual de servidores y servicios al proteger servidores

W
vulnerables que solo se actualizarán durante la próxima tarea
de mantenimiento:
here would yourun requisito
businessimportante
be without deyour
las redes indus-
network?
triales. Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Pero las técnicas
Organizations aredeincreasingly
evasión avanzada ocultanon
dependent o modifican los cibe-
the performance
of their networks and applications alike — if things aren’t por
rataques hasta el punto de no ser identificados ni bloqueados run-
los sistemas
ning in tiptopdeshape,
seguridad, lo que resulta
the business en filtraciones
simply no detecta-
can’t run smoothly.
das de contenido malicioso en los sistemas desprotegidos. En con-
Ittraste
usedcon las técnicas
to work de to
just fine evasión sencilla,
monitor las técnicas
network de evasión
and application
avanzada:
performance separately, but these days the two are too inter-
dependent
✓✓ Varían for that to be
los métodos a workable
empleados paraapproach. It takes an
ocultar un ataque.
integrated approach to troubleshoot effectively and minimize
✓✓ Se pueden
downtime. That’scombinar
where AANPMhasta un puntoin.
comes prácticamente
The acronymilimitado.
is short
for✓ application-aware
✓ Utilizan diferentes network
nivelesperformance
en el tráfico demanagement,
red. and it
describes an integrated approach that fully recognizes the fact
that thelonetwork
Y, por existsdebilitar
tanto, pueden to support the applications
mecanismos that runde
convencionales on it.
seguridad.
Application-Aware Network Performance Management For
Los dispositivos
Dummies que inspeccionan
is an introduction to thiselrelatively
tráfico denewdatos, como This
frontier. los
firewalls
book de última
explains thatgeneración
the end user’sy losexperience
sistemas deisprevención
what reallydemat-
intrusiones
ters, and that (IPS),
endutilizan
user needstécnicas
the diferentes,
applicationpero la mayoría
to work de
well. From
ellos
his orfunciona con análisis
her perspective, de application
if the protocolos yisdetección
slow, or downde patrones
com-
en baseitamakes
pletely, firmas.little
Este difference
enfoque detecta
wheredeterminados
the problem patrones de
is. What mat-
ataque
ters mostrados
is solving por el malware
the problem, en el tráfico
and doing de datos,
so quickly. Readloonque to find
aprovecha
out more about puntos débiles that
solutions en unoffer
sistema de comunicación.
end-to-end visibility, from
the data center to the front line where the end user is — as well
Pero si los patrones de amenazas están cambiando constante-
as the most efficient way to locate and eliminate any troubles.
mente, la mayoría de los firewalls de última generación y sistemas
de prevención de intrusiones (IPS) tienen dificultades para detectar

Foolish Assumptions
el ataque oculto al realizar comparación de patrones basados en
firmas dentro del paquete de datos. En ocasiones, lo único que se
necesita es un pequeño cambio, como un corrimiento dentro del
Yes, we know
segmento what ythey
de datos, ya nosay aboutnada
tendrán making
queassumptions.
ver con ninguno But
de
we’re going to
los patrones dedo so, anyway.
ataques presentes Seeing
en laas how
base deyoudatos have picked
de firmas.
up this book,Elit’s
¿Resultado? reasonable
sistema to presume
de seguridad a few
no detecta el things
código about
malicioso
you,
ocultothe reader: que entre en la red. Como no hay ninguna alarma
y permite
que avise de una posible amenaza, los cibercriminales pueden
✓ You libremente
moverse work in IT por supporting
el sistema a para
network for anun
encontrar organization
posible punto
débilor business,
o un servidoror noyou’re a decision-maker
actualizado oportunamente. who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4Capítulo
Redes
3: Lahíbridas
amenazaseguras de evasión avanzada en la industria 27
para Dummies
de las técnicas

Introduction
Analicemos un ejemplo sencillo
Parece que los cibercriminales entienden mejor las técnicas de
evasión avanzada (AETs) que las áreas de pruebas de los mismos
fabricantes de soluciones de seguridad para redes.

W
Pensemos en una máquina de papel, en una planta nuclear o en
una planta eléctrica, todas controladas por algún tipo de equipo
here would your business be without your network?
de cómputo o sistema de equipos de cómputo. Normalmente, los
Where would you be without the applications that
equipos de control tendrán acceso a los sistemas operativos desa-
run on your network? The answer is . . . in a world of hurt.
rrollados hace cinco o diez años, y probablemente siguen siendo
Organizations are increasingly dependent on the performance
controlados por Windows NT. El ciclo de vida de un sistema de con-
of their networks and applications alike — if things aren’t run-
trol industrial alcanza fácilmente los 15 años.
ning in tiptop shape, the business simply can’t run smoothly.
El problema es que el equipo de control no se puede actualizar
Itregularmente,
used to workporque
just fine to monitor
muchas network and application
de las actualizaciones requieren
performance separately,
reiniciar la máquina. but these
Esta máquina dedays theindustrial
control two are too inter-
se reinicia
dependent
solo una o dosforveces
that to be adurante
al año workable approach.
periodos It takes an
de mantenimiento.
integrated approach to troubleshoot effectively and minimize
Por lo tanto,
downtime. cuando
That’s hay AANPM
where un nuevocomesparchein.disponible
The acronym para la
is short
máquina de control, el personal de seguridad
for application-aware network performance management, de red no puede
and apli-
it
carlo inmediatamente.
describes an integratedPodrían
approach pasar seis
that meses
fully antes dethe
recognizes quefact
el
personal
that aplique exists
the network el parche. Mientrasthe
to support tanto, los miembros
applications that del
runperso-
on it.
nal protegen el ordenador de control con dispositivos de seguridad
de redes, como firewalls
Application-Aware Networkde última generación
Performance o sistemas
Management de preven-
For
ción de intrusiones
Dummies (IPS). Pero
is an introduction toelthis
equipo de control
relatively es vulnerable
new frontier. This
mientras
book no sethat
explains aplique
the el
end parche.
user’sLos cibercriminales
experience is whattienen
reallysumat-
oportunidad
ters, and thatdeendoro.
user needs the application to work well. From
his or her perspective,
Previamente, los sistemasif the
de application is slow,
control industrial se or down com-en
encontraban
pletely,
una redittotalmente
makes little difference
separada, pero where the problem
últimamente is. What mat-
los administrado-
ters
res de sistemas los han conectado a las redes de la oficinaon
is solving the problem, and doing so quickly. Read to find
y algu-
out more about solutions that offer end-to-end visibility,
nos, incluso, a Internet porque la empresa requiere conexiones con from
the data center
sistemas to the
externos. Estofront line where
significa que losthe end user is — as
cibercriminales puedenwell
as the most
acceder a laefficient waysistemas.
red de estos to locate and eliminate any troubles.

Los cibercriminales utilizarán vulnerabilidades de la seguridad

Foolish Assumptions
conocidas contra el equipo de control no actualizado (Windows
NT en el ejemplo) y utilizarán técnicas de evasión avanzada para
ocultar la vulnerabilidad utilizada de los dispositivos de seguridad
Yes, we know what they say about making assumptions. But
de redes. Ahora pueden tomar el control de la máquina de papel, el
we’re going to do so, anyway. Seeing as how you have picked
reactor nuclear o la planta eléctrica.
up this book, it’s reasonable to presume a few things about
you, the reader:
La moraleja es que hay que asegurarse de estar protegido contra
las técnicas de evasión avanzada si se encuentra trabajando en
un You work
✓entorno in IT
ICS en supporting
el que a network
no se pueden aplicarfor an organization
parches inmediata-
or business, or you’re a decision-maker who might be
mente.
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
28 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
W here would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.

It used to work just fine to monitor network and application

performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies

Introduction
Capítulo 4

Protegiendo en
Wcontra de las AETs
here would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
En este ning in tiptop shape, the business simply can’t run smoothly.
capítulo
▶▶Veremos cómoto
It used sework
comporta tu red
just fine to en una prueba
monitor de técnicas
network de evasión
and application
avanzada
performance separately, but these days the two are too inter-
dependent
▶▶Trabajando con losfor that to be a workable approach. It takes an
riesgos
integrated approach to troubleshoot effectively and minimize
▶▶Inspeccionaremos el tráfico
downtime. That’s where AANPM comes in. The acronym is short
▶▶Optando
forpor el uso de la gestión
application-aware centralizada
network performance management, and it
describes an integrated approach
▶▶Evaluando soluciones en la vida real that fully recognizes the fact
that the network exists to support the applications that run on it.

E
Application-Aware Network Performance Management For
Dummiesn lo is anrespecta
que introduction
a las to thisningún
AETs, relatively new frontier.
dispositivo This
de seguri-
book dadexplains that the end user’s experience is what
de redes del mercado puede garantizar una protección really mat-
ters, and that end user needs the application to work
total (aunque algunos se acercan bastante). A diferencia de las well. From
his or her perspective,
amenazas tradicionalesif (como
the application
Stuxnet oisCornficker,
slow, or down com-
por ejem-
pletely,
plo) enitlasmakes littleactualización
que una difference wherede una thefirma
problem is. What
parecía mat-
solucionar
ters
el problema, la simple actualización de un dispositivo no solu-find
is solving the problem, and doing so quickly. Read on to
out more
ciona about solutions
el problema that offer
de las AETs. end-to-end
La forma en que visibility,
operan lasfrom
técni-
the
casdata center avanzada
de evasión to the fronty elline wheredethe
número end user
posibles is — as well
combinaciones
as
dethe mostsignifican
evasión efficient wayque to locate and eliminate
la protección en contra any
de lastroubles.
técnicas
de evasión avanzada es una ardua batalla. Y solo acabamos de
comenzar.
Foolish Assumptions
Aun así, las organizaciones deben tomar medidas para aumentar su
protección contra las amenazas. De hecho, toda organización que
Yes, we know what
no comprenda they el
o reduzca say about
riesgo demaking
técnicasassumptions. But
de evasión avanzada
we’re going to do so, anyway. Seeing as how you have picked
está abriendo su red a vulnerabilidades conocidas y desconocidas.
up
En this book,
una era it’s reasonable
de sofisticados to presumemuchas
cibercrímenes, a few things about
organizaciones,
you, the reader:
incluyendo a departamentos de gobierno y corporaciones, arries-
gan el sufrir serias repercusiones por no preparar sus redes para la
✓ You
lucha work
contra lasintécnicas
IT supporting a network
de evasión for an organization
avanzada.
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
30 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
Este capítulo ofrece orientación práctica que las organizaciones
pueden aplicar para aumentar su nivel de protección contra las téc-
nicas de evasión avanzada.

Evaluando su propia red

WÁrmate here

run on
de conocimiento:
would your conoce
Where
Forcepoint
your
comenzó
network?
lasbe
business
woulda you
hablar
The
deficiencias

answer is
de tunetwork?
without your
be públicamente
. . .
red.
without the applications
in
that de
sobre las técnicas
a world
evasión avanzada a finales de 2010. Muchas personas vieron lasof hurt.
Organizations
demostraciones are
deincreasingly dependent
técnicas de evasión on thepero
avanzada, performance
no queda-
of their
ron networksporque
convencidas and applications alike — if
los dispositivos para lathings aren’t
seguridad de run-
las
ning
redesinque
tiptop shape, the
se mostraron nobusiness simplyTambién
eran los suyos. can’t run smoothly.
estaban segu-
ros de que podían ajustar sus dispositivos de seguridad para que
Itninguna
used totécnica
work just fine todemonitor
avanzada network
seguridad pudieraand application
evitarlos
performance separately, but these days the two are too inter-
Debido a esto,
dependent forForcepoint
that to beproporcionó
a workableuna versión portátil
approach. It takesdeanuna
herramienta
integrated de pruebatode
approach evasión avanzada,
troubleshoot denominada
effectively Evader.
and minimize
downtime. That’s where AANPM comes in. The acronym is short
Evader ofrece:
for application-aware network performance management, and it
describes
✓✓ Datosanobjetivos
integrated approach
y reales sobrethat fully recognizes
las capacidades the factde
antievasión
that thesusnetwork exists
dispositivos detoseguridad
support actuales
the applications
y futuros.that run on it.
✓✓ Una evaluación
Application-Aware de riesgos
Network de evasión
Performance para el administrador
Management For en
Dummies formais de
an informe de prueba,
introduction to thisque acompaña
relatively newa frontier.
los datosThis
de la
prueba. that the end user’s experience is what really mat-
book explains
ters, and that end user needs the application to work well. From
Evader
his or heresperspective,
una herramienta if thedeapplication
software, que contempla
is slow, or down unacom-
prueba
de evasión
pletely, preparada
it makes para los propietarios
little difference de dispositivos
where the problem is. Whatdemat-
seguridad
ters quethe
is solving ofrece un servicio
problem, de evaluación
and doing so quickly.deRead
alta calidad
on to find
para sus dispositivos con la capacidad de
out more about solutions that offer end-to-end visibility, detectar, bloquear
from
e informar
the de una
data center evasión:
to the frontexploits
line where encubiertos a través
the end user de well
is — as
redes
as públicas
the most o internas.
efficient way to Entre
locatelosand
dispositivos
eliminatequeanyse pueden
troubles.
probar están los firewalls de última generación, los sistemas de
prevención de intrusiones (IPS) y los UTMs (sistemas unificados

Foolish Assumptions
de gestión de amenazas) de los principales fabricantes, incluido
Forcepoint. Todos estos dispositivos están diseñados para ofrecer
una inspección profunda de paquetes y para detectar y bloquear
Yes, wemalicioso.
tráfico know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
La this
up prueba de Evader
book, está específicamente
it’s reasonable to presumediseñada para about
a few things determi-
nar qué tan
you, the reader:eficiente (o ineficiente) es el dispositivo de seguridad
de red en cuestión contra las técnicas de evasión avanzada (AETs).
No✓esYouun servidor,
work in IT una aplicación,auna
supporting vulnerabilidad
network del sistema ni
for an organization
una prueba tradicional
or business, de penetración
or you’re en tiempowho
a decision-maker real.might
Incluyebesolo
dos vulnerabilidades de hace tiempo pre-configuradas
asked to sign off on acquiring a new and better way to de exploits
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras
Capítulopara Dummies en contra de las AETs
4: Protegiendo 31

Introduction
de HTTP y MSRPC. Evader evalúa los métodos de entrega de técni-
cas de evasión avanzada cuando intentan burlar de forma sigilosa
los dispositivos de seguridad destinados a proteger a los servido-
res, las aplicaciones y los sistemas.
La tabla 4-1 explica cuándo hacer la prueba de evasión.

W Tablahere
run
4-1 wouldNegociando
your business bela
con without your network?
inteligencia
Where would you be without the applications that
on your network?
ciberriesgo:
The answersaber
is . . .cuándo
del
realizar
in a world of hurt.
la prueba de evasión
Organizations are increasingly dependent on the performance
ofSituaciones
their networks and applications alike — if things aren’t run-
Desafíos
ning in tiptop shape, the business simply can’t run smoothly.
Evaluación del nivel de Identificar si las evasiones presentan
seguridad/auditorías de los
It used to work just fine to monitor o no una amenaza
network anddirecta
application
dispositivos de seguridad
performance separately, but these days the twolosare too inter-
existentes for that to be a workable approach. Itriesgos
dependent
Evaluar y gestionar de
seguridad correctamentetakes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
Nueva
for evaluación de producto
application-aware Evaluar qué producto
network performance ofrece and
management, la mayor
it
para decisiones de inversión protección frente a evasiones
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications
Verificar las afirmacionesthatdelrun on it.
proveedor
Application-Aware Network Performance Management For
Rediseñarislaan
Dummies seguridad Investigar
introduction to this si su new
relatively nivel de seguridad
frontier. Thises
de la red lo suficientemente elevado
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application
Identificar dóndetocolocar
work well. From
o reubicar
his or her perspective, if the application isde
los firewalls slow, orgeneración,
última down com-
pletely, it makes little differenceIPSwhere thedispositivos
u otros problem is. de What mat-
inspección
ters is solving the problem, andprofunda,
doing soy quickly. Read
saber cuáles usar on to find
out more about solutions that offer end-to-end visibility, from
the data center to
La herramienta the front
Evader es unline where
recurso dethe end userdesarrollado
Forcepoint is — as well
as the most efficient
específicamente paraway to locatelas
automatizar and eliminate
pruebas any troubles.
de evasión de los
procesos de inspección de firewall y IPS.

Foolish Assumptions
Analizando los riesgos
Yes, we know
Auditar what they say
tu infraestructura about
crítica making
y analizar losassumptions. But
activos más impor-
we’re going to do so, anyway.
tantes de tu organización: Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
✓✓the
you, Cómo almacenarlos
reader:
✓✓ Dónde almacenarlos
✓ You work in IT supporting a network for an organization
✓✓orDecidir si realizar
business, respaldos
or you’re de la información
a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
32 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
Asigna prioridad a tus activos por importancia relativa para tu
negocio y asegúrate de que tus activos críticos y tus servicios públi-
cos cuentan con la mejor protección posible contra técnicas de
evasión avanzada.

Empleando métodos de
W
inspección de tráfico
run on
here would your business be without your network?
Where would you be without the applications that
your
Emplea métodos network? The answer
de inspección is . . .para
de tráfico in a resolver
world ofelhurt.
problema
Organizations are
de evasión avanzada. increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop
Cuando shape,los
identifiques theactivos
businessquesimply
quierescan’t run smoothly.
proteger, puedes
trazar las diferentes maneras de acceder a ellos. Los cibercrimi-
Itnales
usedtienen
to workquejust fine to
utilizar monitor
esas mismasnetwork
rutas deand application
acceso para acce-
performance separately,
der a tu información si vanbut these days
a atacar a travésthe de
two la are
red.too inter-
dependent for that to be a workable approach. It takes an
Como un especialista
integrated approach en to seguridad
troubleshoot de redes capaz, puedes
effectively ase-
and minimize
downtime. That’s where AANPM comes in. The acronym isde
gurar esas rutas de acceso utilizando soluciones avanzadas short
seguridad
for de redes. Desafortunadamente,
application-aware network performance lamanagement,
tecnología tradicional
and it
de seguridad
describes de redes noapproach
an integrated es lo suficientemente flexible como
that fully recognizes para
the fact
enfrentarse a amenazas de técnicas de evasión avanzada.
that the network exists to support the applications that run on it. No obs-
tante, una tecnología denominada normalización del tráfico puede
eliminar las evasiones
Application-Aware avanzadas
Network del tráfico
Performance de la red que
Management Forcirculan a
través de is
Dummies esas
an rutas de acceso
introduction toythis
descubrir
relativelyataques ocultos. This
new frontier.
book explains that the end user’s experience is what really mat-
Entendiendo el concepto de
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
normalización del tráfico
pletely, it makes little difference where the problem is. What mat-
ters is solving
Empleando unathe problem,
analogía conand doing español,
el idioma so quickly. Read on
podemos to find
entender
out more about
fácilmente solutions
el concepto that offer end-to-end
de normalización visibility, from
del tráfico.
the data center to the front line where the end user is — as well
Las
as theevasiones avanzadas
most efficient way son como and
to locate utilizar diferentes
eliminate anydialectos
troubles.
para ocultar el verdadero significado de lo que se dice. Imaginemos,
por ejemplo, que dos cibercriminales que quieren robar un banco

Foolish Assumptions
quieren hablar de sus planes en una sala llena de gente de forma
que nadie entienda lo que van a intentar hacer. Si los cibercrimi-
nales hablan con normalidad, las demás personas de la sala oirán
Yes, wedicen
lo que knowy what they saysiabout
los detendrán sabenmaking
que vanassumptions.
a robar un banco.But
we’re going to do so, anyway. Seeing as how you have
Para evitar este problema, los cibercriminales pueden utilizar no picked
up this
solo book,
uno, sino it’s reasonable
varios dialectos to
delpresume a few things
idioma español aboutcon
y mezclarlos
you,
argotthe
muyreader:
específico (como lo haría una AET), únicamente para
asegurarse de que son las únicas personas de la sala que entienden
lo✓queYou
se work in IT supporting a network for an organization
está diciendo.
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras
Capítulopara Dummies en contra de las AETs
4: Protegiendo 33

Introduction
Ahora, imagina que el resto de personas de la sala son agentes de
policía (o seguridad de redes tradicional, si así lo desean). Inten-
tan analizar todas las conversaciones que les rodean para encon-
trar a esos cibercriminales escuchando palabras claves específi-
cas como «banco», «robo», «dinero», «oro» y «llaves». Si escuchan
estas palabras en una conversación en concreto, arrestarán a los

W
participantes en dicha conversación y detendrán sus acciones.
No obstante, estos cibercriminales
here would your business be están entregados
without a su causa
your network?
y están Where
decididos a entrar
would you been without
el banco.the Han dedicado tiempo
applications that y
esfuerzo
run on your en aprender
network?argot y dialectos
The answer delinespañol
is . . . a worldespecíficos
of hurt.
para poder hablar
Organizations del robo del banco
are increasingly dependentsin que onotras personas los
the performance
entiendan,
of es decir,
their networks utilizan
and técnicasalike — if
applications de evasión avanzada
things aren’tpara
run-
ocultar
ning sus intenciones
in tiptop shape, they business
hacer su trabajo.
simply can’tEste tipo
run de grupo
smoothly.
cibercriminal es una amenaza persistente avanzada (APT).
It used to work just fine to monitor network and application
En este ejemplo,
performance la solución
separately, butesthese
entenderdayslosthemismos
two aredialectos y argot
too inter-
que utilizan los cibercriminales para poder traducir
dependent for that to be a workable approach. It takes an la conversación
a un idiomaapproach
integrated estándar conocido. Este proceso
to troubleshoot de traducir
effectively diferentes
and minimize
dialectos a un idioma estándar conocido, (eliminar
downtime. That’s where AANPM comes in. The acronym is el argot y short
las pala-
for application-aware network performance management, andforman
bras de los dialectos y sustituirlas con palabras comunes que it
parte del idioma
describes estándar)
an integrated se denomina
approach normalización.
that fully recognizesAhora,
the fact
cuando
that the el idiomaexists
network es comprensible,
to support puedes analizarlothat
the applications y buscar
run onpala-
it.
bras específicas, como «banco» o «robo», entre otras, que indican que
los cibercriminalesNetwork
Application-Aware están planeando robarManagement
Performance un banco. For
Dummies
Puedes haceris anlointroduction
mismo en elto this relatively
tráfico new
de redes. Si los frontier. This
cibercriminales
book explains that the end user’s experience is
están utilizando técnicas de evasión avanzada para ocultar suswhat really mat-
ata-
ters,
ques,and that llevar
puedes end user needs
a cabo the application
la normalización delto workde
tráfico well. From
la red para
his or herlas
eliminar perspective,
evasiones yifrevelar
the application is slow,
el tráfico real que se or oculta
down tras
com-ellas.
pletely,
Puedesitutilizar
makeslos little difference
procesos where
estándar dethe problem is.
coincidencia deWhat
firmasmat-
para
ters is solving the problem, and doing so quickly.
diferenciar los ataques del tráfico normalizado de redes. En la Read on tovida
find
out
real,more
este about
proceso solutions
es mucho that
más offer end-to-end
complicado de visibility, from
lo aquí descrito,
the
perodata
estacenter to thete
explicación front lineidea
da una where the end user is — as well
general.
as the most efficient way to locate and eliminate any troubles.
Si te interesa el asunto y quieres obtener más detalles, ve a la parte
de normalización del tráfico en el documento de estudio sobre técni-

Foolish Assumptions
cas de evasión avanzada en https://www.forcepoint.com/
resources/whitepapers/preventing-sophisticated-
attacks-anti-evasion-and-advanced-evasion-techniques.
Yes, we know what they say about making assumptions. But

Implementando la normalización
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
del tráfico
you, the reader:
Las
✓ evasiones
You workavanzadas funcionan
in IT supporting muy bienfor
a network contra la mayoría de
an organization
dispositivos
or business, or you’re a decision-maker who might beuna
de seguridad de redes, porque solo inspeccionan
parteasked
del flujo de datos.
to sign Noacquiring
off on inspeccionan el flujo
a new and completo deto
better way datos,
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
34 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
por lo que no pueden normalizar por completo el tráfico de red.
Como consecuencia, las evasiones avanzadas pueden ocultar los
ataques de estos dispositivos.
Para que el proceso de normalización del tráfico funcione contra las
técnicas de evasión avanzada, tienes que implementarlo completa-

W
mente. Hacer únicamente parte del proceso no funciona. En otras
palabras, tienes
here que your
would poderbusiness
llevar a cabo la normalización
be without del tráfico
your network?
en el total del flujo de datos, no solo en algunas partes.
Where would you be without the applications that
run on your
Cambiar network?
de una The basada
inspección answeren ispaquetes
. . . in a world of hurt.
a una inspección
Organizations
de flujo completo areno increasingly dependent
es sencillo. Hacerlo on the
requiere performance
grandes cambios
of their
para networks anddeapplications
la manipulación paquetes de alike — if
nivel bajo ythings aren’t run-
una arquitectura
ning in tiptop shape,
esencialmente diferente the business
para simplyde
el dispositivo can’t run smoothly.
seguridad de redes.
La inspección de flujo completo utiliza más memoria en el disposi-
Ittivo
used to work
y afecta just fine todel
al rendimiento monitor network
dispositivo and application
de seguridad de redes.
performance separately, but these days the two are too inter-
Por estas razones,
dependent for that puede
to bellevarte algún tiempo
a workable approach.lograrItque los an
takes
dispositivosapproach
integrated de seguridad de redes protejan
to troubleshoot totalmente
effectively andcontra
minimizelas
técnicas deThat’s
downtime. evasión avanzada.
where AANPM Porcomes
ejemplo, in. Forcepoint
The acronym tardó apro-
is short
ximadamente
for cinco años
application-aware en investigar
network performanceuna protección
management, contra
andlas
it
técnicas de
describes anevasión
integratedavanzada. Ninguna
approach that protección contrathe
fully recognizes técnicas
fact
de evasión
that avanzada
the network es to
exists perfecta
supporttodavía, pero los proveedores
the applications that run on que
it.
están investigando activamente las técnicas de evasión avanzada
tienen una enormeNetwork
Application-Aware ventaja sobre aquellosManagement
Performance que no lo hacen For en abso-
luto.
Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
Las evasiones en sí mismas han existido desde 1998 y siguen siendo
ters, and that end user needs the application to work well. From
muy eficaces contra los dispositivos de seguridad de redes. Pero,
his or her perspective, if the application is slow, or down com-
no desesperes, la normalización total del tráfico y la inspección del
pletely, it makes little difference where the problem is. What mat-
flujo pueden solucionar el problema. Mira el sitio web de Force-
ters is solving the problem, and doing so quickly. Read on to find
point para obtener más información sobre estas soluciones.
out more about solutions that offer end-to-end visibility, from
the datasecenter
Lo que necesitato the front line
es presión where
sobre the end
los otros user is — as
proveedores well
para
as the most efficient
implementar way to locate
esta protección en susand eliminate
productos. any troubles.
Forcepoint ha
estado trabajando activamente con laboratorios de prueba de dis-
positivos de redes, ICSA Labs y NSS Labs, para incluir las pruebas
Foolish Assumptions
de AETs en sus programas de pruebas y certificación de los dispo-
sitivos de seguridad de redes. Actualmente, estos laboratorios solo
están
Yes, we probando
know what evasiones
they saymuy sencillas,
about makingperoassumptions.
esperamos sincera-
But
mente que procedan a probar técnicas
we’re going to do so, anyway. Seeing as how you de evasión avanzada más
have picked
uprealistas en el futuro.
this book, Esta acción
it’s reasonable to obligaría
presumeaaotros proveedores
few things aboutde
seguridad
you, the reader: de redes a investigar las técnicas de evasión avanzada y
ofrecer protección contra ellas a fin de pasar las pruebas de ICSA
Labs
✓ You o NSSworkLabs.in IT supporting a network for an organization
or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras
Capítulopara Dummies en contra de las AETs
4: Protegiendo 35

Introduction
Implementando un
enfoque centralizado
Los dispositivos de seguridad de redes basados en firmas (especial-

W
mente los basados en exploits) solo detectan y bloquean técnicas
de evasión
hereavanzada conocidas
would your y predefinidas.
business be withoutSiyourlas evasiones
network?
cambianWhere
ligeramente
wouldoyou
se combinan
be withoutde the
una applications
forma más compleja,
that
estos
run ondispositivos no superan
your network? la prueba.
The answer is . . . in a world of hurt.
Organizations are increasingly
La naturaleza dinámica dependent
y en constante on the
evolución performance
de las evasiones
of
setheir networks
traduce and
en que la applications
gestión alike — if
centralizada es una things
defensaaren’t run-
imprescin-
ning
dibleinpara
tiptop shape,
las redes theactivos
y los business simply
digitales can’t run smoothly.
críticos.

ItLas organizaciones
used to work justdeben
fine toactualizar
monitorcontinuamente la protección
network and application
de la seguridad
performance de redes para
separately, but mantenerse
these days al thedíatwo
conare
las too
amena-
inter-
zas. Conocerfor
dependent la situación,
that to beuna análisis detallado
workable approach. de losItmétodos
takes an de
ataque y la approach
integrated comprensión de cómo estoseffectively
to troubleshoot exploits llegaron a tener un
and minimize
papel fundamental.
downtime. SaberAANPM
That’s where qué ataques
comesse in.
llevaron a cabo no
The acronym ises sufi-
short
ciente;
for tienes que saber
application-aware cómo atacaron
network los cibercriminales.
performance management, and it
describes an integrated approach that fully recognizes the fact
La diferencia en el nivel de detección de evasión y protección
that the network exists to support the applications that run on it.
brindada por los distintos proveedores de seguridad de redes es
enorme. Debido a que los administradores de red probablemente
Application-Aware Network Performance Management For
no puedan protegerse proactivamente contra técnicas de evasión
Dummies is an introduction to this relatively new frontier. This
avanzada, su única opción es estar preparados para reaccionar
book explains that the end user’s experience is what really mat-
inmediata y eficazmente. Eso significa que tienen que
ters, and that end user needs the application to work well. From
his✓ or✓ Controlar
her perspective,
de formaif centralizada
the application
todos is los
slow, or down com-
dispositivos de red,
pletely, it makes little difference
independientemente where the
del proveedor o de problem
los tipos,is.para
What mat-
detec-
ters istarsolving the problem,
actividad sospechosa. and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the✓ ✓ Identificar
data ataques
center to y remediarlos,
the front line where actualizar
the end user rápidamente
is — as welly
as thereconfigurar
most efficientlosway
dispositivos
to locatede red,
and según sea
eliminate necesario,
any troubles.para
minimizar el daño.

Foolish Assumptions
Una única consola de gestión centralizada permite a los administra-
dores controlar todo desde una única ubicación y crear configura-
ciones una única vez antes de implementarlas en todos los disposi-
Yes,
tivoswe
enknow
la red.what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
36 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

ReevaluarIntroduction
la gestión de mejoras
Cuando sea posible, parchear sistemas vulnerables brinda la
mejor protección contra ataques de red, independientemente de
si se han realizado mediante técnicas de evasión avanzada. Las

W
evasiones pueden ayudar a los atacantes a superar los disposi-
tivos de seguridad de redes, pero no pueden atacar un sistema
here would your business be without your network?
parcheado.
Where would you be without the applications that
run
Comoonlayour network?
prueba The yanswer
de parches is . . . in a world
la implementación llevanoftiempo
hurt.
Organizations are increasingly
incluso en las mejores dependent
circunstancias, on thecon
debes contar performance
dispositi-
of their
vos networksde
de seguridad and applications
redes alike — if
con parcheos things
virtuales aren’t
y otras run-
medidas
ning in tiptop shape, the business simply can’t run smoothly.
de seguridad.

Evaluando tu solución actual

It used to work just fine to monitor network and application
performance separately, but these days the two are too inter-

de prevención de intrusiones
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
Evalúa las capacidades de tus dispositivos actuales de seguridad de
for application-aware network performance management, and it
redes para proteger tu red frente a técnicas de evasión avanzada.
describes an integrated approach that fully recognizes the fact
that✓the network
✓ ¿Cuán exists
eficaces sonto support
frente a lasthe applications
evasiones that run on it.
actuales?
✓✓ ¿Te permiten Network
Application-Aware reaccionar rápidamente
Performance ante ataquesFor
Management o hacer
Dummiesactualizaciones con facilidad
is an introduction to thisante amenazas
relatively newrecientemente
frontier. This
descubiertas?
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
Sé crítico
his y proactivo: busca
or her perspective, opciones alternativas.
if the application La tabla
is slow, or down 4-2
com-
describe
pletely, cómo se
it makes compara
little Stonesoft
difference whereNGFW de Forcepoint
the problem is. Whatcon
mat-
otros
ters is dispositivos de seguridad
solving the problem, de redes
and doing disponibles.
so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras
Capítulopara Dummies en contra de las AETs
4: Protegiendo 37

Introduction
Tabla 4-2 Comparación de protecciones de evasión
Forcepoint Stonesoft NGFW Otros dispositivos
de seguridad de redes
Visibilidad completa Análisis de una selección

W
limitada de capas
Forcepoint descodifica y normaliza
here
el tráfico wouldlasyour
en todas capas business
del be without your network?
Where would you be without the applications that
protocolo
run on your network? The answer is . . . in a world of hurt.
Eliminación basada
Organizations en la
are increasingly Inspección
dependent onde
thesegmentos
performance
normalización de evasión individuales o pseudopaquetes
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.
El proceso de normalización
elimina las evasiones antes de la
It used to work just fine to monitor network and application
inspección del flujo de datos
performance separately, but these days the two are too inter-
Detección de
dependent forAplicaciones
that to be aenworkable
el Detección de código
approach. shell an
It takes
flujo de datos
integrated approach to troubleshoot basado en exploits
effectively and ominimize
downtime. vulnerabilidades detección
Las firmas That’s
basadas where
en la AANPM comes de
in. The acronym
banners
is short
for application-aware network
vulnerabilidad detectan exploits aperformance management, and it
describes an integrated
nivel de aplicación en losapproach
flujos de that fully recognizes the fact
that the network exists to support the applications that run on it.
datos
Investigación y herramientas
Application-Aware Información
Network Performance disponible
Management For
públicamente
internasis an introduction to this relatively
Dummies newyfrontier.
herramientas
This
de tercerosis what really mat-
book explains that the end user’s experience
Calidad del producto a prueba de
ters, and that end user needs the application to work well. From
evasiones garantizada con pruebas
his or her perspective, if the application is slow, or down com-
de evasión automatizadas
pletely, it makes little difference where the problem is. What mat-
Actualizaciones
ters is solving the yproblem, Cobertura
mejoras and doing limitada
so quickly. ante
Read on to find
evasiones y retraso
out more about solutions that offer end-to-end en from
visibility,
Tecnología antievasión actualizaciones
the data center to the front line where the end user is — as well
automáticamente actualizada
as the most efficient way to locate and eliminate any troubles.

Las técnicas de evasión avanzada han cambiado para siempre el

Foolish Assumptions
panorama de la seguridad. Si un dispositivo de seguridad no puede
enfrentarse a las evasiones, tu red es vulnerable.

Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4
38 Redes híbridas
Técnicas seguras
de evasión para Dummies
avanzada For Dummies

Introduction
Realizando pruebas de campo
Numerosos proveedores de seguridad saben cómo sobrevivir a eva-
siones registradas y simuladas cuando están predefinidas en entor-
nos estables tipo laboratorio. No obstante, al enfrentarse a vulnera-

W
bilidades de la seguridad enmascaradas, dinámicas y activas, estos
sistemas son ciegos e incapaces para proteger tus activos de datos.
here would your business be without your network?
Where
Si de verdad would
quieres you el
saber benivel
without
de tuthe applications
protección actual that
contra
run on yourde
las técnicas network?
evasión The answer
avanzada, is . . .las
prueba in capacidades
a world of hurt.
anti-
Organizations are increasingly
evasión de tus dispositivos dependent
de seguridad on the
de redes enperformance
tu propio
of their networks
entorno, and applications
con tus políticas alike — if things aren’t run-
y configuraciones.
ning in tiptop shape, the business simply can’t run smoothly.

It used to work just fine to monitor network and application

performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
4 Redes híbridas seguras para Dummies

Introduction
W here would your business be without your network?
Where would you be without the applications that
run on your network? The answer is . . . in a world of hurt.
Organizations are increasingly dependent on the performance
of their networks and applications alike — if things aren’t run-
ning in tiptop shape, the business simply can’t run smoothly.

It used to work just fine to monitor network and application

performance separately, but these days the two are too inter-
dependent for that to be a workable approach. It takes an
integrated approach to troubleshoot effectively and minimize
downtime. That’s where AANPM comes in. The acronym is short
for application-aware network performance management, and it
describes an integrated approach that fully recognizes the fact
that the network exists to support the applications that run on it.

Application-Aware Network Performance Management For

Dummies is an introduction to this relatively new frontier. This
book explains that the end user’s experience is what really mat-
ters, and that end user needs the application to work well. From
his or her perspective, if the application is slow, or down com-
pletely, it makes little difference where the problem is. What mat-
ters is solving the problem, and doing so quickly. Read on to find
out more about solutions that offer end-to-end visibility, from
the data center to the front line where the end user is — as well
as the most efficient way to locate and eliminate any troubles.

Foolish Assumptions
Yes, we know what they say about making assumptions. But
we’re going to do so, anyway. Seeing as how you have picked
up this book, it’s reasonable to presume a few things about
you, the reader:

✓ You work in IT supporting a network for an organization

or business, or you’re a decision-maker who might be
asked to sign off on acquiring a new and better way to
keep your IT infrastructure running smoothly.

These materials are © 2016 John Wiley & Sons, Ltd. Any dissemination, distribution, or unauthorized use is strictly prohibited.
WILEY END USER LICENSE AGREEMENT
Go to www.wiley.com/go/eula to access Wiley’s ebook EULA.