From c6d1eaf2377f6818ba63a6742e8878541a80b250 Mon Sep 17 00:00:00 2001 From: Tatiana Villa Ema Date: Tue, 28 Apr 2026 20:04:41 +0200 Subject: [PATCH] Apuntes de clase --- bloque4/tema10_apuntesdeclase.md | 44 +++++++++++ bloque4/tema7.md | 72 +++++++++++++++++- bloque4/tema8.md | 121 +++++++++++++++++++++++++++++++ bloque4/tema9_apuntes_clase.md | 61 ++++++++++++++++ 4 files changed, 297 insertions(+), 1 deletion(-) create mode 100644 bloque4/tema10_apuntesdeclase.md create mode 100644 bloque4/tema9_apuntes_clase.md diff --git a/bloque4/tema10_apuntesdeclase.md b/bloque4/tema10_apuntesdeclase.md new file mode 100644 index 0000000..998f73f --- /dev/null +++ b/bloque4/tema10_apuntesdeclase.md @@ -0,0 +1,44 @@ +# Bloque 4 · Tema 10 +# Redes locales. Tipología. Técnicas de transmisión. Métodos de acceso. Dispositivos de interconexión. + +## Ethernet +IEEE 802.3u: Fast Ethernet (100 Mbps) +Velocidades: 10 Mbps (Ethernet), 100 Mbps (Fast Ethernet), 1 Gbps (Gigabit Ethernet), 10 Gbps (10 Gigabit Ethernet) + +## Token Bus y Token Ring +- Token Bus: topología de bus, token circula por el cable, IEEE 802 + +Formato XBASEY + +Categorias cables ethernet: +- Categoría 3 (Cat 3): hasta 10 Mbps, 16 MHz +- Categoría 5 (Cat 5): hasta 100 Mbps, 100 MHz +- Categoría 5e (Cat 5e): hasta 1 Gbps, 100 MHz +- Categoría 6 (Cat 6): hasta 10 Gbps, 250 MHz +- Categoría 6a (Cat 6a): hasta 10 Gbps, 500 MHz +- Categoría 7 (Cat 7): hasta 10 Gbps, 600 MHz +- Categoría 8 (Cat 8): hasta 40 Gbps, 2000 MHz + +Fibra optica: + +Colisiones, etc. +- ALOHA (por contienda): Acceso Aleatorio con Colisiones +- CSMA/CD (por contienda): Acceso Múltiple por Detección de Portadora con Detección de Colisiones (Ethernet) +- Por reserva: + - SRMA (Single Reservation Multiple Access) + - GSMA (Generalized Single Reservation Multiple Access) +- Por turnos: + - Selección de turno: Round Robin, Token Ring + - Sondeo (Polling): el nodo que tiene el token pregunta a los demás si tienen datos para enviar + - Reserva de turno: Polling, Token Bus +- Distribuido: + - Daysi Chain: cada nodo se conecta al siguiente, formando una cadena + - Token Passing: el token se pasa de un nodo a otro, solo el nodo que tiene el token puede transmitir + +VLAN (Virtual LAN): red local virtual que permite segmentar una red física en varias redes lógicas, mejorando la seguridad y el rendimiento. + - IEEE 802.1Q (**MUY IMPORTANTE**): estándar para VLAN, utiliza etiquetas (tags) en los frames Ethernet para identificar a qué VLAN pertenecen. + - Trunk: enlace que transporta tráfico de varias VLANs, utiliza etiquetas para identificar el tráfico de cada VLAN. + - Segun OSI: + - capa 2 (enlace de datos) + - capa 3 (red): VLANs basadas en IP, utilizan direcciones IP para segmentar la red. + \ No newline at end of file diff --git a/bloque4/tema7.md b/bloque4/tema7.md index 70658bb..5ecc6d2 100644 --- a/bloque4/tema7.md +++ b/bloque4/tema7.md @@ -124,4 +124,74 @@ Define tanto la arquitectura como los **protocolos reales** de comunicación. - **Modelo TCP/IP** - Práctico - 4 capas - - Base de Internet \ No newline at end of file + - Base de Internet + +## 6. Componentes de una red + +Una red tiene 2 partes: **host** y **red**. + +- **Host**: dispositivo que se conecta a la red, como un ordenador, smartphone o servidor. +- **Red**: conjunto de dispositivos y medios que permiten la comunicación entre hosts, como routers, switches y cables. + +## Clases +- **Clase A**: + - Rango: 0.0.0.0 a 126.255.255.255 + - Más de 16 millones de hosts por red +- **Clase B**: + - Rango: 128.0.0.0 a 191.255.255.255 + - Más de 65 mil hosts por red + - Usada por universidades y empresas grandes +- **Clase C**: + - Rango: 192.0.0.0 a 223.0.0.0 + - Más de 254 hosts por red + - Usada por pequeñas empresas y redes domésticas + - Más común en Internet +- **Clase D**: + - Rango: 224.0.0.0 a 239.255.255.255 + - Usada para multicast + - No se asigna a hosts individuales +- **Clase E**: + - Rango: 240.0.0.0 a 255.255.255.255 + - Reservada para uso futuro + - No se asigna a hosts ni multicast + +## Direcciones especiales +- **Dirección de loopback**: 127.0.0.1, utilizada para pruebas internas del host +- **APIPA**: 169.254.0.0 a 169.254.255.255, utilizada cuando no se puede obtener una dirección IP automáticamente +- **Dirección no asignable**: 0.0.0.0, utilizada para referirse a una dirección desconocida o no especificada +- **Dirección de broadcast**: 255.255.255.255, utilizada para enviar mensajes a todos los hosts de una red + +## Rangos privados +- **Clase A**: + - Rango: 10.0.0.0 a 10.255.255.255 + - Más de 16 millones de hosts por red +- **Clase B**: + - Rango: 172.16.0.0 a 172.31.255.255 + - Más de 1 millón de hosts por red +- **Clase C**: + - Rango: 192.168.0.0 a 192.168.255.255 + - Más de 65 mil hosts por red + +## Subredes +- Permiten dividir una red en partes más pequeñas +- Utilizan una máscara de subred para determinar qué parte de la dirección IP corresponde a la red y qué parte corresponde a los hosts +- Ejemplo: con una máscara de subred de 255.255.255.0, la dirección IP 192.168.1.1 pertenece a la red 192.168.1.0 y el host 1 +- Permiten mejorar la seguridad y el rendimiento de la red al limitar el tráfico a segmentos específicos +- Facilitan la gestión de direcciones IP al permitir reutilizar rangos de direcciones en diferentes partes de la red + +## Puertos +- 443: HTTPS +- 80: HTTP +- 20 y 21: FTP +- 22: SSH +- 25: SMTP +- 53: DNS +- 69: TFTP +- snmp: 161 y 162 +- pop3: 110 +- imap: 143 +- 3389: RDP +- snmp: 161 y 162 +- ntp: 123 +- dhcp: 67 y 68 +- \ No newline at end of file diff --git a/bloque4/tema8.md b/bloque4/tema8.md index a2434e9..7d9a8b0 100644 --- a/bloque4/tema8.md +++ b/bloque4/tema8.md @@ -5,3 +5,124 @@ | 80 | HTTP | Navegación web sin cifrado. | | 443 | HTTPS | Navegación web cifrada. | | 8080 | HTTP alternativo | Proxies, servidores web secundarios. | + +## Organizaciones de internet +- IANA: asigna números de puerto +- ICANN: gestiona nombres de dominio +- IETF: desarrolla protocolos de internet +- W3C: estándares web (World Wide Web Consortium) (HTML, CSS, XML, etc.) +- Internet Society: promoción y educación sobre internet + +## Modelo de interconexion entre operadores +- Interconexión de redes: peering, transit +- Tier: + - Tier 1: proveedores globales (AT&T, Verizon, NTT) + - Tier 2: proveedores regionales + - Tier 3: proveedores locales + +FQDM: Fully Qualified Domain Name (Nombre de Dominio Completamente Calificado) +- Ejemplo: www.ejemplo.com +- Estructura: subdominio.dominio.tld (top-level domain) +- DNS: sistema de nombres de dominio, traduce nombres a direcciones IP + +## Resolvers +Intermediarios que consultan el DNS para resolver nombres de dominio a direcciones IP. + +## Dominios de primer nivel (TLD) +- Genéricos (gTLD): .com, .org, .net +- Geográficos (ccTLD): .es, .fr, .uk +- Patrocinados (sTLD): .edu, .gov, .mil + +Dominios .es: Gestión por ESNIC, registro de dominios .es, requisitos y proceso de registro. + +- Dominio especial: .arpa (Address and Routing Parameter Area), utilizado para infraestructura de red, como DNS inverso. + +## Servidores DNS +- Servidores autoritativos: almacenan registros DNS para un dominio específico. + - Primary (master): fuente principal de datos DNS. + - Secondary (slave): copia de seguridad del servidor primario. +- Servidores cache: almacenan temporalmente respuestas DNS para acelerar futuras consultas. +- RR: Resource Record, registro de recursos en DNS, contiene información sobre un dominio (A, AAAA, CNAME, MX, etc.) +- Tipos de consulta DNS: + - Recursive: el resolver consulta a otros servidores DNS hasta obtener una respuesta definitiva. + - Iterative: el resolver devuelve la mejor respuesta que tiene, sin consultar a otros servidores. + +## Servicios de internet +- scp +- ssh: acceso remoto seguro + - authentication: contraseña, clave pública/privada + - Clientes: PuTTY, OpenSSH +- Servicios multimedia: streaming de video (YouTube, Netflix), música (Spotify), videoconferencia (Zoom, Skype) + - Codex: H.264, VP9, AV1 +- RTP (Real-time Transport Protocol): protocolo de transporte en tiempo real para multimedia +- SIP (Session Initiation Protocol): protocolo de señalización para establecer sesiones multimedia +- RTSP (Real Time Streaming Protocol): protocolo para controlar la transmisión de multimedia +- UDP (User Datagram Protocol): protocolo de transporte sin conexión, utilizado para aplicaciones en tiempo real como streaming y juegos en línea +- VOIP (Voice over IP): tecnología para transmitir voz a través de internet, utiliza protocolos como SIP y RTP + - SIP: protocolo de señalización para establecer, modificar y finalizar sesiones multimedia + - RTP: protocolo de transporte para transmitir audio y video en tiempo real +- HTTP (Hypertext Transfer Protocol): protocolo de transferencia de hipertexto, base de la web + - Mensajes: + - 1xx: Informativo + - 2xx: Éxito + - 3xx: Redirección + - 4xx: Error del cliente + - 5xx: Error del servidor +- HTTPS (HTTP Secure): versión segura de HTTP, utiliza SSL/TLS para cifrado + - SSL (Secure Sockets Layer): protocolo de cifrado obsoleto, reemplazado por TLS + - TLS (Transport Layer Security): protocolo de cifrado actual, proporciona confidencialidad e integridad de datos + - Handshake: proceso de establecimiento de conexión segura, intercambio de claves y autenticación + - Certificados digitales: utilizados para verificar la identidad del servidor, emitidos por autoridades certificadoras (CA) +- HSTS (HTTP Strict Transport Security): política de seguridad que obliga a los navegadores a usar HTTPS en lugar de HTTP para un dominio específico. + - Man-in-the-middle (MITM): ataque donde el atacante intercepta y posiblemente altera la comunicación entre dos partes sin que estas lo sepan. HSTS ayuda a prevenir este tipo de ataques al forzar el uso de HTTPS. + - Integridad: + 1. MAC (Message Authentication Code): código de autenticación de mensaje, utilizado para verificar la integridad y autenticidad de los datos. + 2. AEAD (Authenticated Encryption with Associated Data): cifrado que proporciona confidencialidad e integridad en un solo paso, utilizado en TLS 1.3. + - Man-in-the-middle (MITM): ataque donde el atacante intercepta y posiblemente altera la comunicación entre dos partes sin que estas lo sepan. HSTS ayuda a prevenir este tipo de ataques al forzar el uso de HTTPS. + + Master secret: secreto compartido derivado durante el handshake de TLS, utilizado para generar claves de cifrado y autenticación. + + Claves de sesión: claves temporales generadas a partir del master secret, utilizadas para cifrar la comunicación durante una sesión TLS. + + Activar cifrado: se activa durante el handshake de TLS, después de que se han intercambiado las claves y se ha verificado la identidad del servidor. + + Versiones de HTTP: + - HTTP/1.0: versión inicial, sin soporte para conexiones persistentes + - HTTP/1.1: versión tradicional, utiliza conexiones persistentes y pipelining + - HTTP/2: versión moderna, utiliza multiplexación y compresión de encabezados + - HTTP/3: versión más reciente, utiliza QUIC como protocolo de transporte en lugar de TCP, mejora la latencia y la seguridad + +Protocolo LDPA (Lightweight Directory Access Protocol): protocolo para acceder a servicios de directorio, utilizado para gestionar información sobre usuarios, grupos y recursos en una red. + +Identificadores de recursos: +- URI (Uniform Resource Identifier): identificador genérico para recursos, puede ser un URL o un URN. +- URL (Uniform Resource Locator): tipo de URI que especifica la ubicación de un recurso en la red, incluye el esquema (http, https), el host y la ruta. + - Protocol: http, https, ftp, etc. + - Host: dominio o dirección IP del servidor + - Path: ruta específica del recurso en el servidor +- URI (Uniform Resource Identifier): identificador genérico para recursos, puede ser un URL o un URN. +- URN (Uniform Resource Name): tipo de URI que identifica un recurso por su nombre, sin especificar su ubicación. Ejemplo: urn:isbn:0451450523 + +SoC (System on a Chip): integración de todos los componentes de un sistema informático en un solo chip, utilizado en dispositivos móviles y embebidos. + +IoT (Internet of Things): red de dispositivos físicos conectados a internet, que pueden recopilar y compartir datos. Ejemplos: hogares inteligentes, ciudades inteligentes, salud conectada. + +Servicios de transferencia de archivos: +- FTP (File Transfer Protocol): protocolo de transferencia de archivos tradicional, utiliza puertos 20 y 21, no cifrado. + - Codigos de respuesta FTP: + - 1xx: Informativo + - 2xx: Éxito + - 3xx: Redirección + - 4xx: Error del cliente + - 5xx: Error del servidor +- SFTP (SSH File Transfer Protocol): protocolo de transferencia de archivos seguro, utiliza SSH para cifrado y autenticación, puerto 22. +- FTPS (FTP Secure): extensión de FTP que utiliza SSL/TLS para cifrado,puertos 990 (control) y 989 (datos). +- TFTP (Trivial File Transfer Protocol): protocolo de transferencia de archivos simple, sin autenticación ni cifrado, utiliza UDP puerto 69. +- GET: método HTTP para solicitar un recurso del servidor. +- POST: método HTTP para enviar datos al servidor, utilizado en formularios y APIs. +- PUT: método HTTP para actualizar o crear un recurso en el servidor. +- DELETE: método HTTP para eliminar un recurso del servidor. +- SCP (Secure Copy Protocol): protocolo de transferencia de archivos seguro, utiliza SSH para cifrado y autenticación, puerto 22. + - Modo activo: el cliente abre un puerto para recibir datos del servidor. + - Modo pasivo: el servidor abre un puerto para enviar datos al cliente, utilizado para evitar problemas de firewall. +- Telnet: protocolo de acceso remoto sin cifrado, utiliza puerto 23, no recomendado por razones de seguridad. diff --git a/bloque4/tema9_apuntes_clase.md b/bloque4/tema9_apuntes_clase.md new file mode 100644 index 0000000..d8a545a --- /dev/null +++ b/bloque4/tema9_apuntes_clase.md @@ -0,0 +1,61 @@ +## Bloque 4 Tema 9. Seguridad y protección en redes de comunicaciones. Seguridad perimetral. Acceso remoto seguro a redes. Redes privadas virtuales VPN. Seguridad en el puesto del usuario. + +## VPN +Una VPN o Virtual Private Network crea un túnel cifrado a través de una red pública como Internet que conecta dos puntos como si estuvieran en la misma red privada. Proporciona confidencialidad, autenticidad e integridad. + +Los tipos de VPN son tres. La VPN de acceso remoto o cliente a sitio conecta un usuario teletrabajador con la red corporativa. La VPN de sitio a sitio conecta dos redes corporativas de forma permanente, como la sede central con una sucursal. La VPN de cliente a cliente conecta dos usuarios individuales. + +Los protocolos VPN más importantes son los siguientes. +- **IPsec** es el estándar para asegurar comunicaciones IP, operando en la capa de red. Tiene dos modos: el modo transporte, que solo cifra el payload del paquete IP; y el modo túnel, que cifra el paquete IP completo y añade una nueva cabecera, siendo el más seguro para VPN. IPsec usa dos protocolos: AH o Authentication Header, que proporciona autenticación e integridad sin cifrado; y ESP o Encapsulating Security Payload, que proporciona autenticación, integridad y cifrado. IKEv2 es el protocolo de negociación de claves para IPsec. +- **OpenVPN** es un software de código abierto basado en TLS. Usa el puerto 1194 UDP, aunque puede usar el 443 TCP para evitar bloqueos. Es muy flexible y ampliamente auditado. Usa certificados X.509 para la autenticación. +- **WireGuard** es un protocolo moderno introducido en 2020, con código muy reducido de unas 4.000 líneas frente a las más de 100.000 de IPsec. Es extremadamente rápido y sencillo, usa criptografía moderna basada en ChaCha20 y Curve25519, y opera en el puerto UDP 51820. Está integrado en el kernel Linux desde la versión 5.6. +- **L2TP combinado con IPsec** crea el túnel en capa 2 mediante L2TP y usa IPsec para el cifrado. Es común en sistemas operativos sin necesidad de cliente adicional. +- **GRE** es un protocolo de encapsulación genérico que puede transportar cualquier protocolo de capa de red sobre una red IP. No proporciona cifrado ni autenticación por sí mismo, pero se puede usar junto con IPsec para crear una VPN segura. GRE es útil para transportar protocolos no IP a través de una red IP, como en el caso de VPN de sitio a sitio entre redes con diferentes protocolos de capa de red. +- **DMVPN** es un protocolo de VPN dinámico que utiliza GRE para el túnel y IPsec para la seguridad. Permite la creación automática de túneles entre sitios sin necesidad de configurar manualmente cada túnel, lo que lo hace ideal para redes con múltiples sitios y cambios frecuentes en la topología. DMVPN es común en entornos empresariales con muchas sucursales. +- **IPsec modo túnel** es una configuración de IPsec donde se cifra el paquete IP completo y se añade una nueva cabecera IP. Es el modo más seguro para VPN, ya que oculta tanto el payload como la dirección IP original del paquete, proporcionando confidencialidad y protección contra ataques de análisis de tráfico. Este modo es especialmente recomendado para VPN de sitio a sitio donde la seguridad es una prioridad. +- **IPsec modo transporte** es una configuración de IPsec donde solo se cifra el payload del paquete IP, dejando la cabecera IP original sin cifrar. Este modo es menos seguro para VPN, ya que la dirección IP original es visible, lo que puede ser explotado por atacantes para realizar análisis de tráfico o ataques de spoofing. El modo transporte se utiliza principalmente para comunicaciones punto a punto entre hosts, como en el caso de VPN de cliente a cliente, donde la simplicidad y el rendimiento son más importantes que la máxima seguridad. +- Componentes de IPsec: + - **AH (Authentication Header)**: proporciona autenticación e integridad sin cifrado, lo que significa que los datos no están protegidos contra la interceptación, pero se garantiza que no han sido alterados y que provienen de una fuente legítima. + - **ESP (Encapsulating Security Payload)**: proporciona autenticación, integridad y cifrado, lo que significa que los datos están protegidos contra la interceptación y la alteración, garantizando la confidencialidad y la autenticidad de la comunicación. + - **IKEv2 (Internet Key Exchange version 2)**: es el protocolo de negociación de claves para IPsec, que establece la asociación de seguridad y negocia los parámetros de cifrado y autenticación entre los extremos de la VPN. IKEv2 es más eficiente y seguro que su predecesor IKEv1, y es ampliamente utilizado en implementaciones modernas de IPsec. + - **PGP (Pretty Good Privacy)**: es un programa de cifrado de datos que se utiliza para proteger la confidencialidad e integridad de los mensajes de correo electrónico y otros datos. Aunque no es un protocolo VPN, PGP se puede usar para cifrar archivos antes de transferirlos a través de una VPN, proporcionando una capa adicional de seguridad. PGP utiliza criptografía de clave pública para cifrar y firmar digitalmente los datos, lo que garantiza que solo el destinatario previsto pueda acceder a la información y verificar su autenticidad. + - **SMIME (Secure/Multipurpose Internet Mail Extensions)**: es un estándar para cifrar y firmar digitalmente los mensajes de correo electrónico utilizando certificados digitales. Al igual que PGP, SMIME no es un protocolo VPN, pero se puede usar para proteger la confidencialidad e integridad de los correos electrónicos enviados a través de una VPN. SMIME utiliza criptografía de clave pública y certificados X.509 para garantizar que solo el destinatario previsto pueda acceder al contenido del mensaje y verificar su autenticidad. + + ## Seguridad en la red + WAF o Web Application Firewall protege aplicaciones web frente a ataques de capa de aplicación como SQL Injection, XSS y CSRF. Analiza tráfico HTTP y HTTPS y puede operar en modo de solo detección o en modo de prevención bloqueando el tráfico malicioso. + Firewall o cortafuegos filtra el tráfico de red basándose en reglas de IP, puerto y protocolo. Las reglas se procesan en orden y la política por defecto debe ser denegar todo lo no permitido explícitamente, lo que se conoce como default deny. Los tipos de firewall son el filtrado de paquetes en capas 3 y 4, la inspección con estado o stateful inspection, el proxy de nivel de aplicación y el firewall de nueva generación o NGFW que incorpora inspección profunda de paquetes y control por aplicación. + Ataques de bots y DDoS: los bots son programas automatizados que pueden ser utilizados para realizar ataques de denegación de servicio distribuida (DDoS), donde múltiples sistemas comprometidos envían tráfico masivo a un objetivo para saturarlo y hacerlo inaccesible. Las medidas de mitigación incluyen el uso de firewalls, sistemas IDS/IPS, servicios de mitigación DDoS en la nube y la implementación de políticas de rate limiting para limitar la cantidad de tráfico que un solo origen puede enviar a un recurso. + + ### Arquitecturas de firewall + - **Screening router**: el firewall se coloca entre el router y la red interna, filtrando todo el tráfico entrante y saliente. + - ACL (Access Control List): reglas que permiten o deniegan el tráfico basado en IP, puerto y protocolo. + - **Dual-homed host o bastion**: el firewall es un host con dos interfaces de red, una conectada a Internet y otra a la red interna. Solo el firewall tiene acceso directo a Internet, y actúa como proxy para los hosts internos. + - **Screened host**: combinación de screening router y dual-homed host, donde el firewall tiene dos interfaces y también se utiliza un router para filtrar el tráfico antes de llegar al firewall. + - **Screened subnet o DMZ**: el firewall se coloca entre Internet y una subred desmilitarizada (DMZ) donde se ubican los servidores públicos, y otro firewall protege la red interna desde la DMZ. Si un servidor en la DMZ es comprometido, el atacante no tiene acceso directo a la red interna. --> Mas compleja y mas utilizada. + +- **IDS o Intrusion Detection System** monitoriza la red en busca de amenazas. El IDS o Intrusion Detection System opera de forma pasiva recibiendo una copia del tráfico y solo alerta. El IPS o Intrusion Prevention System opera de forma activa en línea y detecta y bloquea el tráfico malicioso en tiempo real. Los sistemas HIDS monitorizan el host y los NIDS monitorizan la red. Las técnicas de detección son la basada en firmas, que compara con patrones de ataques conocidos, y la basada en anomalías, que detecta desviaciones del comportamiento normal. + - Nids o Network Intrusion Detection System monitoriza el tráfico de red en busca de patrones de ataque conocidos o comportamientos anómalos. Puede generar alertas para el equipo de seguridad, pero no bloquea el tráfico por sí mismo. + - Hids o Host Intrusion Detection System monitoriza la actividad de un host específico, como los registros del sistema, los archivos y los procesos, para detectar actividades sospechosas o no autorizadas. Al igual que el NIDS, el HIDS genera alertas pero no bloquea el tráfico. +- **IPS o Intrusion Prevention System** monitoriza la red en busca de amenazas y bloquea el tráfico malicioso en tiempo real. El IPS opera de forma activa en línea, lo que significa que puede tomar medidas para detener un ataque en curso, como bloquear la dirección IP del atacante o cerrar una conexión sospechosa. Los sistemas HIDS monitorizan el host y los NIDS monitorizan la red. Las técnicas de detección son la basada en firmas, que compara con patrones de ataques conocidos, y la basada en anomalías, que detecta desviaciones del comportamiento normal. + - Basada en firmas: compara el tráfico con patrones de ataques conocidos, lo que es efectivo para detectar amenazas conocidas pero no puede detectar ataques nuevos o variantes. + - Basada en anomalías: detecta desviaciones del comportamiento normal, lo que puede ser efectivo para detectar ataques nuevos o desconocidos, pero puede generar falsos positivos si el comportamiento normal no está bien definido. + - Basada en protocolos: analiza el tráfico en función de las reglas y comportamientos esperados de los protocolos de red, lo que puede ayudar a detectar ataques que explotan vulnerabilidades específicas de los protocolos. + - Basada en reputación: utiliza listas de reputación de IP, dominios o URLs para bloquear tráfico proveniente de fuentes maliciosas conocidas, lo que puede ser efectivo para prevenir ataques de bots y malware. + +CIDF o Common Intrusion Detection Framework es un estándar para representar y compartir información sobre eventos de seguridad e intrusiones. Proporciona un formato común para describir los eventos de seguridad, lo que facilita la correlación y el análisis de datos de múltiples fuentes, como firewalls, IDS/IPS, servidores y aplicaciones. CIDF define una estructura de datos que incluye campos como la dirección IP de origen y destino, el puerto, el protocolo, la hora del evento, la gravedad y una descripción del evento. Al utilizar CIDF, las organizaciones pueden mejorar su capacidad para detectar y responder a incidentes de seguridad de manera más eficiente. + +CISL o Common Intrusion Specification Language es un lenguaje de especificación utilizado para describir las características y comportamientos de los ataques de seguridad. CISL proporciona una forma estructurada de representar la información sobre los ataques, incluyendo detalles como el vector de ataque, las vulnerabilidades explotadas, los objetivos afectados y las técnicas utilizadas por los atacantes. Al utilizar CISL, las organizaciones pueden compartir información sobre amenazas de manera más efectiva y mejorar su capacidad para identificar y mitigar ataques de seguridad. + +IPS o Intrusion Prevention System monitoriza la red en busca de amenazas y bloquea el tráfico malicioso en tiempo real. El IPS opera de forma activa en línea, lo que significa que puede tomar medidas para detener un ataque en curso, como bloquear la dirección IP del atacante o cerrar una conexión sospechosa. Los sistemas HIDS monitorizan el host y los NIDS monitorizan la red. Las técnicas de detección son la basada en firmas, que compara con patrones de ataques conocidos, y la basada en anomalías, que detecta desviaciones del comportamiento normal. + +Protocolos de la capa de enlace: +- PPTP (Point-to-Point Tunneling Protocol): protocolo de túnel obsoleto, inseguro, utilizado en VPN antiguas. +- L2TP (Layer 2 Tunneling Protocol): protocolo de túnel que no proporciona cifrado por sí mismo, pero se puede usar junto con IPsec para crear una VPN segura. +- L2TP + IPsec: combinación de L2TP para el túnel y IPsec para el cifrado, común en sistemas operativos sin necesidad de cliente adicional. + +Puertos y protocolos: +- UDP 1701: L2TP (túnel) +- UDP 500: IKEv2 (negociación de claves para IPsec) +- UDP 4500: IPsec NAT-T (IPsec a través de NAT) + +Tecnicas de transmision: