miércoles, 19 de octubre de 2011

NAT Traductor de dirección de red



Introducción:
El uso de redes de computadoras en las empresas ha crecido y continúa creciendo drásticamente, en la mayoría de estos casos estas redes son de uso exclusivo interno, requiriendo que una mínima cantidad de terminales tengan acceso a redes externas. Además, el rápido agotamiento de las direcciones IP públicas hace que adquirirlas sea costoso razón por lo cual las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas que son inválidas para su uso fuera de la red interna.
Para que estas empresas puedan tener un acceso a redes externas o a Internet se requiere de una traducción de direcciones que permita que con una sola conexión a la red de redes y unas cuantas direcciones IP válidas, de esta manera se puede tener un buen control sobre la seguridad de la red y sobre el tipo de información intercambiada con redes externas.
La topología de red fuera de un dominio local puede cambiar de muchas maneras. Los clientes pueden cambiar proveedores, los backbones (conexiones de Internet con gran ancho de banda) de las compañías pueden ser reorganizados o los proveedores pueden unirse o separarse. Siempre que la topología externa cambie, la asignación de dirección para nodos en el dominio local puede también cambiar para reflejar los cambios externos. Este tipo de cambios deben ser implementados en el router de acceso a Internet y de esta manera, pueden ser ocultados a los usuarios de la rede interna de la organización.

Traductor de dirección de red (NAT):
La "Traducción de Direcciones de Red", Network Address Translation (NAT), es un método mediante el que las direcciones IP son mapeadas desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a las máquinas finales. Existen muchas variantes de traducción de direcciones que se prestan a distintas aplicaciones. Sin embargo todas las variantes de dispositivos NAT debería compartir las siguientes características:
·         Asignación transparente de direcciones.
·         Encaminamiento transparente mediante la traducción de direcciones (aquí el encaminamiento se refiere al reenvío de paquetes, no al intercambio de información de encaminamiento).
·         Traducción de la carga útil de los paquetes de error ICMP




Aplicación:
Como se explicó en el anterior punto, la traducción de la dirección de red, se aplica en redes que fueron implementadas con direcciones IP privadas y necesitan tener un acceso a Internet, se debe solicitar a un proveedor un rango de direcciones válidas para poder asociar dichas direcciones válidas con los hosts que tengan direcciones inválidas y necesiten salida a Internet.
Esta situación ocurre frecuentemente en las empresas que tienen redes internas grandes, también puede darse el caso que el proveedor sólo asigne una dirección válida a la empresa, en esta situación se configura a NAT para que diferentes hosts dentro de la empresa puedan acceder a Internet mediante esta única IP válida asignada por el proveedor, en este caso la configuración del router con NAT asocia además de la dirección IP, un puerto para direccionar correctamente los paquetes a los diferentes hosts (estas dos situaciones serán explicadas más ampliamente en la siguiente sección). Estos problemas también pueden presentarse en redes caseras más pequeñas y son una solución factible para habilitar una conexión a Internet sin tener que hacer una reconfiguración de la red interna, además que el proceso de traducción de direcciones IP es transparente al usuario final que no se da cuenta de lo que pasa.

Operación básica:
Para que una red privada tenga acceso a Internet, el acceso debe ser por medio de un dispositivo ubicado en la frontera de las dos redes que tenga configurado NAT para la traducción de direcciones, en estos casos lo más conveniente es poner a un router para que los paquetes sean enviados hacia él. Existen dos tipos de asignación de direcciones:
·         Asignación estática de direcciones, en el caso de asignación estática de direcciones, existe un mapeo uno a uno de direcciones para las máquinas entre una dirección privada de red y una dirección externa de red durante el tiempo en funcionamiento del NAT. La asignación estática de direcciones asegura que NAT no tiene que administrar la gestión de direcciones con los flujos de sesión.









Figura 1: NAT estático: cuando el host 192.168.0.2 envía un paquete al servidor 207.28.194.84 tiene en la cabecera de sus paquetes los datos mostrados en "A", al pasar estos paquetes por elrouter NAT, los datos son modificados y llegan al servidor con los datos mostrados en "B". Lasrelaciones de direcciones de la tabla del router son puestas estáticamente
·         Asignación dinámica de direcciones, en este caso, las direcciones externas son asignadas a las máquinas de la red privada, o viceversa, de manera dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT determine heurísticamente. Cuando la última de las sesiones que use una dirección asociada termine, NAT liberará la asociación para que la dirección global pueda ser reciclada para su posterior uso. La naturaleza exacta de la asignación de direcciones es específica de cada implementación de NAT.
 NAT tradicional:
La operación de Traducción de Dirección a analizar se denomina "NAT Tradicional", existen otras variantes de NAT que no serán exploradas. En un NAT tradicional, las sesiones son unidireccionales, salientes de la red privada. Las sesiones en la dirección opuesta pueden ser permitidas en una base excepcional usando mapeos de dirección estáticos para hosts preseleccionados. Existen dos variantes del NAT Tradicional: NAT Básico y NAPT (Network eAddress Port Translation).
NAT Básico:
La operación de NAT Básico es como se describe a continuación: una zona con un conjunto de direcciones de red privadas puede ser habilitada para comunicarse con una red externa mapeando dinámicamente el conjunto de direcciones privadas a un conjunto de direcciones de red válidas globalmente, cada dirección tiene garantizada una dirección global para ser mapeada a ella. De lo contrario, los nodos habilitados para tener acceso simultáneo a la red externa son limitados por el número de direcciones en el conjunto global.
Direcciones locales individuales pueden ser estáticamente mapeadas a direcciones globales específicas para asegurarse acceso garantizado hacia fuera o para permitir acceso al host local desde hosts externos mediante una dirección pública fija. Sesiones múltiples simultáneas pueden ser iniciadas desde un nodo local, usando el mismo mapeo de dirección.
Las direcciones dentro de la zona son locales para este dominio y no son válidas fuera de él. De este modo, las direcciones dentro de la zona pueden ser reusadas por alguna otra. Por ejemplo, una sola dirección de clase A puede ser usada por muchas zonas. En cada punto de salida entre una zona y el backbone, NAT está instalado. Si hay más de un punto de salida es de gran importancia que cada NAT tenga la misma tabla de traducción.

Compración entre Friwall

Comparación de Firewall

ZoneAlarm
ZoneAlarm es un cortafuegos por software producido por Check Point. Incluye un sistema de detección de intrusiones entrantes, al igual que la habilidad de controlar que programas pueden crear conexiones salientes, esto último no está incluido en el cortafuegos de Windows XP Service Pack 2.
En ZoneAlarm, el acceso del programa está controlado por las "zonas" en las cuales se dividen las conexiones de red del ordenador. La "zona de confianza" ("trusted zone") normalmente incluye la red de área local del usuario y puede compartir recursos tales como ficheros e impresoras, mientras que la "zona de Internet" ("Internet zone") incluye todo lo que no esté en la "zona de confianza". El usuario puede especificar que "permisos" (trusted zone client, trusted zone server, Internet zone client, Internet zone server) dar a un programa antes de que intente acceder a Internet (p.e. antes de ejecutarlo por primera vez) o, alternativamente, ZoneAlarm preguntará al usuario que permisos dar al programa en su primer intento de acceso.
Versiones:
  • ZoneAlarm - la versión freeware incluye un firewall de red web y local con control de programas salientes y silenciado de puertos ("stealthing"). La versión freeware 6.5 no soporta la hibernación de Windows y no puede ser desinstalada completamente. p.e. el usuario necesita seguir numerosas instrucciones para eliminar completamente el software.
  • ZoneAlarm Pro - bloqueador de ventanas emergentes, detección de hardware, protección de identidad, bloqueador de cookies y monitor de procesos
  • ZoneAlarm Antivirus - ZoneAlarm con protección antivirus además de las características del firewall
  • ZoneAlarm Antispyware - Una versión recortada de ZoneAlarm Pro: tiene todas las características de ZoneAlarm Pro excepto las de privacidad e identidad.
  • ZoneAlarm Internet Security Suite - Incluye todas las características de las versiones anteriores, e incluye IMSecure Pro (ver a continuación) y un filtro antispam elaborado por MailFrontier.
  • IMSecure - Protege a clientes de mensajería instantánea como (AIM, Yahoo!, MSN, ICQ y Trillian) de virus y transmisión accidental de información personal. IMSecure viene en dos ediciones, Basic y Pro, la última tiene más opciones de seguridad.
ESET
El Firewall personal es un dispositivo que actúa como controlador de tráfico de la red, controlando las comunicaciones dentro de la red local o Internet. Empleando reglas predefinidas, el firewall analiza esta comunicación y decide a favor o en contra de su establecimiento. La función más básica del firewall es proteger redes privadas o computadoras de la intrusión de peligros potenciales que provienen desde fuera de las redes o computadoras.
Existen cinco modos separados del firewall para elegir, de acuerdo al nivel deseado de restricción. Para cambiar el comportamiento de su firewall, elija el modo de filtrado deseado. Para cambiar el modo de filtrado, realice los siguientes pasos:
1.      Abra la ventana principal del programa haciendo clic en el ícono de ESET  junto al reloj del sistema o haciendo clic en  Inicio Todos los programas ESET ESET Smart Security.
2.      Cambie al Modo avanzado haciendo clic en Cambiar... en la esquina inferior izquierda o presionando CTRL + M en su teclado.
3.     Haga clic en Configuración Firewall personal y luego haga en Configuración avanzada de firewall personal...  debajo, en la ventana de la ventana principal del programa.

Fig. 1-1

4.      Aparecerá la ventana de Configuración avanzada. Dentro de menú desplegable de Modo de filtrado que se halla a la derecha, seleccione el modo de filtrado deseado y presione Aceptar.

Modo Automático
En Modo automático, la comunicación de la red es automáticamente controlada por los ajustes definidos por el usuario. Después de conectarse a una red, el usuario decide cuál es una zona de confianza.  La comunicación en una zona de confianza no está limitada en ninguna dirección. La comunicación dentro de una zona restringida – la comunicación en Internet – es permitida solo para aplicaciones que establezcan conexiones salientes. Estas aplicaciones son de confianza también para las conexiones entrantes. Este modo no requiere interacción con el usuario (excepto cuando conecta a una nueva red).

En resumen, el Modo automático utiliza reglas no predefinidas, pero analiza la comunicación automáticamente. Las aplicaciones son permitidas para establecer conexiones salientes. Las aplicaciones que ya establecen conexiones salientes son también de confianza para conexiones entrantes.
Modo automático con excepciones (reglas definidas por el usuario)
En adición al modo automático, le permite agregar reglas personalizadas.
Modo interactivo
En el Modo interactivo, la comunicación de la red es manejada de acuerdo a reglas predefinidas. Si no hay ninguna regla disponible para una conexión, el usuario es consultado con un cuadro de diálogo para permitir o rechazar  la conexión. Luego de un tiempo, el usuario habrá creado un grupo de reglas de acuerdo a sus necesidades. Tome recaudos cuando elija este modo en un entorno corporativo ya que, después de un tiempo, algunos usuarios pueden ignorar las ventanas de diálogo que aparecen regularmente y sólo permitir todo lo que les sea consultado por el programa.
Modo basado en reglas
En el Modo basado en reglas, las comunicaciones de la red son manejadas de acuerdo a reglas brindadas por el administrador. Si no hay reglas disponibles, la conexión es automáticamente bloqueada y el usuario no observa ninguna ventana de mensaje. Recomendamos que seleccione el Modo basado en reglas solo si es un administrador que controla las comunicaciones de red y está seguro de conocer que aplicaciones deben ser permitidas y cuáles no.
Modo de aprendizaje
Permitiendo toda actividad y creando y guardando automáticamente reglas basadas en el comportamiento del usuario este modo es adecuado para la configuración inicial del Firewall personal. No requiere interacción con el usuario. El Modo de aprendizaje no es seguro, y debería ser usado solo cuando todas las reglas de comunicación han sido creadas. El Firewall personal debería entonces ser ajustado al Modo automático con excepciones o Modo basado en reglas.

Firewall de Windows
Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.
Puede personalizar cuatro opciones de configuración para cada tipo de ubicación de red en Firewall de Windows. Para buscar estas opciones de configuración, siga estos pasos:
  1. Para abrir Firewall de Windows, haga clic en el botón Inicio y, seguidamente, en Panel de control. En el cuadro de búsqueda, escriba firewall y, a continuación, haga clic en Firewall de Windows.
  2. En el panel izquierdo, haga clic en Activar o desactivar Firewall de Windows.  Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.




A continuación, se describe la función de las opciones de configuración y cuándo deben usarse:
Activar Firewall de Windows
Esta opción está activada de forma predeterminada. Cuando Firewall de Windows está activado, se bloquea la comunicación a través del firewall para la mayoría de los programas. Si desea permitir que un programa se comunique a través del firewall, puede agregarlo a la lista de programas permitidos. Por ejemplo, es posible que no pueda enviar fotografías en mensajes instantáneos hasta que agregue el programa de mensajería instantánea a la lista de programas permitidos.
Bloquear todas las conexiones entrantes, incluidas las de la lista de programas permitidos
Con esta opción se bloquean todos los intentos de conexión al equipo no solicitados. Esta opción se usa cuando se necesita la máxima protección en un equipo; por ejemplo, al conectarse a una red pública en un hotel o un aeropuerto, o cuando hay gusano que se está extendiendo por los equipos a través de Internet. Con esta opción no se le avisa cuando Firewall de Windows bloquea programas y se omiten los programas que figuran en la lista de programas permitidos.
Si bloquea todas las conexiones entrantes, aún puede ver la mayoría de las páginas web, así como enviar y recibir mensajes de correo electrónico y mensajes instantáneos.
Notificarme cuando Firewall de Windows bloquee un nuevo programa
Si activa esta casilla, Firewall de Windows le informará cada vez que bloquee un programa nuevo y le ofrecerá la opción de desbloquearlo.
Desactivar Firewall de Windows (no recomendado)
No use esta opción a menos que se ejecute otro firewall en el equipo. La desactivación de Firewall de Windows podría provocar que el equipo (y la red, dado el caso) sean más vulnerables a daños ocasionados por ataques de hackers y software malintencionado.


lunes, 15 de agosto de 2011

GLOSARIO EN SEGURIDAD EN INFORMATICA

Adware

Adware es un software, generalmente no deseado, que facilita el envío de contenido publicitario a un equipo.

Amenaza
Una amenaza informática es toda circunstancia, evento o persona que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación de servicio (DoS).
Amenazas polimorfas
Las amenazas polimorfas son aquellas que tienen la capacidad de mutar y en las cuales cada instancia del malware es ligeramente diferente al anterior a este. Los cambios automatizados en el código realizados a cada instancia no alteran la funcionalidad del malware, sino que prácticamente inutilizan las tecnologías tradicionales de detección antivirus contra estos ataques.
Antispam
Antispam es un producto, herramienta, servicio o mejor práctica que detiene el spam o correo no deseado antes de que se convierta en una molestia para los usuarios. El antispam debe ser parte de una estrategia de seguridad multinivel.
Antivirus
Antivirus es una categoría de software de seguridad que protege un equipo de virus, normalmente a través de la detección en tiempo real y también mediante análisis del sistema, que pone en cuarentena y elimina los virus. El antivirus debe ser parte de una estrategia de seguridad estándar de múltiples niveles.
Aplicaciones engañosas
Las aplicaciones engañosas son programas que intentan engañar a los usuarios informáticos para que emprendan nuevas acciones que normalmente están encaminadas a causar la descarga de malware adicional o para que los usuarios divulguen información personal confidencial. Un ejemplo es el software de seguridad fraudulento, que también se denomina scareware.





Ataques multi-etapas
Un ataque en múltiples etapas es una infección que normalmente implica un ataque inicial, seguido por la instalación de una parte adicional de códigos maliciosos. Un ejemplo es un troyano que descarga e instala adware
Ataques Web
Un ataque Web es un ataque que se comete contra una aplicación cliente y se origina desde un lugar en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han sido creados para atacar intencionalmente a los usuarios de ésta.
Blacklisting o Lista Negra
La lista negra es el proceso de identificación y bloqueo de programas, correos electrónicos, direcciones o dominios IP conocidos maliciosos o malévolos.
Bot
Un bot es una computadora individual infectada con malware , la cual forma parte de una red de bots (bot net).
Botnet
Conjunto de equipos bajo el control de un bot maestro, a través de un canal de mando y control. Estos equipos normalmente se distribuyen a través de Internet y se utilizan para actividades malintencionadas, como el envío de spam y ataques distribuidos de negación de servicio. Las botnet se crean al infectar las computadoras con malware, lo cual da al atacante acceso a las máquinas. Los propietarios de computadoras infectadas generalmente ignoran que su máquina forma parte de una botnet, a menos que tengan software de seguridad que les informe acerca de la infección.
Caballo de Troya
Son un tipo de código malicioso que parece ser algo que no es. Una distinción muy importante entre troyanos y virus reales es que los troyanos no infectan otros archivos y no se propagan automáticamente. Los caballos de troya tienen códigos maliciosos que cuando se activan causa pérdida, incluso robo de datos. Por lo general, también tienen un componente de puerta trasera, que le permite al atacante descargar amenazas adicionales en un equipo infectado. Normalmente se propagan a través de descargas inadvertidas, archivos adjuntos de correo electrónico o al descargar o ejecutar voluntariamente un archivo de Internet, generalmente después de que un atacante ha utilizado ingeniería social para convencer al usuario de que lo haga.

Canal de control y comando
Un canal de mando y control es el medio por el cual un atacante se comunica y controla los equipos infectados con malware, lo que conforma un botnet.
Carga destructiva
Una carga destructiva es la actividad maliciosa que realiza el malware. Una carga destructiva es independiente de las acciones de instalación y propagación que realiza el malware.
Crimeware
Software que realiza acciones ilegales no previstas por un usuario que ejecuta el software. Estas acciones buscan producir beneficios económicos al distribuidor del software.
Ciberdelito
El ciberdelito es un delito que se comete usando una computadora, red o hardware. La computadora o dispositivo puede ser el agente, el facilitador o el objeto del delito. El delito puede ocurrir en la computadora o en otros lugares.
Definiciones de virus
Una definición de virus es un archivo que proporciona información al software antivirus, para identificar los riesgos de seguridad. Los archivos de definición tienen protección contra todos los virus, gusanos, troyanos y otros riesgos de seguridad más recientes. Las definiciones de virus también se denominan firmas antivirus.
Descarga inadvertida
Una descarga inadvertida es una descarga de malware mediante el ataque a una vulnerabilidad de un navegador Web, equipo cliente de correo electrónico o plug-in de navegador sin intervención alguna del usuario. Las descargas inadvertidas pueden ocurrir al visitar un sitio Web, visualizar un mensaje de correo electrónico o pulsar clic en una ventana emergente engañosa.
Economía clandestina
La economía clandestina en línea es el mercado digital donde se compran y se venden bienes y servicios obtenidos a través de la ciberdelincuencia, con el fin de cometer delitos informáticos. Dos de las plataformas más comunes a disposición de los participantes en la economía clandestina en línea son los canales en servidores IRC y foros Web. Los dos tienen grupos de discusión que utilizan participantes para comprar y vender bienes y servicios fraudulentos. Los artículos vendidos son datos de tarjetas de crédito, información de cuentas bancarias, cuentas de correo electrónico y toolkits de creación de malware. Los servicios incluyen cajeros que pueden transferir fondos de cuentas robadas en moneda real, phishing y hosting de páginas fraudulentas y anuncios de empleo para cargos como desarrolladores de fraude o socios de phishing.
Encriptación
La encriptación es un método de cifrado o codificación de datos para evitar que los usuarios no autorizados lean o manipulen los datos. Sólo los individuos con acceso a una contraseña o clave pueden descifrar y utilizar los datos. A veces, el malware utiliza la encriptación para ocultarse del software de seguridad. Es decir, el malware cifrado revuelve el código del programa para que sea difícil detectarlo.
Exploits o Programas intrusos
Los programas intrusos son técnicas que aprovechan las vulnerabilidades del software y que pueden utilizarse para evadir la seguridad o atacar un equipo en la red.
Filtración de datos
Una filtración de datos sucede cuando se compromete un sistema, exponiendo la información a un entorno no confiable. Las filtraciones de datos a menudo son el resultado de ataques maliciosos, que tratan de adquirir información confidencial que puede utilizarse con fines delictivos o con otros fines malintencionados
Firewall
Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles.
Firma antivirus
Una firma antivirus es un archivo que proporciona información al software antivirus para encontrar y reparar los riesgos. Las firmas antivirus proporcionan protección contra todos los virus, gusanos, troyanos y otros riesgos de seguridad más recientes. Las firmas antivirus también se denominan definiciones de virus.
Greylisting o Lista Gris
La lista gris es un método de defensa para proteger a los usuarios de correo electrónico contra el spam. Los mensajes de correo electrónico son rechazados temporalmente de un remitente que no es reconocido por el agente de transferencia de correos. Si el correo es legítimo, el servidor de origen tratará de nuevo y se aceptará el correo electrónico. Si el correo es de un remitente de spam, probablemente no se reintentará su envío y por lo tanto, no logrará pasar el agente de transferencia de correos.
Gusanos
Los gusanos son programas maliciosos que se reproducen de un sistema a otro sin usar un archivo anfitrión, lo que contrasta con los virus, puesto que requieren la propagación de un archivo anfitrión infectado.
Ingeniería Social
Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen una acción que normalmente producirá consecuencias negativas, como la descarga de malware o la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las tácticas de ingeniería social.
Lista blanca o Whitelisting
La lista blanca es un método utilizado normalmente por programas de bloqueo de spam, que permite a los correos electrónicos de direcciones de correo electrónicos o nombres de dominio autorizados o conocidos pasar por el software de seguridad.
Keystroke Logger o Programa de captura de teclado (Keylogger)
Es un tipo de malware diseñado para capturar las pulsaciones, movimientos y clics del teclado y del ratón, generalmente de forma encubierta, para intentar robar información personal, como las cuentas y contraseñas de las tarjetas de crédito.
Malware
El malware es la descripción general de un programa informático que tiene efectos no deseados o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El malware a menudo utiliza herramientas de comunicación populares, como el correo electrónico y la mensajería instantánea, y medios magnéticos extraíbles, como dispositivos USB, para difundirse. También se propaga a través de descargas inadvertidas y ataques a las vulnerabilidades de seguridad en el software. La mayoría del malware peligroso actualmente busca robar información personal que pueda ser utilizada por los atacantes para cometer fechorías.
Mecanismo de propagación
Un mecanismo de propagación es el método que utiliza una amenaza para infectar un sistema.


Negación de servicio (DoS)
La negación de servicio es un ataque en el que el delincuente intenta deshabilitar los recursos de una computadora o lugar en una red para los usuarios. Un ataque distribuido de negación de servicio (DDoS) es aquel en que el atacante aprovecha una red de computadoras distribuidas, como por ejemplo una botnet, para perpetrar el ataque.
Pharming
Método de ataque que tiene como objetivo redirigir el tráfico de un sitio Web a otro sitio falso, generalmente diseñado para imitar el sitio legítimo. El objetivo es que los usuarios permanezcan ignorantes del redireccionamiento e ingresen información personal, como la información bancaria en línea, en el sitio fraudulento. Se puede cometer pharming cambiando el archivo de los equipos anfitriones en la computadora de la víctima o atacando una vulnerabilidad en el software del servidor DNS.
Phishing
A diferencia de la heurística o los exploradores de huella digital, el software de seguridad de bloqueo de comportamiento se integra al sistema operativo de un equipo anfitrión y supervisa el comportamiento de los programas en tiempo real en busca de acciones maliciosas. El software de bloqueo de comportamiento bloquea acciones potencialmente dañinas, antes de que tengan oportunidad de afectar el sistema. La protección contra el comportamiento peligroso debe ser parte de una estrategia de seguridad estándar de múltiples niveles.
Protección heurística (Heuristics-Based Protection)
Forma de tecnología antivirus que detecta las infecciones mediante el escrutinio de la estructura general de un programa, las instrucciones de sus computadoras y otros datos contenidos en el archivo. Una exploración heurística hace una evaluación sobre la probabilidad de que el programa sea malicioso con base en la aparente intención de la lógica. Este plan puede detectar infecciones desconocidas, ya que busca lógica generalmente sospechosa, en lugar de huellas específicas de malware, tales como los métodos tradicionales de antivirus de firmas. La protección heurística debería hacer parte de una estrategia de seguridad estándar de múltiples niveles
Redes punto a punto (P2P)
Red virtual distribuida de participantes que hacen que una parte de sus recursos informáticos estén a disposición de otros participantes de la red, todo sin necesidad de servidores centralizados. Las redes puntos a punto son utilizadas para compartir música, películas, juegos y otros archivos. Sin embargo, también son un mecanismo muy común para la distribución de virus, bots, spyware, adware, troyanos, rootkits, gusanos y otro tipo de malware.

Rootkits
Componente de malware que utiliza la clandestinidad para mantener una presencia persistente e indetectable en un equipo. Las acciones realizadas por un rootkit, como la instalación y diversas formas de ejecución de códigos, se realizan sin el conocimiento o consentimiento del usuario final.
Los rootkits no infectan las máquinas por sí mismos como lo hacen los virus o gusanos, sino que tratan de proporcionar un entorno indetectable para ejecutar códigos maliciosos. Los atacantes normalmente aprovechan las vulnerabilidades en el equipo seleccionado o utilizan técnicas de ingeniería social para instalar manualmente los rootkits. O, en algunos casos, los rootkits pueden instalarse automáticamente al ejecutarse un virus o gusano o incluso simplemente al navegar en un sitio Web malicioso.
Una vez instalados, el atacante puede realizar prácticamente cualquier función en el sistema, incluyendo acceso remoto, intercepción de comunicaciones, así como procesos de ocultamiento, archivos, claves de registro y canales de comunicación.
Seguridad basada en la reputación
La seguridad basada en la reputación es una estrategia de identificación de amenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad de los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego, se combinan los atributos para determinar la reputación de seguridad de un archivo. Las calificaciones de reputación son utilizadas después por los usuarios informáticos para determinar mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de una estrategia de seguridad estándar de múltiples niveles.
Sistema de detección de intrusos
Un sistema de detección de intrusos es un servicio que monitorea y analiza los eventos del sistema para encontrar y proporcionar en tiempo real o casi real advertencias de intentos de acceso a los recursos del sistema de manera no autorizada. Es la detección de ataques o intentos de intrusión, que consiste en revisar registros u otra información disponible en la red. Un sistema de detección de intrusos debe ser parte de una estrategia de seguridad estándar de múltiples niveles.
Sistema de prevención de intrusos
Un sistema de prevención de intrusos es un dispositivo (hardware o software) que supervisa las actividades de la red o del sistema en busca de comportamiento no deseado o malicioso y puede reaccionar en tiempo real para bloquear o evitar esas actividades. Un sistema de prevención de intrusos debe ser parte de una estrategia de seguridad estándar de múltiples niveles.




Software de seguridad fraudulento (rogue)
Un programa de software de seguridad rogue es un tipo de aplicación engañosa que finge ser software de seguridad legítimo, como un limpiador de registros o detector antivirus, aunque realmente proporciona al usuario poca o ninguna protección y, en algunos casos, puede de hecho facilitar la instalación de códigos maliciosos contra los que busca protegerse.
Spam
También conocido como correo basura, el spam es correo electrónico que involucra mensajes casi idénticos enviados a numerosos destinatarios. Un sinónimo común de spam es correo electrónico comercial no solicitado (UCE). El malware se utiliza a menudo para propagar mensajes de spam al infectar un equipo, buscar direcciones de correo electrónico y luego utilizar esa máquina para enviar mensajes de spam. Los mensajes de spam generalmente se utilizan como un método de propagación de los ataques de phishing
Spyware
Paquete de software que realiza un seguimiento y envía información de identificación personal o información confidencial a otras personas. La información de identificación personal es la información que puede atribuirse a una persona específica, como un nombre completo. La información confidencial incluye datos que la mayoría de personas no estaría dispuesta a compartir con nadie e incluye datos bancarios, números de cuentas de tarjeta de crédito y contraseñas. Los receptores de esta información pueden ser sistemas o partes remotas con acceso local.
Toolkit
Paquete de software diseñado para ayudar a los hackers a crear y propagar códigos maliciosos. Los toolkits frecuentemente automatizan la creación y propagación de malware al punto que, incluso los principiante delincuentes cibernéticos son capaces de utilizar amenazas complejas. También pueden utilizarse toolkits para lanzar ataques web, enviar spam y crear sitios de phishing y mensajes de correo electrónico.
Variantes
Las variantes son nuevas cepas de malware que piden prestado códigos, en diversos grados, directamente a otros virus conocidos. Normalmente se identifican con una letra o letras, seguidos del apellido del malware; por ejemplo, W32.Downadup.A, W32.Downadup.B y así sucesivamente.



Vector de ataque
Un vector de ataque es el método que utiliza una amenaza para atacar un sistema.
Virus
Programa informático escrito para alterar la forma como funciona una computadora, sin permiso o conocimiento del usuario. Un virus debe cumplir con dos criterios:
  • Debe ejecutarse por sí mismo: generalmente coloca su propio código en la ruta de ejecución de otro programa.
  • Debe reproducirse: por ejemplo, puede reemplazar otros archivos ejecutables con una copia del archivo infectado por un virus. Los virus pueden infectar computadores de escritorio y servidores de red.

Muchos de los virus actuales están programados para operar sigilosamente la computadora del usuario con el fin de robar información personal y utilizarla para cometer delitos. Otros menoscaban el equipo dañando los programas, eliminando archivos o volviendo a formatear el disco duro. Aún existen otros que no están diseñados para causar daño, aunque simplemente se reproducen y hacen manifiestan su presencia presentando mensajes de texto, video y audio, aunque este tipo de ataques de notoriedad no son tan comunes, puesto que los autores de virus y demás malware tiene como fin obtener ganancias ilegales.
Virus más propagado
Amenaza que se dice está en su apogeo e indica que ya se está extendiendo entre los usuarios informáticos.
BIBLOGRAFÍA: www.symantec.com