| Formatted contents note |
Prologo XV, / prefacio XVII, / Acerca del autor XXVII, / Acerca de los colaboradores XXIX, / Introducción a la monitorización de seguridad en redes 1 / El proceso de seguridad 3, / Y ahora ¿qué? 3, / ¿Qué es la seguridad? 4, / ¿Qué es el riesgo? 6, / amenaza 6, / Vulnerabilidad 8, / Valor de un bien 8, / Un estudio de caso relativo al riezgo 9, / Principios de seguridad: características del intruso 12, / Algunos intrusos son más listos que usted 12, / La prevención fracasa eventualmente 13, / Principios de seguridad: las fases de un compromiso 13, / Reconocimiento 15, / explotación 16, / Refuerzo 17, / Consolidación 17, Pillaje 18, / Principios de seguridad: redes defendibles 20, / Las redes defendibles se pueden vigilar 20 las redes defendibles limitan la capacidad de maniobra de los intrusos 21, / Las redes defendibles ofrecen un número mínimo de servicios 22, / Las redes defendibles se pueden mantener actualizadas 23, / Conclusión 23, / ¿ Qué es la monitorización de seguridad de redes? 25, / Indicaciones y advertencias 25, / Recolección, análisis y notificación 28, / Detección de intrusiones y repuestas a las mismas 29, / ¿Por qué suelen fracasar los despliegues? 30, / Extraños frente a personal propio ¿cuál es el foco de la NSM 31, / Principios e seguridad: Detección 34, / Es posible detectar a los intrusos que se comunican con sus víctimas 34, / La detección por muestreo es mejor que no tener detección 34, / La detección por análisis del tráfico es mejor que no tener detección 35, / Principios de seguridad: Limitaciones 35, / Recoger todo es ideal pero problemático 36, / El tiempo real no es siempre el mejor momento 37, / El trabajo adicional tiene un coste 38, / Lo que no es NSM 39, / NSM no es administración de dispositivos 39, / NSM no es administración de sucesos de seguridad 39,/ NSM no es un análisis post mortem basado en la red 40, / NSM no es detección de intrusiones 40, / NSM en acción 41, / conclusión 42, / Consideraciones de despliegue 43, / Modelos de amenaza y zonas de monitorización 43, / El perímetro 45, / La zona desmilitarizada 47, / la zona inalámbrica 47, / La intranet 48, / Acceso al tráfico de cada zona 49, / Concentradores 50, / Puertos SPAM 53, / Taps 59, / Dispositivos en línea 71, / Monitorización sin hilos 78, / Arquitectura del sensor 86, / Hardware 86, / Sistema operativo 88, / Administración de sensores 90, / Acceso por consola 90, / Acceso remoto en banda 92, / Acceso remoto fuera de banda 92, / Conclusión 93, / Productos para la monitorización de seguridad en redes 95, / El modelo de referencia de intrusiones 97, / El escenario 97, / El ataque 98, / Conclusión 108, / Datos de contenido completo 109, / Una nota sobre el software 110, / LIBPCAP 111, / TCPDUMP 112, / Utilización básica de Tcpdump 113, / Utilización de Tcpdump para almacenar datos de contenido completo 115, / Utilización de Tcpdmup para leer datos de contenido completo almacenados 116, / Sellos de hora en datos de contenido completo almacenados 121, / Mejora del detalle en datos de contenido completo de Tcpdump 122, / Tcpdump y los filtros de paquete de Berkeley 124, / Tethereal 128, / Utilización básica de Tethereal 128, / Uso de Tethereal para almacenar datos de contenido completo almacenado 131, / Como obtener más información de tethereal 133, / Snort como registrador de paquetes 136, / Utilización de Snrt para almacenar datos de contenido completo 138, / Utilización de Snort para leer datos de contenido completo almacenados 139, / Búsqueda de partes específicas de los paquetes mediante Tcpdump, Tethereal y Snort 140, / Ethereal 146, / Utilización básica de Ethereal 147, / Utilización de Ethereal para leer datos de contenido completo almacenados 148, / Utilización de Ethereal para reconstruir sesiones 153, / Otras características de Ethereal 154, / Una nota sobre las opciones comerciales para la captura de contenido completo 155, / Conclusión 156, / Analisis adicional de datos 157, / Editcap y mergecap 157, / TcpSlice 158, / Tcpreplay 162, / Tcpflow 165, / Ngrep 168, / IPsumdump 171, / Etherape 172, / Netdude 174, / utilización de Netdude 175, / ¿ Qué aspecto interno tienen los ficheros de seguimiento? 177, / P0f 185, / Conclusión 189, / Datos de sesión 191, / Formas de datos de sesión 192, / Netflow de Cisco 194, / Fprobe 199, / Ng_netflow 200, / Flow-tools 202, / Flow-capture 203, / Flow-cat y Flow-print 207, / sFlow sFlow Toolkit 209, / Argus 211, / Swerevidor argus 213, / Ra client 215, / Tcptrace 218, / Conclusión 222, / Datos estadísticos 223, / ¿ Que son los datos estadísticos? 224, / Contabilidad de Cisco 225, / Ipcad 230, / Bmon 233, / Trafshow 233, / Ttt 238, / Tcpdstat 240, / MRTG 244, / Ntop 250, / Conclusión 254, / Datos de alerta: Bro y Prelude 257, / Bro 258, / Instalación de Bro y BRA 259, / Interpretación de ficheros de Bro 263, / Capacidades y limitaciones de Bro 268, / Prelude 268, / Instalación de Prelude 269, / Interpretación de ficheros de resultados de Prelude 276, / Instalación de PIWI 278, / utilización de PIWI para visualizar eventos de Prelude 280, / Capacidades y limitaciones de Prelude 281, / Conclusión 283, / Datos de alerta: NSM utilizando Sguil 285, / ¿ Por qué Sguil? 286, / ¿Y entonces, que es Sguil 287, / Interfaz básica de Sguil 289, / La respuesta de Sguil a “Y ahora, ¿qué? 291, / Toma de decisiones con Sguil 296, / Sguil frente al modelo de referencia de intrusiones 298, / SHELCODE x86 NOOP y otras alertas relacionadas 299, / Alertas de tipo FTP SITE Overflow Attempt 305, / Alertas de tipo SCAN nmap TCP 306, / Alertas de tipo MISC MS Treminal Sever Request 308, / Conclusión 309, / Procesos de monitorización de seguridad en redes 311, / Practicas recomendadas 313, / Estimación 314, / Una política de seguridad definida 314, / Protección 315, / Control de acceso 316, / Depuración del trafico 316, / Proxies 317, / detección 320, / Capitulo 320, / Identificación 325, / Validación 336, / Notificación 342, / Respuesta 344, / Vuelta a la estimación 347, / Realimentación del analista 347, / Conclusión 347, / Estudios de casos para administradores 349, / Presentación de Hawke Helicopter Suplies 349, / Estudio de caso I: monitorización de seguridad de redes de urgencia 350, / Detección de pedidos extraños 350, / Respuestas de los administradores de sistemas 352, / Llamada a Batman 353, / Realización de la respuesta al incidente 353, / Resultados de la respuesta al incidente 355, / Estudio de caso 2: evaluación de proveedores de monitorización de seguridad con administración 357, / Requisitos de NSM que tiene HHSW 357, / Cuestionario de SSH para los fabricantes 358, / Prioridades de los bienes 359, / Estudio de caso 3: Despliegue de una solución MSN interna 360, / Oficina de asociados y de ventas 360, / Zona desmilitarizada de HHS 360,/ Red inalámbrica 362, / Red interna 362, /” ¿ Pero quién vigila a los vigilantes?” 362, / Otros problemas del personal 364, / Conclusión 365, / El personal de monitorización de seguridad en redes 367, / Armas y tácticas 373, / Definición 373, / Tareas 373, / Referencias 375, / Telecomunicaciones 377, / Definición 377, / Tasks 377, / Referencias 377, / Administración de sistemas 378, / Definición 378, / Tareas 378, / Referencias 379, / Guiones y programación 380, / Definición 380, / Tareas 381, / Referencias 381, / Administración y reglamentos 383, / Definición 383, / Tareas 383, / Referencia 383, / Formación en acción 383, / Revistas y sitios web 388, / Estudio de caso: cómo estar al día en lo tocante a herramientas 388, / Conclusión 392, / Descubriendo el DNS 392, / Trafico normal del puerto 53 394, / Trafico normal del puerto 53 UDP 394, / Trafico normal del puerto 53 TCP 401, / Trafico sospechoso en el puerto 53 406, / trafico sospechoso en el puerto 53 UDP 406, / Trafico sospechoso en el puerto 53TCP 412, / Trafico malicioso del puerto 53 416, / Trafico maliciosos en el puerto 53 UDP 416, / Trafico malicioso en los puertos 53 TCP y UDP 422, / Conclusión 426, / Aprovechando la potencia de los datos de sesión 429, / Escenario de la sesión 430, / Datos de sesión provenientes del segmento inalámbrico 431, / Datos de sesión del segmento DMZ 432, / Datos de sesión de las VLAN 434, / Datos de sesión del segmento externo 441, / Conclusión 443, / El cielo de los paqueteros 445, / Opciones truncadas de TPC 445, / SCAN FIN 451, / Canales ocultos encadenados 457, / conclusión 469, / El intruso contra la monitorización de seguridad en redes 471, / Herramientas para atacar la monitorización de seguridad en redes 473, / Packit 474, / IP Sorcery 481, / Fragroute 484, / LFT 496, / Xprobe2 505, / Denegación de srvicio de Cisco IOS 513, / Intento de exploración Solaris Sadmin 515, / Exploración de Microsoft RPC 520, / Conclusión 525, / Tácticas para atacar la monitorización de seguridad en redes 527, / Mantener el anonimato 528, / Atacar desde una cabeza de puente 528, / Ataques desde un bloque de red que no poseemos 539, / Ataque procedente de una computadora en la que se confía 540, / Ataque desde un bloque de red familiar 541, / Atacar al cliente , no al servidor 543, / Utilizar intermediarios públicos 543, / Evadir la detección 544 , / Atacar en momentos convenientes 545, / Distribuir ataques por el espacio de internet 548, / Emplear encriptación 557, / Parecer normal 572, / degradar o denegar la recolección 576, / Desplegar señuelos 576, / Considerar ataques por volumen578, / Atacar al sensor 580, / Separa a los analistas de sus consolas 583, / Problemas autoinflingidos en NSM 584, / Conclusión 585, / El futuro de la monitorización de seguridad en redes 587, / Captura remota de paquetes y análisis centralizado 588, / Integración de productos para la estimación de vulnerabilidades 589, / Detección de anomalías 591, / NSM más allá de la pasarela 592, / Conclusión 595, / Apéndices 597, / Apéndice A referencia de encabezados de protocolos 599, / Apéndice B historia intelectual de la monitorización de seguridad en redes 619, / Apéndice C detección de anomalías en protocolos 687, / índice alfabético 695. <br/> |
