Una configuración inadecuada sorprendentemente común, es confiar en el tráfico basándose únicamente en el número de puerto origen. Es fácil entender entonces como ocurre esto. Un administrador puede configurar un nuevo y brillante firewall, únicamente para ser inundado con reclamos de usuarios descontentos cuyas aplicaciones dejaron de funcionar. En particular DNS puede no funcionar, pues las respuestas UDP DNS desde servidores externos, no pueden ingresar hacia la red. FTP es otro ejemplo común.

Con un escaneo de tipo ACK utilizando Nmap podría detectarse cuales puertos están filtrados. Sin embargo, este podría no determinar cuales de los puertos factibles de ser accedidos están abiertos o cerrados. Nmap ofrece muchos métodos para el escaneo, los cuales son buenos en el intento de evadir firewalls, al mismo tiempo proporcionaría la información requerida sobre el estado del puerto. El escaneo FIN es una de tales técnicas.

Para el siguiente ejemplo se utiliza una máquina con Windows Server 2012 R2. Únicamente se utiliza por defecto el firewall de Windows.

Generalmente el protocolo TCP es dominante para realizar los escaneos. Trabajar con UDP es frecuentemente más difícil porque el protocolo no proporciona un reconocimiento de los puertos abiertos, tal como sí lo hace TCP. Muchas aplicaciones UDP podrían simplemente ignorar paquetes inesperados, dejando a Nmap sin certeza de si el puerto está abierto o filtrado.

Para el siguiente ejemplo se utiliza una máquina con Windows Server 2012 R2. Únicamente se utiliza por defecto el firewall de Windows.

El escaneo ACK envía paquetes TCP con únicamente el bit ACK definido. Debido a los puertos están abiertos o cerrados, el sistema es requerido por el RFC 793 de responder con un paquete RST. Los firewalls bloqueando la prueba, de otro lado, usualmente no responden o envían de retorno un error ICMP de destino inalcanzable. Esta distinción permite a Nmap reporte los paquetes ACK están siendo filtrados.

Una característica útil del protocolo TCP es, por RFC 793 se requiere los sistemas envíen respuestas negativas para peticiones de conexión inesperadas, en la forma de un paquete TCP RST (reset) “reinicio”. El paquete RST permite los puertos cerrados sean fácilmente reconocidos por Nmap. Los dispositivos de filtrado como firewalls de otro lado, tienden a descartar paquetes destinados para los puertos deshabilitados. En algunos casos en su lugar, envían mensajes de error ICMP (usualmente “puerto inalcanzable”).

La meta de una investigación es determinar los hechos describiendo lo ocurrido, como ocurrió, y en algunos casos, quien fue el responsable. Como un equipo comercial para respuesta de incidentes, el elemento “quien” puede no ser alcanzable, pero conocer cuando contratar ayuda externa o fuerzas legales es importante. Sin conocer los hechos, como la forma en la cual un atacante gana acceso hacia una red en primer lugar, o lo hecho por el atacante, no se está en una buena posición para remediar.

Las metas principales en la etapa denominada como respuesta inicial, incluyen ensamblar el equipo para la respuesta de incidentes, revisar los datos disponibles basados en red, y otros datos disponibles, determinar el tipo de incidente, además de evaluar el impacto potencial. La meta es reunir suficiente información inicial, lo cual luego permita al equipo de respuesta de incidentes determinar la respuesta apropiada. Típicamente esta etapa no involucra recolectar datos directamente desde el sistema afectado.

El proceso para respuesta de incidentes está constituida de todas las actividades necesarias para lograr las metas de una respuesta de incidentes. El proceso global y las actividades deben ser bien documentadas, y entendidas por el equipo de respuesta, como también por las partes interesadas en la organización. El proceso está constituido de tres actividades principales, y se sugiere contar con personal dedicado a cada una de estas:

• Respuesta inicial
• Investigación
• Remedición

Contratar personal bueno es una tarea difícil para muchos gerentes. Si se tiene un equipo y se está creciendo, identificar buen talento puede ser más fácil: pues se tienen personas quienes pueden evaluar las capacidades y personalidad del postulante. Adicionalmente, un precedente ha sido establecido, y se está ya familiarizado con los roles requeridos, además de tener en mente los candidatos ideales para cada uno.

Al trabajar para una compañía proporcionando servicios de consultoría para otras organizaciones, quienes enfrentan problemas de seguridad de la información. En base a esto, se esperaría apoyar plenamente la contratación de consultores para ayudar a resolver un incidente. Sería como preguntarle a un representante de una marca de autos, si debemos comprar su último modelo. La respuesta directa a la pregunta de si una empresa debe utilizar servicios de una empresa consultora, o depender plenamente de esta, depende de muchos factores: