<a href="https://colab.research.google.com/github/William-Burbano-Lima/Ciberseguridad-integrador/blob/main/002_14_02_25.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>

Talento Tech

 **Puertos de red y servicios de red analizados por capas**.  

---

### **Clase: Puertos y Servicios de Red Analizados por Capas**  
📅 **Duración:** 4 horas  
🎯 **Objetivo:** Comprender el funcionamiento de los puertos y servicios de red a través del modelo OSI y TCP/IP, con énfasis en su análisis en ciberseguridad.  

---

## **🔹 Agenda de la Clase**  

### **🕘 Primera Hora: Introducción a los Puertos y Servicios de Red**  
⏳ **Duración:** 60 min  

✅ **Conceptos Clave**  
- ¿Qué es un puerto de red?  
- Diferencia entre **puertos físicos y puertos lógicos**  
- **Relación entre puertos y direcciones IP**  
- **Estructura de una conexión cliente-servidor**  
- **Rangos de puertos TCP y UDP**  
  - Puertos bien conocidos (0-1023)  
  - Puertos registrados (1024-49151)  
  - Puertos dinámicos o privados (49152-65535)  

🛠 **Ejercicio Práctico**  
1. **Verificar puertos abiertos en Windows y Linux:**  
   ```bash
   netstat -an
   ```
   ```bash
   ss -tulnp
   ```
2. **Identificar servicios en puertos específicos con Nmap:**  
   ```bash
   nmap -sV 127.0.0.1
   ```
---

### **🕙 Segunda Hora: Puertos y Servicios según el Modelo OSI**  
⏳ **Duración:** 60 min  

✅ **Análisis por capas**  
📌 **Capa de Aplicación (HTTP, DNS, SMTP, FTP, SSH, RDP, etc.)**  
- ¿Qué servicio usa cada puerto?  
- **Ejercicio:** Probar conexiones con **telnet o nc**  
  ```bash
  telnet google.com 80
  nc -v google.com 443
  ```

📌 **Capa de Transporte (TCP/UDP, diferencias y usos)**  
- Diferencia entre **TCP y UDP**  
- Casos de uso en ciberseguridad  

📌 **Capa de Red (Protocolos de enrutamiento y NAT/PAT)**  
- Cómo se mapean los puertos en NAT  
- **Ejercicio:** Simular NAT con IPtables  
  ```bash
  sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
  ```
---

### **🕚 Tercera Hora: Análisis y Escaneo de Puertos**  
⏳ **Duración:** 60 min  

✅ **Herramientas para analizar puertos y servicios**  
- `nmap` (Network Mapper)  
- `netcat` (Escaneo y conexiones manuales)  
- `Wireshark` (Análisis de tráfico en tiempo real)  

🛠 **Ejercicio Práctico: Escaneo y análisis**  
1. **Escanear puertos abiertos en una máquina local:**  
   ```bash
   nmap -p- 192.168.1.1
   ```
2. **Identificar servicios y versiones en una red:**  
   ```bash
   nmap -sV 192.168.1.1
   ```
3. **Capturar tráfico en Wireshark y filtrar por puertos:**  
   - Aplicar filtro: `tcp.port == 80`  

---

### **🕛 Cuarta Hora: Seguridad y Explotación de Puertos**  
⏳ **Duración:** 60 min  

✅ **Riesgos en servicios mal configurados**  
- Puertos abiertos innecesarios  
- Servicios sin cifrado (FTP, Telnet)  
- **Escenarios de ataque (SSH Brute Force, SMB exploits)**  

🛠 **Ejercicio Práctico: Hardening y Cierre de Puertos**  
1. **Cerrar un puerto en Windows:**  
   ```powershell
   netsh advfirewall firewall add rule name="Block 3389" dir=in action=block protocol=TCP localport=3389
   ```
2. **Cerrar un puerto en Linux:**  
   ```bash
   sudo iptables -A INPUT -p tcp --dport 22 -j DROP
   ```

✅ **Práctica Final**  
- **Escanear puertos de una máquina y reportar hallazgos**  
- **Recomendar medidas de seguridad**  

---

### **📌 Conclusión y Evaluación**  
⏳ **Duración:** 15 min  
- Resumen de los conceptos clave  
- Preguntas y respuestas  
- Breve evaluación con casos prácticos  

---

### **🛠 Recursos Adicionales**  
📌 **Guía de puertos y servicios:** [IANA Port Numbers](https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml)  
📌 **Laboratorio de Nmap:** [Nmap Cheat Sheet](https://nmap.org/book/man.html)  
📌 **Ejemplos en Wireshark:** [Wireshark Filters](https://wiki.wireshark.org/DisplayFilters)  

---
#Ejemplos Practicos

---

# **📌 Protocolos de Red Explicados Paso a Paso**  
💡 **Objetivo:** Comprender el funcionamiento de los principales protocolos de red y su importancia en la comunicación entre dispositivos.  

## **1️⃣ UDP (User Datagram Protocol)**
### **📌 Definición**
UDP es un protocolo de transporte **sin conexión** y **no confiable**. No garantiza la entrega de los paquetes ni que lleguen en orden, pero es más rápido que TCP porque no requiere establecer una conexión antes de enviar datos.  

### **📌 Características**  
✅ No requiere confirmación de recepción.  
✅ Bajo consumo de recursos.  
✅ Se usa en aplicaciones en tiempo real (videollamadas, juegos en línea, VoIP).  

### **📌 Ejemplo**
Imagina que estás viendo un video en **YouTube** o haciendo una videollamada en **WhatsApp**. Si un paquete de datos se pierde, no es necesario retransmitirlo, ya que el video sigue reproduciéndose sin interrupciones.  

### **📌 Ejemplo Práctico con Netcat**
Para enviar un mensaje con UDP desde una terminal Linux:  
1. **Abrir un servidor UDP en el puerto 9999:**  
   ```bash
   nc -lu 9999
   ```
2. **Desde otra terminal, enviar un mensaje:**  
   ```bash
   echo "Hola UDP" | nc -u 127.0.0.1 9999
   ```

---

## **2️⃣ TCP (Transmission Control Protocol)**
### **📌 Definición**
TCP es un protocolo de transporte **orientado a conexión** y **confiable**. Antes de enviar datos, establece una conexión y garantiza la entrega de los paquetes en orden y sin errores.  

### **📌 Características**  
✅ Garantiza la entrega de los datos.  
✅ Divide los datos en segmentos y los ordena correctamente.  
✅ Se usa en servicios como HTTP, HTTPS, FTP y SSH.  

### **📌 Ejemplo**
Cuando descargas un archivo de **Google Drive**, TCP asegura que cada parte del archivo llegue completa y en el orden correcto.  

### **📌 Ejemplo Práctico con Netcat**
1. **Abrir un servidor TCP en el puerto 8080:**  
   ```bash
   nc -l 8080
   ```
2. **Desde otra terminal, enviar un mensaje:**  
   ```bash
   echo "Hola TCP" | nc 127.0.0.1 8080
   ```

---

## **3️⃣ DNS (Domain Name System)**
### **📌 Definición**
El **DNS** traduce nombres de dominio (como `www.google.com`) en direcciones IP (`142.250.72.196`), permitiendo que los navegadores encuentren sitios web.  

### **📌 Características**  
✅ Es un protocolo de **capa de aplicación**.  
✅ Usa **UDP en el puerto 53** para consultas rápidas.  
✅ Usa **TCP en el puerto 53** si la respuesta es muy grande.  

### **📌 Ejemplo**
Cuando escribes `www.facebook.com` en tu navegador, el DNS busca su dirección IP para conectarse al servidor de Facebook.  

### **📌 Ejemplo Práctico con nslookup**
Para consultar la dirección IP de un dominio en Windows/Linux:  
```bash
nslookup google.com
```

---

## **4️⃣ ARP (Address Resolution Protocol)**
### **📌 Definición**
El protocolo **ARP** traduce una dirección **IP** en una dirección **MAC** dentro de una red local.  

### **📌 Características**  
✅ Funciona en la **capa de enlace de datos**.  
✅ Usa difusión (broadcast) para preguntar "¿Quién tiene esta IP?" y obtener la dirección MAC correspondiente.  

### **📌 Ejemplo**
Tu computadora quiere enviar datos a `192.168.1.10`, pero primero debe conocer la dirección **MAC** de esa IP. Usa ARP para preguntarlo.  

### **📌 Ejemplo Práctico con ARP**
Para ver la tabla ARP en Windows/Linux:  
```bash
arp -a
```

---

## **5️⃣ ¿Qué es SYN, RST en TCP?**
TCP usa **flags** (banderas) para controlar las conexiones.  

### **📌 SYN (Synchronize)**
✅ Es el primer paquete en la conexión **TCP de 3 vías (Three-way handshake)**.  
✅ Se usa para establecer una conexión.  

🔹 **Ejemplo**: Cuando abres un sitio web, tu computadora envía un paquete **SYN** al servidor para iniciar la comunicación.  

```bash
sudo hping3 -S -p 80 google.com
```

---

### **📌 RST (Reset)**
✅ Se usa para **terminar una conexión TCP abruptamente**.  
✅ Ocurre cuando un servidor o cliente no quiere aceptar una conexión.  

🔹 **Ejemplo**: Si intentas conectarte a un servicio que no está disponible, el servidor envía un **RST** para rechazar la conexión.  

```bash
sudo hping3 -R -p 80 google.com
```

---

# **📌 Conclusión**
🔹 **UDP** es rápido pero no confiable.  
🔹 **TCP** es confiable pero más lento.  
🔹 **DNS** traduce nombres de dominio en direcciones IP.  
🔹 **ARP** traduce direcciones IP en MAC.  
🔹 **SYN y RST** controlan el establecimiento y cierre de conexiones en TCP.  

---
# **Clase de 4 Horas: Análisis de Puertos, Servicios y Tráfico de Red con Wireshark**  
💡 **Objetivo:** Comprender detalladamente los protocolos de red (UDP, TCP, DNS, ARP, ICMP), sus flags y analizar tráfico en Wireshark con ejemplos prácticos.  

---

## **📌 1️⃣ ICMP (Internet Control Message Protocol)**  
### **📌 Definición**  
ICMP es un protocolo de red utilizado para enviar mensajes de control y diagnóstico. Es fundamental para herramientas como `ping` y `traceroute`.  

### **📌 Características**  
✅ **No transporta datos de usuario**, solo mensajes de error o control.  
✅ Funciona en la **Capa de Red (OSI)**.  
✅ Se usa para **detectar disponibilidad y latencia de una red**.  

### **📌 Tipos de Mensajes ICMP**  
| **Tipo** | **Código** | **Descripción** |
|----------|-----------|----------------|
| 0        | 0         | **Echo Reply** (Respuesta a `ping`) |
| 3        | 0-15      | **Destino inalcanzable** |
| 5        | 0-1       | **Redirección de ruta** |
| 8        | 0         | **Echo Request** (`ping`) |
| 11       | 0-1       | **Tiempo excedido (TTL expirado)** |

---

### **📌 2️⃣ Comandos para Analizar ICMP**
### **📌 Ping a Google**
```bash
ping google.com
```
🔹 **Explicación:**  
- Tu PC envía un **ICMP Echo Request** a Google.  
- Google responde con un **ICMP Echo Reply**.  

🔹 **Wireshark:**  
- Filtro para capturar solo tráfico ICMP:  
  ```
  icmp
  ```
- Observa el campo **Type** (8 = Request, 0 = Reply).  

---

### **📌 3️⃣ Análisis de Tráfico con Wireshark**
🛠 **Wireshark** permite capturar y analizar tráfico de red en detalle.  

### **📌 Instalación**  
📌 **Linux**  
```bash
sudo apt install wireshark
```
📌 **Windows**  
- Descargar desde: [Wireshark.org](https://www.wireshark.org/download.html)  

---

### **📌 4️⃣ Captura de Paquetes en Wireshark**
1️⃣ **Abrir Wireshark**.  
2️⃣ Seleccionar la **interfaz de red** activa.  
3️⃣ Aplicar **filtros** para analizar tráfico específico.  

🔹 **Ejemplo de filtros útiles:**  
| **Filtro**        | **Descripción** |
|-------------------|----------------|
| `icmp`           | Solo tráfico ICMP (`ping`) |
| `arp`            | Mensajes ARP |
| `tcp.port == 80` | Captura tráfico HTTP |
| `udp.port == 53` | Captura tráfico DNS |
| `ip.src == 192.168.1.10` | Filtra paquetes de una IP específica |

---

### **📌 5️⃣ Análisis con Wireshark: Simulación de Ataques**
📌 **Ejemplo 1: Ataque ICMP Flood**  
```bash
hping3 -1 --flood -p 80 192.168.1.1
```
🔹 **Efecto:** Saturar la red con paquetes ICMP.  
🔹 **Wireshark:** Se verá un **flujo masivo de Echo Requests**.  

📌 **Ejemplo 2: Escaneo de Puertos con Nmap**  
```bash
nmap -sP 192.168.1.1/24
```
🔹 **Wireshark:**  
- Filtrar con `icmp or arp` para ver la detección de dispositivos en la red.  

📌 **Ejemplo 3: Captura de DNS Requests**  
```bash
nslookup google.com
```
🔹 **Wireshark:**  
- Aplicar filtro: `dns`  
- Ver cómo el cliente pregunta `A google.com` y obtiene su IP.  

---

# **📌 Conclusión**  
✔ **ICMP** es clave para diagnóstico de red.  
✔ **Wireshark** es una herramienta esencial para el análisis forense de tráfico.  
✔ Se pueden **identificar ataques** como DoS, escaneos y tráfico anómalo.  
___

# **Clase de 4 Horas: Puertos, Servicios y Análisis de Tráfico de Red con Wireshark**  

📌 **Objetivo:** Comprender detalladamente los protocolos de red (UDP, TCP, DNS, ARP, ICMP), sus flags y analizar tráfico con Wireshark.  

---

## **📌 1️⃣ Fundamentos de Puertos y Servicios de Red**  
### **📌 Definición de Puertos de Red**  
Un **puerto de red** es un número lógico asignado a un servicio específico en un dispositivo dentro de una red. Funciona como un punto de comunicación dentro de una máquina.  

📌 **Ejemplo:**  
Cuando accedes a un sitio web, tu navegador usa el puerto **80 (HTTP)** o **443 (HTTPS)** para comunicarse con el servidor.  

### **📌 Clasificación de Puertos**  
| **Rango**         | **Uso** | **Ejemplo** |
|-------------------|--------|-------------|
| 0 - 1023         | **Puertos bien conocidos** | HTTP (80), HTTPS (443), DNS (53) |
| 1024 - 49151     | **Puertos registrados** | SQL Server (1433), RDP (3389) |
| 49152 - 65535    | **Puertos dinámicos/privados** | Sesiones temporales de aplicaciones |

---

## **📌 2️⃣ Protocolos de Red y su Funcionamiento**  
Un **protocolo de red** es un conjunto de reglas que rige la comunicación de datos entre dispositivos.  

### **📌 Modelo OSI y Capas de Protocolo**  
El modelo OSI divide la comunicación en 7 capas para estructurar el tráfico de red.  

| **Capa** | **Protocolo** | **Ejemplo** |
|----------|-------------|-------------|
| 7. Aplicación  | HTTP, FTP, SMTP | Web, Email |
| 6. Presentación | TLS, SSL | Cifrado de datos |
| 5. Sesión | NetBIOS, RPC | Control de sesión |
| 4. Transporte | TCP, UDP | Control de flujo de datos |
| 3. Red | IP, ICMP, ARP | Enrutamiento y direcciones IP |
| 2. Enlace de Datos | Ethernet, Wi-Fi | Comunicación entre dispositivos locales |
| 1. Física | Cables, Wi-Fi | Transmisión de bits |

---

## **📌 3️⃣ Protocolo TCP (Transmission Control Protocol)**  
📌 **Definición:**  
TCP es un protocolo de la capa de transporte **orientado a conexión**, asegurando que los datos lleguen completos y en orden.  

📌 **Características:**  
✅ **Confiabilidad:** Reenvía datos perdidos.  
✅ **Control de flujo:** Evita saturación de la red.  
✅ **Ordenación de paquetes:** Reensambla datos en orden correcto.  

### **📌 Flags de TCP (Bits de control)**  
📌 **Los flags determinan el estado de una conexión TCP.**  

| **Flag** | **Función** | **Ejemplo en Wireshark** |
|----------|------------|-------------------------|
| SYN | Inicio de conexión | `tcp.flags.syn == 1` |
| ACK | Confirma recepción de datos | `tcp.flags.ack == 1` |
| FIN | Finaliza la conexión | `tcp.flags.fin == 1` |
| RST | Reinicia la conexión | `tcp.flags.rst == 1` |

📌 **Ejemplo de comunicación TCP (Three-Way Handshake)**  
1️⃣ Cliente envía **SYN** → "¿Podemos comunicarnos?"  
2️⃣ Servidor responde con **SYN-ACK** → "Sí, podemos"  
3️⃣ Cliente responde con **ACK** → "Confirmado"  

---

## **📌 4️⃣ Protocolo UDP (User Datagram Protocol)**  
📌 **Definición:**  
UDP es un protocolo de la capa de transporte **sin conexión**. No garantiza la entrega de paquetes, pero es más rápido que TCP.  

📌 **Ejemplo de uso:**  
- **Streaming de video/audio (Netflix, Spotify)**  
- **Gaming online** (baja latencia)  
- **DNS (Puerto 53)**  

📌 **Diferencias entre TCP y UDP**  

| **Característica** | **TCP** | **UDP** |
|--------------------|--------|--------|
| Orientado a conexión | ✅ Sí | ❌ No |
| Confiabilidad | ✅ Alta | ❌ Baja |
| Velocidad | ❌ Más lento | ✅ Más rápido |
| Uso | Web, Email, FTP | Streaming, Gaming |

---

## **📌 5️⃣ Protocolo ICMP (Internet Control Message Protocol)**  
📌 **Definición:**  
ICMP es un protocolo de la capa de red que **envía mensajes de error y control**.  

📌 **Funciones principales:**  
- **Ping:** Verifica si un host está disponible.  
- **Traceroute:** Muestra la ruta de los paquetes en la red.  
- **TTL Expired:** Indica que un paquete fue descartado antes de llegar a destino.  

📌 **Ejemplo de uso en Wireshark:**  
🔍 Filtro:  
```
icmp
```
---

## **📌 6️⃣ Protocolo ARP (Address Resolution Protocol)**  
📌 **Definición:**  
ARP se usa para **mapear direcciones IP a direcciones MAC** en redes locales.  

📌 **Ejemplo:**  
Un equipo necesita enviar datos a **192.168.1.10**, pero solo conoce la IP. ARP pregunta:  
📌 **¿Quién tiene la IP 192.168.1.10?**  
🔹 La respuesta devuelve la dirección MAC correspondiente.  

📌 **Ataques comunes:**  
❌ **ARP Spoofing:** Un atacante responde con una dirección MAC falsa para interceptar tráfico.  

📌 **Ejemplo en Wireshark:**  
🔍 Filtro:  
```
arp
```
---

## **📌 7️⃣ Captura y Análisis de Tráfico con Wireshark**  
📌 **Instalación en Linux:**  
```bash
sudo apt install wireshark
```
📌 **Ejemplo: Análisis de tráfico DNS**  
1️⃣ En Wireshark, aplicar filtro:  
```
dns
```
2️⃣ Ejecutar en terminal:  
```bash
nslookup google.com
```
🔍 **Wireshark mostrará la consulta DNS y la respuesta con la IP de Google.**  

📌 **Ejemplo: Captura de handshake TCP**  
1️⃣ Aplicar filtro en Wireshark:  
```
tcp.flags.syn == 1
```
2️⃣ Abrir una página web y observar los paquetes con SYN, SYN-ACK y ACK.  

---

## **📌 8️⃣ Simulación de Ataques y Análisis en Wireshark**  
📌 **Ejemplo: Ataque ICMP Flood**  
```bash
hping3 -1 --flood -p 80 192.168.1.1
```
🔍 **Wireshark mostrará cientos de solicitudes ICMP.**  

📌 **Ejemplo: Escaneo de Puertos con Nmap**  
```bash
nmap -sS 192.168.1.1
```
🔍 **Wireshark capturará paquetes SYN sin ACK, típico de un escaneo sigiloso.**  

---

## **📌 9️⃣ Conclusión y Recomendaciones**  
✅ **TCP y UDP** son fundamentales en las redes.  
✅ **ICMP y ARP** permiten diagnóstico y resolución de direcciones.  
✅ **Wireshark** es una herramienta poderosa para auditoría y seguridad.  
✅ **El análisis de tráfico ayuda a detectar ataques y vulnerabilidades.**  

