b4t8 - HTTP, SSL Flashcards
fQué tipo de protocolos de enrutamiento se da entre sistemas autónomos de la capa Tier1 de internet? y entre el resto?
Protocolos de interior (IGP) entre SA de tier1
Protocolos de exterior (EGP) entre el resto
En la jerarquía de sistemas autónomos de internet, qué capas hay y qué tipo de SA hay en cada una?
Tier1 -> SA llamados backbone, tienen redes con alcance internacional (AT&T, Telxius (filial de Telefónica))
Tier2 -> SA regionales (Brithis Telephone)
Tier3 -> ISPs locales
Qué tipo de protocolos de enrutamiento se da entre sistemas autónomos de la capa Tier1 con capa Tier2 que no estén en la misma red?
Qué es el número de SA?
Un número de sistema autónomo que asigna la IANA a todo ISP (de cualquier tier)
Qué tipo de acuerdos se dan entre SA de tier1?
Acuerdos de peering, que no tienen coste entre ellos.
Qué son los acuerdos de tránsito?
Son acuerdos económicos que se dan entre SA de distintas tier, que permiten a los de la tier inferior acceder a SA fuera de la red del SA de Tier1 al que pertenecen jerárquicamente.
Qué es un punto IXP?
3 ejemplos
Internet Exchange Point. Son los llamados puntos de acceso neutro. Es una infraestructura que usan los ISPs para compartir tráfico entre sus redes sin tener que recurrir siempre a su SA del tier superior, y abaratar costes, ya que es gratis, son acuerdos de tipo peering . Lo usan tanto SA de tier2 como tier3
DE-CIX (Francfurt)
ESPANIX
CATNIX
Qué es una CDN?
2 ejemplos
Una red de entrega de contenidos. Son proveedores que ofrecen una red de servidores distribuidos por todo el mundo, donde se despliega una réplica de tu web, aplicación, etc… para entregar contenido de la forma más rápida posible.
Cloudfare, Akamai
Nombra 3 productos servidores http
Apache HTTP Server
Nginx
Internet Information Server (IIS)
Qué 3 características tiene el protocolo HTTP?
- Sin estado
- Orientado a caracter (viajan caracteres que hay que interpretar)
- Modelo request-response
Cuáles son los métodos seguros de HTTP? Qué significa que sean seguros?
Son los verbos que no modifican el recurso
GET
HEAD
OPTIONS
TRACE
Qué significan los métodos HTTP siguientes?
* GET
* HEAD
* PUT
* POST
* PATCH
* TRACE
* OPTION
* DELETE
* CONNECT
- GET
- HEAD -> Obtener solo headers
- PUT -> Crea o reemplaza el recurso
- POST -> Envía datos a la URL
- PATCH -> Modificaciones parciales
- TRACE -> echo
- OPTIONS ->métodos que soporta la URL. Se responde con la cabecera Allow, donde lista los métodos válidos
- DELETE
- CONNECT -> tunel http a través de un proxy
Cuáles son los métodos idempotentes de HTTP? Qué significa que sean idempotentes?
Son los que tienen el mismo resultado cada vez que se ejecutan
GET
HEAD
PUT -> Porque reemplaza
TRACE
OPTIONS
DELETE -> Porque el resultado siempre es el mismo, el recurso está borrado
Cuáles son los métodos NO idempotentes?
POST
PATCH
CONNECT
La URL es un tipo de URI o viceversa?
Las URIs pueden ser
URL -> para localizar el recurso (http://…./..)
URN -> para identificar el recurso (urn:isbn:444-abc-123)
Qué es WEBDAV en HTTP?
Extensión de verbos HTTP para manejar el espacio de URLs como si fuese un file system remoto. Plugin que se instala en el servidor
- MKCOL
- COPY
- MOVE
- SEARCH
- LOCK …
Qué hacen estas cabeceras más importantes de request de HTTP, y qué valores típicos se les pasa?
-Authorithaztion
- Cache-control
- Accept
- Accept-Charset:
- Accept-Language
- Accept-Encoding
- Content-Type
- Content-Lenght
- Cookie
- Date
- Host
- Range
- Connection
- User-Agent
- Access-Control-Request_Method
- Authorithaztion: BASIC asjeIXke… / Bearer sdixnIDN …
- Cache-control: no-cache
- Accept: text/html -> tipos mime
- Accept-Charset: utf-8 -> conjunto de caracteres
- Accept-Language: es-ES -> idioma
- Accept-Encoding: gzip, deflate -> compresión
- Content-Type: mimetipe del body
- Content-Lenght: longitud del body
- Cookie: envía todas las del dominio
- Date
- Host: www.madrid.es -> dominio del host
- Range: bytes=500-599
- Connection: keep-alive
- User-Agent: identifica al browser
- Access-Control-Request_Method:GET -> política de seguridad CORS, para preguntarle al otro dominio si se le puede hacer una llamada con ese método (GET, POST, …) desde el dominio origen
Qué hacen estas cabeceras más importantes de response de HTTP, y qué valores típicos se les pasa?
- Set-Cookie: < cookie-name>asdfa< /cookie-name>
- Content-disposition
- Content-Encoding
- Content-Lenght
- Content-Range
- Date
- Location
- Las-Modified
- Transfer-Encoding
- Www-Authenticate
- Server:
-
Access-Control-Allow-Origin:
- Strict-Transport-Security - Content-Security-Policy
- Set-Cookie: < cookie-name>asdfa< /cookie-name> -> cabecera http con la que el servidor establece una cookie al cliente
- Content-disposition
- Content-Encodin: ggzip, .. -> encoding en el que va comprimido el contenido
- Content-Lenght
- Content-Range
- Date
- Location: url -> redirecciones http de cliente, por ejemplo para redireccionar a CAS para login
- Last-Modified
- Transfer-Encoding
- Www-Authenticate
- Server:
- Access-Control-Allow-Origin:
- Strict-Transport-Security
En que consiste el mecanismos de seguridad que tiene HTTP 1.1 de autorización?
Cabecera Authorization: Flujo ->
- cliente envia http request
- Servidor responde 401: Unauthorized
- Cliente muestra popup de usuario y contraseña
- Cliente envía http request, pero con cabecera Authorization: BASIC (usuario:password en Base64)
- Servidor responde con 200 OK o 403 Forbiden
Qué es un archivo de tipo .woff?
Un archivo WOFF es un archivo de fuentes web creado en el formato WOFF (Web Open Font Format), un formato abierto utilizado para entregar fuentes de páginas web
Formato de fuente que incluye de forma comprimida y con metadatos(xml) fuentes OpenType o TrueType
En qué consiste la política de seguridad CORS de HTTP 1.1?
Sirve para protegerse de llamadas a otros dominios cuando el navegador ha hecho una primera conexión a un dominio al que nos referimos como origin
- El navegador carga la página del origen, la cual pide un recurso de otro dominio.
- El navegador hace request OPTIONS al otro dominio, pero pasando en la cabecera de la request, en el campo Origin:el dominio del origen
- El otro dominio responde con la cabecera Access-Control-Allow-Origin: dominio origen (muchas veces tendrán un “*”, que serían todos)
- El navegador, si recibe esa cabecera con el dominio origen, carga el recurso, si no no.
De esta forma es imprescindible que el otro dominio tiene que tener configurado en el servidor el dominio de origen
Para qué sirve la técnica HSTS de HTTP?
Sirve para forzar al cliente si te accede por HTTP para cambiar a HTTPs
Se usa la cabecera Strict-Transport-Security
Para qué sirve la técnica CSP de HTTP?
Sirve para restringir desde qué orígenes se puede descargar el navegador ciertos recursos y así ayuda a prevenir y mitigar algunos tipos de ataque, incluyendo Cross Site Scripting ( XSS (en-US) ) y ataques de inyección de datos.
Se usa la cabecera Content-Security-Policy del servidor, donde establece por ejemplo script-src, img-src … = ‘self’ (para que solo se pueda descargar desde el mismo servidor de origen), ‘otro origen’ (para que solo se pueda descargar ese recurso desde ese otro origen que se haya establecido)
Para qué se usan los grupos de códigos HTTP de respuesta?
100
200
201
202
300
301
302
304
400
401
403
404
405
413
500
502
503
100 -> Informativos
200 -> OK
201 -> Created (se ha creado un nuevo recurso)
202 -> Accepted (se ha recibido pero no procesado, como un batch)
300 -> Redirecciones
301 -> se ha movido permanentemente
302 -> se ha movido temporalmente
304 -> no se ha modificado desde la última request
400 -> Bad Request - Problemas con la solicitud del cliente
401 -> No autorizado
403 -> Prohibido
404 -> Not found
405 -> Método no permitido
413 -> Request muy grande (body muy grande)
500 -> Interal error (genérico)
502 -> Bad gateway
503 -> Servicio no disponible
Qué diferencia principal hay entre HTTP1 y HTTP2
Ya no es un protocolo orientado a caracter, como http 1, sino binario, por lo que tiene un FRAME donde cada bit significa algo.
Se intercambian streams (flujos) que son secuencias de frames
Se aprovecha mucho el ancho de banda, ya que se mezclan frames de distintos flujos, por eso cada frame tiene un Stream identifier.
Los frames pueden llevar distinta información del recurso, por separado: los hay de tipo DATA, HEADER, …
Está basado en SPDY de Google
No requiere TLS, porque ya lo lleva implementado
Tiene ya la opción de que el servidor envíe al cliente mensajes PUSH
Qué añade HTTP 3 respecto a HTTP 2 principalmente?
Utiliza un protocolo que se llama QUIC (Quick UDP Internet Connections) que va sobre UDP
Cuáles son las tres dimensiones de la seguridad (CIA)
Confidencialidad: Que la información no pueda ser vista por terceros no deseados
Integridad: Garantizar que la información no ha sido modificada
Disponibilidad: La información está disponible
Cómo se garantiza la Confidencialidad de la información?
Con cifrado y descifrado con clave
Qué son los algoritmos simétricos de cifrado? En qué casos se usan?
Pon ejemplos de algoritmos
Son algoritmos que usan una sola clave para cifrar y descifrar la información.Son rápidos computacionales y por tanto se usan para cantidades grandes de información.
Tienen el problema de distribución de la clave de forma segura.
AES, 3DES, RC5, IDEA, Blowfish, Serpent …
Qué son los algoritmos asimétricos de cifrado? En qué casos se usan?
Pon ejemplos de algoritmos
Son algoritmos que usan dos claves, lo que hace una lo deshace la otra.
Son lentos, pero no tienen el problema de distribución de la clave, porque se distribuye la pública.
Por eso se suele usar cifrado asimétrico para compartir la clave de un algoritmo simétrico, y cifrar la información con el simétrico.
Diffie Hellman (DH), RSA DSA, EC (curvas elípticas)
Qué son los algoritmos de tipo MIC/HMAC? Para qué se usan? Qué diferencia hay entre ellos?
Qué necesitan como entradas para funcionar?
Ejemplos de algoritmos.
Son algoritmos que generan un resumen (resíduo) de la información (un hash)
El algoritmo MIC sólo necesita el mensaje, mientras que HMAC necesita el mensaje y una clave.
El receptor genera también el resumen, lo compara con el resumen del emisor y si coinciden significa que la información no ha sido modificada.
Tienen el problema de que no garantizan la autoría, si no garantizas que el hash del receptor no ha sido sustituido también junto con la información.
Ejemplos: SHA-1, SHA-2, SHA-3, MD5
Sirven para garantizar la Integridad
Cómo funciona la firma digital?
- Se genera un código MIC (hash) del documento, para garantizar la Integridad
- Se cifra el hash con la clave privada del emisor, para que así todos pueden comprobar con la clave pública del emisor, al desencriptar el hash, que coincide con el hash del documento que puede generar el receptor. Así se garantiza la autenticidad
Cómo funciona la firma digital?
- Se genera un código MIC (hash) del documento, para garantizar la Integridad
- Se cifra con la clave privada del emisor, para que sólo lo pueda firmar el emisor y no cualquiera con la pública del emisor, así se garantiza la Autenticidad
No se garantiza la Confidencialidad
Qué es un certificado X509v3?
Qué extensiones tienen esos archivos?
Documento firmado y emitido por una CA (autoridad de confianza) para un dominio o una persona
.cer / .pem -> (solo la parte pública del certificado). es en base64 con una cabecera y un pie
.pfx / .p12 -> parte pública + parte privada -> PKCS#12
Qué dos formas hay para que un certificado expedido por una CA no valga sólo para un dominio, sino que sea algo más flexible?
SAN (subjetct alternative name) -> en el certificado viene el nombre principal (20minutos.es) y alternativas, para las subpáginas, o intranet, etc…
wildcard, como asterisco, para todos
Qué hace el navegador para validar el certificado x509 del servidor?
- Comprueba el periodo de validez
- Que el dominio del certificado coincide con el dominio de donde se ha descargado
- Comprueba que está bien firmado
- Comprueba si la CA está registrada en sus almacenes de confianza
- Comprueba si está revocado (mediante le protocolo OCSP en base al nº de serie, o contra una lista CRL de revocaciones)
Qué dos capas tiene el protocolo TLS?
- Higher layer Subprotocol
- TLS Record Subprotocol -> Es la capa que garantiza la seguridad (CIA )
Qué subprotocolos transporta la capa Higher layer suprotocol de TLS, en el campo record protocol?
- Change cipher spec (20)
- Alert (21)
- Handshake (22)
- Application Data (23)
- Heartbit (24)
El handshake de SSL / TLS, se hace antes o después del handshake TCP?
Se hace después del 3-way handshake de TCP
En qué consiste el handshake básico de SSL / TLS para autenticar al servidor?
- Client hello: versión de SSL, lista de suites de cifrado, nº aleatorio, extensiones
- Server hello: suite de cifrado elegida, certificado del servidor, nº aleatorio, session id, lista de CAs que reconoce, extensiones.
- Intercambio PRE-Master: El cliente valida el certificado, saca la clave pública del servidor y con ella cifra la clave de sesión (premaster). Envía al servidor la clave de sesión cifrada con la clave pública del servidor, sacada del certificado del servidor.
- Generación Master Secret en ambos lados: Con la clave de sesión y otras informaciones que tienen ambos, ambos pueden generar la clave simétrica. Ya tienen la clave simétrica para empezar a compartir información.
En java, en qué fichero se almacenan las CA?
JAVA_HOME/jre/lib/security/certs
En java, qué ficheros son equivalentes a los .cert o .p12?
El formato de java JKS (Java Key Store), que tienen claves públicas, privadas, CAs adicionales, …
Se configuran en javax.net.ssl.KeyStore / KeyStorePassword y
javax.net.ssl.TrustStore / TrustStorePassword
Cuáles son las 3 políticas de seguridad en HTTP
CORS
CSP -> Content-Security-Policy
HSTS -> Strict Transport Security
Cuáles son las 3 políticas de seguridad en HTTP
CORS
CSP -> Content-Security-Policy
HSTS -> Strict Transport Security
Qué es el formato PEM, de los ficheros con extensión .pem, .cer, etc?
Privacy-enhanced mail. Es un formato de exportación en base64, que sirve para exportar certificados, claves públicas, etc… Tiene una cabecera, el cuero y un pie
Qué es DER o BER?
Distinguished Encoding Rules (DER). The Basic Encoding Rules (BER). Se usa en ASN1, entre otras cosas, que es Abstract Syntax Notation One (notación sintáctica abstracta 1, ASN.1) es una norma para representar datos independientemente de la máquina que se esté usando y sus formas de representación internas.
Formato de exportación, pero con una serialización binaria (cada dígito significa algo ya convenido)
Qué son POODLE / BEAST / SWEET32 / CRIME
Vulnerabilidades SSL. Leer sobre ellas –>
Vulnerabilidad de ataque POODLE
El ataque POODLE (lo cual significa “Padding Oracle On Downgraded Legacy Encryption”, CVE-2014-3566) es un “exploit” del tipo “ataque de intermediario” (MITM) que permite a un intruso, descifrar contenido selectivo dentro de la sesión SSL.
Variaciones de la vulnerabilidad afectan TLS porque un ataque activo MITM puede forzar al navegador a degradar la sesión a SSLv3, el cual puede ser atacado.
Vulnerabilidad de ataque BEAST
El ataque BEAST, reportado como CVE-2011-3389, aprovecha la debilidad en el modo de cifrado CBC (cipher-block chaining) de SSL/TLS, permitiendo a un atacante MITM recuperar cierta información de la sesión, tales como datos sobre “cookies” de lo que debería ser una conexión segura.
Vulnerabilidad de ataque SWEET32
El ataque “SWEET32” (asignado como CVE-2016-2183), aprovecha el ataque de colisión en el protocolo SSL/TLS que soporta las suites de cifrado que usan bloque de 64 bits para extraer texto plano de los datos cifrados, cuando es utilizado el modo de cifrado CBC.
Vulnerabilidad CRIME (“Compression Ratio Info-leak Made Easy”
Permite al atacante llevar a cabo el secuestro de una sesión web autenticada, permitiendo así lanzar otros ataques.
Qué almacena el fichero PKCS#8?
Formato de exportación en PEM/Base64 de la clave privada (con o sin encriptación de la misma)
Cuáles han sido las versiones de SSL y TLS?
SSL 1.0 – nunca se ha publicado debido a problemas de seguridad.
SSL 2.0 – lanzado en 1995. Desaparecido en 2011. Ha tenido problemas de seguridad.
SSL 3.0 – lanzado en 1996. Se depreció en el 2015. Ha tenido problemas de seguridad.
TLS 1.0 – lanzado en 1999 como una actualización a SSL 3.0. La depreciación prevista para el año 2020.
TLS 1.1 – publicado en 2006. La depreciación prevista para el año 2020.
TLS 1.2 – publicado en 2008.
TLS 1.3 – lanzado en 2018.
En SSL puede se autenticar el cliente?
Sí en el modo de mutual authentication o 2-way authentication
