b4t9 - Seguridad en redes

Question 1

Qué hacne los siguientes tipos de cortafuegos?

Filtrado de paquetes
Circuit-level Gateway
Application level proxy o Proxy inverso
Stateful Inspection
Next Generation
DPI

Answer 1

• Filtrado de paquetes: Nivel de red, IPs y puertos), como iptables, firewalld, ..
• Circuit-level Gateway (a nivel de sesión. EJ en TCP)
• Application level proxy o Proxy inverso
• Stateful Inspection ( Ej IPtables Conntrack): actuan en función del tráfico pasado
• Next Generation: (IPS, WAF-web application firewall, UTM-Unified Threath Magement)
• DPI Deep packet inspection

Question 2

Cómo se llama el firewall de Linux, que viene en el kernell?

Answer 2

Netfilter: aplicar reglas al tráfico

Para poder administrarlo tendremos los comandos/herramientas

iptables -> fue el primero y más complejo
firewalld (comando firewalld-cmd)
nftables
ufw (uncomplicated firewall)

Question 3

4 Productos de firewalls Aplication Level Gateway o Proxy Inverso

Answer 3

Squid
Nginx
Varnish
HAProxy

Question 4

Qué es el UTM dentro de los conrtafuegos de next gen?

Answer 4

Unified Threat Management: Herramientas que tienen de todo, antivirus, cortafuegos, antispam, antiphising….

Question 5

Qué es IDS dentro de los cortafuegos de next gen?

Answer 5

Intrusion Detection System: Sólo monitorizan redes o sistemas para detectar e informar de actividades o accesos no autorizados.
Son pasivos,

Question 6

Qué es IPS dentro de los cortafuegos de next gen?

Answer 6

Intrusion Prevention System: monitorizan redes o sistemas para detectar e intentar impedir actividades o accesos no autorizados.
Son activos

Question 7

Qué es el WAF dentro de los cortafuegos de next gen?
Cuál sería un ejemplo de Apache?

Answer 7

Web Application Firewal
Seguridad a nivel de software para web (cross site encrypting, sql injection,DDoS…)

EJ: Como el module de Apache . ModSecurity. Este producto tiene una lista de reglas core (CRS) basada en la que prepara el OWASP con e top10 vulnerabilities

Question 8

Tipos de IDS, según si vigilan la red o vigilan un host

Answer 8

NIDS
HIDS

Question 9

Qué son los siguientes tipos de IPS, en función del tipo de acción que toman

NIPS
WIPS
NBA
HIPS

Answer 9

NIPS: Network based intrusion systems
HIPS: Host based intrusion prevention systems
WIPS: Wireless intrusion prevention systems
NBA: Network behaviour analysys

Question 10

Productos IPS

Answer 10

• Snort
• Suricata
• OSSEC
• Bro
• Fail2ban
• Sagan
• AIDE
• Samtrain

Question 11

Qué son los IDS de tipo SIEM?
Nombra productos

Answer 11

Gestión de eventos e información de seguridad: Recopila información de múltiples orígenes y aplica técnicas de inteligencia para su explotación.
Lo importante es que la info que recoge y que indexa, tiene que ser normalizada y correlacionada por un administrador, para sacar información de alto nivel (eventos) a partir de los logs de bajo nivel

Como Gloria y Mónica del CCN, OSSIM, Qradar, ELK, Metron

Question 12

Qué es un IDS de tipo Honeypot?

Answer 12

Sistema separado de la red real con vulnerabilidades para atraer y estudiar ataques

Question 13

Qué es un Bastion Host en las arquitecturas de seguridad perimetral?

Answer 13

Es un servidor que al estar expuesto hay que securizarlo

Question 14

En qué consiste la arquitectura de seguridad perimetral DMZ?

Answer 14

Demilitarized Zone:
Separación de itnernet con la red interna, dejando una zona para temas que no necesitan mucha seguridad, como DNS
Dos routers, uno interno y otro externo.
El externo da acceso a lo que está a la DMZ desde el exterior.

Question 15

Qué es y para qué sirven las VPN

Answer 15

Redes privadas virtuales. Para reducir costes por necesitar menos líneas dedicadas

Deben ofrecer mecanismos de autenticación, confidencialidad e integridad

Question 16

Qué dos tipos de VPN hay?

Answer 16

Acceso remoto: Desde el cliente, haciendo uso del cliente vpn, atravesando internet hasta el servidor vpn (que tiene el concentrador o terminal vpn)

De sitio a sitio: el tunel va de router a router, a través de internet. De los routers hacia dentro no hay tunel

De equipo a equipo: Entre tu equipo cliente a un solo equipo servidor

Question 17

Qué es VPNaaS

Answer 17

VPN as a service: solución vpn para la nube, para acceder a servicios en la nube o para redes corporativas

Question 18

Qué protocolos se suelen usar en VPNs de sitio a sitio

Answer 18

Familia IPSec
GRE (IP protocol field = 47) no seguro

Question 19

Qué protocolos se suelen usar en VPNs de acceso remoto?

Answer 19

L2TP ( + IPSec -> encriptación y autenticación)
L2F (no encripta)
PPTP (encriptación(si usa MPPE) y autenticación)
SSL (OpenVPN)
SSH
SSTP (SSL) -> Secure Socket Tunneling Protocol

Question 20

Qué son PAP, CHAP y EAP?

Answer 20

Mecanismos de autenticación que usa L2TP ya que lo hereda de PPP

PAP -> Password Authentication Protocol -> Envía la password en claro.

CHAP -> Challenge-Handshake Authentication Protocol (El servidor pide al cliente hacer un reto, un cálculo con MD5, el reto y la secret, así no hace falta enviar la password

EAP -> Extensible Authentication Protocol -> Con certificados digitales

Question 21

Servidores de autenticación, que se usa por ejemplo en el terminal de VPN para poder autenticarte con la vpn? Son sistemas AAA -> Autenticación, Autorización y Contabilizacion (de recursos)

Answer 21

RADIUS
Kerberos
TACACS+
Diameter

Question 22

Qué tipos de VPN hay y qué protocolos usan en función de su nivel?

Answer 22

Nivel de aplicación: SSH
Nivel de transporte: SSL/TLS –> OpenVPN
Nivel de red: IPSec (AH, ESP e IKE)
Nivel de enlace: PPTP, L2TP, L2F

Question 23

Además de las VPN a nivel de red (IPSec), que hemos visto, están las VPN a nivel de aplicación (SSH por ej), y las VPN a nivel de enlace. En estás últimas qué protocolo maneja actualmente y cuáles no por inseguros?

Answer 23

Se recomienda MACSec,, que usa el protocolo MKA (Macsec Key Agreement)
y ya se evitan PPTP, L2F y L2TP

Question 24

Qué es OpenVPN?

Answer 24

Es el estándar hoy en día de tunel VPN, es una solución opensource, que usa protocolos de encriptación SSL/TLS, IPSec,…

Question 25

Qué es SSTP en el muno de la VPN?

Answer 25

Secure Socket Tunneling Protocolol
Otra solución VPN se usa hoy en día, más novedosa que OpenVPN, también basado en SSL

Question 26

Qué es SSTP en el muno de la VPN?

Answer 26

Secure Socket Tunneling Protocolol

Question 27

Productos VPN

Answer 27

OpenVPN
SSTP
WireWard
SoftEther

Question 28

Mirar el tema de firma y encriptación en la ficha de GSI de este tema

Question 29

Mirar y hacer alguna tarjeta de los documentos del chat de la sesión de segunda vuelta de la semana 46

Question 30

Que es el CVE en el mundo de la seguridad?

Answer 30

Common Vunerability Exposure: Entrada en el catálogo con todas las vulnerabilidades conocidas, asociadas a un cierto software.
Lo mantiene Mitre Corporation

Question 31

Qué es el CWE en el mundo de la seguridad y en qué se diferencia de CVE?

Answer 31

Common Weakness Enumeration: Vulnerabilidad catalgoda, pero a diferencia de una CVE, no está asociada a ningún software concreto

Question 32

Qué es una vulnerabilidad de día cero?

Answer 32

Vulnerabilidad recién descubierta y que todavía no se ha catalogado

Question 33

IMPORTANTE Leer el artículo de IPSec del b4t9

Answer 33

https://zbrain-academy.es/pluginfile.php/76611/mod_resource/content/1/ipsec.pdf

Question 34

Qué 3 protocolos son los de la familia IPSec?

Answer 34

AH- Authentication Header-> es una cabecera de autenticación, no garantiza la confidencialidad por sí mismo
ESP-Encapsulating Security Payload
IKE- Internet Key Exchange. Ya va por IKEv2

Question 35

En qué consiste y qué garantiza el protocolo AH
Campos importantes ICV y SA

Answer 35

Protocolo de la familia IPSec que consiste en una cabecera de autenticación
Garantiza integridad, autenticidad del origen y evita ataques REPLAY
El funcionamiento es que le añade una cabecera AH al paquete IP

Sus campos importantes son
- ICV - Integrity Check Value (código HMAC del payload. Para que en el router origen y destino se tenga la clave necesaria para el HMAC hay varias estrategias, una es tener misma clave compartida en los dos extremos, y otra es usar IKE para intercambiar claves)
- Sequence number
- Security Parameteres Index (Identifica los parámetros de seguridad y junton con la IP determinan la SA -> Asociación de Seguridad)

Question 36

Qué es una SA (Security Association) en IPSec?

Answer 36

Es una asociación de seguridad entre dos routers en los tuneles VPN de sitio a sitio. En las topologías donde hay varios routers que tunelizar, por ejemplo, cada router tendrá una SA distinta con cada uno de los routers habrá una SA distinta, ya que es la IP + los parámetros de seguridad establecidos para ese tunel

Question 37

En qué consiste y qué garantiza el protocolo ESP

Answer 37

Encapsulating Security Payload.

Protocolo de la familia IPSec que a lo que ofrece AH le suma el cifrado
Garantiza confidencialidad (cifrando el payload) y además integridad, autenticidad del origen
El funcionamiento es que añade una cabecera ESP al paquete IPS y además encripta el contenido

Sus campos importantes son
Security Parameters Index
Sequence number
Payload Data (cifrado con 3DES/AES)
Autenticación Data (HMAC)

Question 38

En qué consiste el protocolo IKE?

Answer 38

Protocolo para intercambio de claves (con DH-DiffieHellman), autenticación entre pares y gestión de las SA (Asociaciones de seguridad)
IKE2
ISAKMP
OAKLEY

Question 39

La familia de protocolos IPSec AH y ESP tienen dos modos de funcionamiento: modo túnel y modo transporte.
En qué se diferencian?

Answer 39

Modo túnel: Se añade una cabecera IP más, por lo que se toca el enrutamiento, y se autentica, encripta o lo que sa según se use AH o ESP.. todo el paquete IP original
Modo transporte: O host-to-host -> Sólo se atentica, cifra o lo que sea.. según sea AH o ESP.. el payload del paquete IP, la cabecera IP con el enrutamiento no se toca

Question 40

Servidores de VPN

Answer 40

Fortinet
Sonicwall