b4t9 - Seguridad en redes Flashcards
Qué hacne los siguientes tipos de cortafuegos?
Filtrado de paquetes
Circuit-level Gateway
Application level proxy o Proxy inverso
Stateful Inspection
Next Generation
DPI
- Filtrado de paquetes: Nivel de red, IPs y puertos), como iptables, firewalld, ..
- Circuit-level Gateway (a nivel de sesión. EJ en TCP)
- Application level proxy o Proxy inverso
- Stateful Inspection ( Ej IPtables Conntrack): actuan en función del tráfico pasado
- Next Generation: (IPS, WAF-web application firewall, UTM-Unified Threath Magement)
- DPI Deep packet inspection
Cómo se llama el firewall de Linux, que viene en el kernell?
Netfilter: aplicar reglas al tráfico
Para poder administrarlo tendremos los comandos/herramientas
iptables -> fue el primero y más complejo
firewalld (comando firewalld-cmd)
nftables
ufw (uncomplicated firewall)
4 Productos de firewalls Aplication Level Gateway o Proxy Inverso
Squid
Nginx
Varnish
HAProxy
Qué es el UTM dentro de los conrtafuegos de next gen?
Unified Threat Management: Herramientas que tienen de todo, antivirus, cortafuegos, antispam, antiphising….
Qué es IDS dentro de los cortafuegos de next gen?
Intrusion Detection System: Sólo monitorizan redes o sistemas para detectar e informar de actividades o accesos no autorizados.
Son pasivos,
Qué es IPS dentro de los cortafuegos de next gen?
Intrusion Prevention System: monitorizan redes o sistemas para detectar e intentar impedir actividades o accesos no autorizados.
Son activos
Qué es el WAF dentro de los cortafuegos de next gen?
Web Application Firewal
Seguridad a nivel de software para web (cross site encrypting, sql injection,DDoS…)
EJ: Como el module de Apache . ModSecurity. Este producto tiene una lista de reglas core (CRS) basada en la que prepara el OWASP con e top10 vulnerabilities
Tipos de IDS, según si vigilan la red o vigilan un host
NIDS
HIDS
Qué son los siguientes tipos de IPS, en función del tipo de acción que toman
NIPS
WIPS
NBA
HIPS
NIPS: Network based intrusion systems
HIPS: Host based intrusion prevention systems
WIPS: Wireless intrusion prevention systems
NBA: Network behaviour analysys
Productos IPS
- Snort
- Suricata
- OSSEC
- Bro
- Fail2ban
- Sagan
- AIDE
- Samtrain
Qué son los IDS de tipo SIEM?
Nombra productos
Gestión de eventos e información de seguridad: Recopila información de múltiples orígenes y aplica técnicas de inteligencia para su explotación.
Lo importante es que la info que recoge y que indexa, tiene que ser normalizada y correlacionada por un administrador, para sacar información de alto nivel (eventos) a partir de los logs de bajo nivel
Como Gloria y Mónica del CCN, OSSIM, Qradar, ELK, Metron
Qué es un IDS de tipo Honeypot?
Sistema separado de la red real con vulnerabilidades para atraer y estudiar ataques
Qué es un Bastion Host en las arquitecturas de seguridad perimetral?
Es un servidor que al estar expuesto hay que securizarlo
En qué consiste la arquitectura de seguridad perimetral DMZ?
Demilitarized Zone:
Separación de itnernet con la red interna, dejando una zona para temas que no necesitan mucha seguridad, como DNS
Dos routers, uno interno y otro externo.
El externo da acceso a lo que está a la DMZ desde el exterior.
Qué es y para qué sirven las VPN
Redes privadas virtuales. Para reducir costes por necesitar menos líneas dedicadas
Deben ofrecer mecanismos de autenticación, confidencialidad e integridad
Qué dos tipos de VPN hay?
Acceso remoto: Desde el cliente, haciendo uso del cliente vpn, atravesando internet hasta el servidor vpn (que tiene el concentrador o terminal vpn)
De sitio a sitio: el tunel va de router a router, a través de internet. De los routers hacia dentro no hay tunel
De equipo a equipo: Entre tu equipo cliente a un solo equipo servidor
Qué es VPNaaS
VPN as a service: solución vpn para la nube, para acceder a servicios en la nube o para redes corporativas
Qué protocolos se suelen usar en VPNs de sitio a sitio
Familia IPSec
GRE (IP protocol field = 47) no seguro
Qué protocolos se suelen usar en VPNs de acceso remoto?
L2TP ( + IPSec -> encriptación y autenticación)
L2F (no encripta)
PPTP (encriptación(si usa MPPE) y autenticación)
SSL (OpenVPN)
SSH
SSTP (SSL) -> Secure Socket Tunneling Protocol
Qué son PAP, CHAP y EAP?
Mecanismos de autenticación que usa L2TP ya que lo hereda de PPP
PAP -> Password Authentication Protocol -> Envía la password en claro.
CHAP -> Challenge-Handshake Authentication Protocol (El servidor pide al cliente hacer un reto, un cálculo con MD5, el reto y la secret, así no hace falta enviar la password
EAP -> Extensible Authentication Protocol -> Con certificados digitales
Servidores de autenticación, que se usa por ejemplo en el terminal de VPN para poder autenticarte con la vpn? Son sistemas AAA -> Autenticación, Autorización y Contabilizacion (de recursos)
RADIUS
Kerberos
TACACS+
Diameter
Qué tipos de VPN hay y qué protocolos usan en función de su nivel?
Nivel de aplicación: SSH
Nivel de transporte: SSL/TLS –> OpenVPN
Nivel de red: IPSec (AH, ESP e IKE)
Nivel de enlace: PPTP, L2TP, L2F
Además de las VPN a nivel de red (IPSec), que hemos visto, están las VPN a nivel de aplicación (SSH por ej), y las VPN a nivel de enlace. En estás últimas qué protocolo maneja actualmente y cuáles no por inseguros?
Se recomienda MACSec, y se evitan PPTP, L2F y L2TP
Qué es OpenVPN?
Es el estándar hoy en día de tunel VPN, es una solución opensource, que usa protocolos de encriptación SSL/TLS, IPSec,…
Qué es SSTP en el muno de la VPN?
Secure Socket Tunneling Protocolol
Otra solución VPN se usa hoy en día, más novedosa que OpenVPN, también basado en SSL
Qué es SSTP en el muno de la VPN?
Secure Socket Tunneling Protocolol
Productos VPN
OpenVPN
SSTP
WireWard
SoftEther
Mirar el tema de firma y encriptación en la ficha de GSI de este tema
Mirar y hacer alguna tarjeta de los documentos del chat de la sesión de segunda vuelta de la semana 46
Que es el CVE en el mundo de la seguridad?
Common Vunerability Exposure: Entrada en el catálogo con todas las vulnerabilidades conocidas, asociadas a un cierto software.
Lo mantiene Mitre Corporation
Qué es el CWE en el mundo de la seguridad y en qué se diferencia de CVE?
Common Weakness Enumeration: Vulnerabilidad catalgoda, pero a diferencia de una CVE, no está asociada a ningún software concreto
Qué es una vulnerabilidad de día cero?
Vulnerabilidad recién descubierta y que todavía no se ha catalogado
IMPORTANTE Leer el artículo de IPSec del b4t9
https://zbrain-academy.es/pluginfile.php/76611/mod_resource/content/1/ipsec.pdf
Qué 3 protocolos son los de la familia IPSec?
AH- Authentication Header-> es una cabecera de autenticación, no garantiza la confidencialidad por sí mismo
ESP-Encapsulating Security Payload
IKE- Internet Key Exchange. Ya va por IKEv2
En qué consiste y qué garantiza el protocolo AH
Protocolo de la familia IPSec que consiste en una cabecera de autenticación
Garantiza integridad, autenticidad del origen y evita ataques REPLAY
El funcionamiento es que le añade una cabecera AH al paquete IP
Sus campos importantes son
- ICV - Integrity Check Value (código HMAC del payload. Para que en el router origen y destino se tenga la clave necesaria para el HMAC hay varias estrategias, una es tener misma clave compartida en los dos extremos, y otra es usar IKE para intercambiar claves)
- Sequence number
- Security Parameteres Index (Identifica los parámetros de seguridad y junton con la IP determinan la SA -> Asociación de Seguridad)
Qué es una SA (Security Association) en IPSec?
Es una asociación de seguridad entre dos routers en los tuneles VPN de sitio a sitio. En las topologías donde hay varios routers que tunelizar, por ejemplo, cada router tendrá una SA distinta con cada uno de los routers habrá una SA distinta, ya que es la IP + los parámetros de seguridad establecidos para ese tunel
En qué consiste y qué garantiza el protocolo ESP
Encapsulating Security Payload.
Protocolo de la familia IPSec que a lo que ofrece AH le suma el cifrado
Garantiza confidencialidad (cifrando el payload) y además integridad, autenticidad del origen
El funcionamiento es que añade una cabecera ESP al paquete IPS y además encripta el contenido
Sus campos importantes son
Security Parameters Index
Sequence number
Payload Data (cifrado con 3DES/AES)
Autenticación Data (HMAC)
En qué consiste el protocolo IKE?
Protocolo para intercambio de claves (con DH-DiffieHellman), autenticación entre pares y gestión de las SA (Asociaciones de seguridad)
IKE2
ISAKMP
OAKLEY
La familia de protocolos IPSec AH y ESP tienen dos modos de funcionamiento: modo túnel y modo transporte.
En qué se diferencian?
Modo túnel: Se añade una cabecera IP más, por lo que se toca el enrutamiento, y se autentica, encripta o lo que sa según se use AH o ESP.. todo el paquete IP original
Modo transporte: O host-to-host -> Sólo se atentica, cifra o lo que sea.. según sea AH o ESP.. el payload del paquete IP, la cabecera IP con el enrutamiento no se toca
Servidores de VPN
Fortinet
Sonicwall