BLOQUE 4 - TEMA 9 - SEGURIDAD REDES Flashcards
Que hace un firewall ?
monitoriza el tráfico entrante y saliente. Decide si debe permitir o bloquear un tráfico específico
Como se llama el grupo de trabajo dentro del kernel de linux que proporciona funciones relacionadas con la manipulacion de paquetes de red ? (T)
Proyecto Netfilter
Con que comando podriamos aceptar el trafico HTTP entrante ? (T)
sudo iptables -A INPUT -p tcp –dport 80 -j ACCEPT
Esta regla añade (-A) una regla a la cadena INPUT para aceptar (-j ACCEPT) el tráfico TCP entrante en el puerto 80 (HTTP).
Conceptos Clave de Iptables:
Tablas: Iptables utiliza diferentes tablas para manejar distintos tipos de tareas. Las más comunes son:
Filter: Para el filtrado de paquetes.
NAT: Para la traducción de direcciones de red.
Mangle: Para la modificación de paquetes.
Cadenas (Chains): Dentro de cada tabla, hay cadenas que contienen reglas. Las cadenas principales son:
INPUT: Maneja el tráfico entrante.
OUTPUT: Maneja el tráfico saliente.
FORWARD: Maneja el tráfico que pasa a través del dispositivo.
Reglas (Rules): Las reglas especifican las condiciones bajo las cuales se permite o se bloquea el tráfico. Cada regla puede basarse en varios criterios, como la dirección IP de origen y destino, el puerto, y el protocolo
Cuales son las cadenas (chains) o condiciones que maneja iptables ? (T)
- Prerouting (paquetes que acaban de entrar al sistema)
- Input ( paquetes destinados a local)
- Output (paquetes generados en local que van a salir)
- Forward (paquetes que son generados en un tercero que van a otro sistema)
- Postrouting (paquetes que van a abandonar el sistema)
Que politicas puede adoptar una cadena de iptables ?
ACCEPT - se permite el trafico correspondiente
DROP - se rechaza pero no se informa
REJECT - se rechaza y a través de ICMP se informa del rechazo de la conexion
Que hace esto? sudo firewall-cmd –zone=public –add-service=smtp
Este comando se utiliza para añadir el servicio SMTP (Simple Mail Transfer Protocol) a la zona pública del firewall en un sistema Linux.
(firewall-cmd es la interfaz de línea de comandos para el demonio firewalld1. Esta herramienta permite gestionar tanto la configuración en tiempo de ejecución como la configuración permanente del firewall en sistemas Linux)
Cual es la diferencia entre un proxy y un proxy inverso o reverso?
Un proxy es un servidor que actúa como intermediario entre los clientes y los servidores de destino. La diferencia entre los dos tipos es:
- Forward proxy: Actúa como intermediario para las solicitudes de los clientes hacia los servidores. (Proporcionar anonimato al cliente, aplicar políticas de acceso y filtrado de contenido)
- Reverse proxy: Actúa como intermediario para las solicitudes entrantes hacia uno o varios servidores backend (Distribuye carga, Mejorar la seguridad ocultando la identidad de los servidores backend,
En resumen, el proxy inverso oculta la identidad de los servidores backend al cliente, mientras que el proxy directo oculta la identidad del cliente al servidor
Nombra algunas aplicaciones para montar un proxy inverso (T)
Squid
Nginx
Varnish
HAProxy
Apache mod Proxy
FQ Router
Apache mod security
¿Qué es un UTM? (T)
Un UTM (Unified Threat Management) es una solución de seguridad de red que integra múltiples funciones de seguridad en un solo dispositivo o plataforma. Estas funciones pueden incluir:
Firewall: Controla el tráfico entrante y saliente según reglas predefinidas.
Antivirus/Antimalware: Detecta y elimina software malicioso.
Sistema de Prevención de Intrusiones (IPS): Monitorea y bloquea actividades sospechosas.
VPN: Proporciona conexiones seguras y cifradas entre redes.
Filtrado de Contenidos: Bloquea el acceso a sitios web no deseados o peligrosos.
Antispam: Filtra correos electrónicos no deseados.
El objetivo de un UTM es simplificar la gestión de la seguridad de la red al consolidar varias funciones en una sola solución, lo que puede ser más eficiente y fácil de administrar.
Nombra un par de herramientas de sniffer (T)
- wireshark
- tcpdump > linea comandos
los sniffer solo capturan tráfico de red, nada más
Como se llama un sistema diseñado como señuelo que se utiliza para ver patrones de ataque ?
Honeypots
Que es un NIDS ?
es un IDS (Sistema de detección de intrusos) que vigila la red. (N viene de network)
nota: HIDS, vigila cambios en un host
Que es un HIDS?
es un IDS (Sistema de detección de intrusos) que vigila los host (H viene de host)
nota: NIDS, vigila la red
tipos de ips: NIPS, WIPS, NBA, HIPS
Que es un NIPS ?
Es un IPS (Sistema de prevención de intrusos) que monitorea la red lan
NIPS ( Network-based Intrusion prevention System):
Que es un WIPS ?
Es un IPS (Sistema de prevención de intrusos) que monitorea la red inalambrica
WIPS (Wireless intrusion prevention system): monitorean la red inalámbrica
tipos de ips: NIPS, WIPS, NBA, HIPS
que es un HIPS ?
Es un IPS (Sistema de prevención de intrusos) que monitorea un host
WIPS (Wireless intrusion prevention system): HIPS (Host-based intrusion prevention system): Se efectúa mediante la instalación de paquetes de software que monitoriza un host único en busca de actividad sospechosa
tipos de ips: NIPS, WIPS, NBA, HIPS
Que es NBA (Network Behaviour Analysis) ?
Es un IPS (Sistema de prevención de intrusos) que monitorea el trafico de red
tipos de ips: NIPS, WIPS, NBA, HIPS
Nombra algunos productos de deteccion de intrusos (IPS)
Snort: IPS + IDS
Suricata
OSSEC:
Bro
Fail2Ban
Sagan
AIDE
Samhair
Nombra algunos productos SIEM (T)
ELK
Metron
QRadar
OSSIM: Nmap - Snort - Nagios - nikto
Gloria(CCN)
Monica(CCN)
SIEM: sistema de gestión de eventos e información de seguridad: es una solución híbrida centralizada que engloba la gestión de información de seguridad (Security Information Management) y la gestión de eventos (Security Event Manager). solo analiza
¿Qué dos empresas son conocidas por ofrecer soluciones de seguridad cibernética, incluyendo firewalls y servidores de VPN?
SonicWall y Fortinet
Nombra 3 protocolos de autenticación utilizados para verificar la identidad de los usuarios en redes y sistemas de comunicación (T)
PAP - CHAP -EAP
pap > usu y pws
chap > usu, pwd y challengue (c)
eap > certificados
Que es la familia IPSec ? (T)
La Familia IPSec (Internet Protocol Security) es un conjunto de protocolos y estándares diseñados para asegurar las comunicaciones sobre el Protocolo de Internet (IP). Su función principal es garantizar la integridad, autenticidad y confidencialidad de los datos transmitidos a través de redes IP
¿Qué tipos de túneles existen en redes y tecnología?
VPN
SSH Tunneling
IPsec
SSL/TLS Tunneling
GRE
L2TP
¿Qué es una VPN y cuál es su propósito principal? (T)
Crea un túnel seguro entre un dispositivo y una red remota. Usado para acceder a redes privadas desde cualquier ubicación.
¿Qué es SSH Tunneling y para qué se utiliza?
Utiliza SSH para crear un túnel cifrado para transmitir datos de manera segura. Comúnmente usado para conexiones seguras a servidores.