Bloque4-Tema9-Seguridad. Criptografia. Firma. VPN

Question 1

Que tipos de cortafuegos existen?

Answer 1

• Filtrado de paquetes (nivel de red. IP’s y Puertos) (Netfilter
• Circuit-Level Gateway (nivel de sesión. Ej. TCP)
• Application Level Gateway aka Proxy (nivel de aplicación. Ej HTTP). [Squid/Nginx/Varnish/HAProxy] (Proxy inverso*)
• Stateful Inspection (Ej IPtables Conntrack)Reglas sobre el trafico en funcion del pasado
• Next Generation (IPS, WAF, UTM)

Question 2

Que es WAF?

Answer 2

Web application firewall. Es un tipo de firewall que supervisa, filtra o bloquea el tráfico HTTP hacia y desde una aplicación web.

Question 3

Que herramientas componen Netfilter?

Answer 3

-Ufw(Uncomplicated Firewall)
-Firewalld
-NFtables
-IPTables

Question 4

Que sistema de proteccion contra intrusos conoces?

Answer 4

IDS (Intrussion detection system).

IPS (Intrussion prevention system)

NIDS (Network Intrussion detection system)

HIDS (Host-based intrusion detection system)

Question 5

Que funcion tienen los IDS?

Answer 5

Monitorizan redes o sistemas para detectar e informar actividades o accesos no autorizados.

-Generan alertas y registran los eventos detectados.
-Opcionalmente, correlacionan eventos detectados con info adicional(Alertas de cortafuegos, BD de vuilnerabilidades, etc)

Son pasivos, detectan + generan alertas.

Question 6

Que funcion tienen los IPS?

Answer 6

Monitorizan redes o sistemas para detectar e impedir actividades o accesos no autorizados.

-Funcionamiento “en-linea” (Analizan y actual “sobre la marcha)
-Bloquean/descartan los paquetes o las acciones sospechosas o no permitidas.

Son activos-> Detectar y bloquean la intrusion.

Question 7

Cual es la corporacion que mantiene un catalogo CVE (Common vulnerabilities and exposures)

Answer 7

Mitre Corporation.

Question 8

Que sistemas IPS conoces?

Answer 8

-NIPS (Network based intrusion prevention system)
-WIPS (Wireless intrussion prevention system)
-NBA (Network behavior analysis)
-HIPS (Host based intrusion prevention system)

Question 9

De que se encarga los sistemas NIPS(Network based intrusion prevention system)?

Answer 9

Monitoriza toda la red en busca de trafico sospechoso mediante el analisis de la actividad de protocolos.

Question 10

De que se encarga los sistemas WIPS(Wireless intrusion prevention system)?

Answer 10

Monitoriza una red wireless en busca de trafico sospechoso mediante el analisis de la actividad de protocolos.

Question 11

De que se encarga los sistemas HIPS(Host based intrusion prevention system)?

Answer 11

Un software instalable que monitoriza un solo host en busca de actividad sospecho mediante el analisis de los eventos que ocurren en ese host.

Question 12

De que se encarga los sistemas NBA(Network behavior analysis)?

Answer 12

Examina el trafico de red para identificar amenazas que generan un flujo de trafico inusual. Como ataques DDos, ciertas formas de malware o violacion de politicas.

Question 13

Productos IPS?

Answer 13

-Snort
-Suricata
-OSSEC
-BRO
-Fail2ban
-Sagan
-Aide
-Samhain

Question 14

Que es una CVE (Common Vulnerability and Exposures)?

Answer 14

Es una lista de información registrada sobre vulnerabilidades de seguridad conocidas, en la que cada referencia tiene un número de identificación CVE-ID

Question 15

Que es CWE (Common Weakness Enumeration):

Answer 15

Common Weakness Enumeration es un sistema de categorías para las debilidades y vulnerabilidades del software. Se sustenta en un proyecto comunitario con el objetivo de comprender las fallas en el software y crear herramientas automatizadas que se puedan utilizar para identificar, corregir y prevenir esas fallas

Question 16

Que es NetFilter?

Answer 16

Se utiliza para interceptar y manipular los paquetes de red de un sistema operativo GNU/Linux.

Question 17

Que es IPtables?

Answer 17

Iptables is an interface that uses Netfilter to classify and act on packets

Question 18

Que funcion tienen los sistemas NIDS?

Answer 18

Capturan el trafico de red (ubizados en zonas estrategicas como la DMZ, routers de acceso, etc) y lo evaluan para determinadas si se corresponde con una intrusion.

-Analisis de intrusiones a nivel de paquetes de red.
-Monitoriza todo el trafico de una porcion de la red.
-Sensores accesibles a traves de la red de la organizacion o mediante una red de gestion separada.
-Suelen centrarse en detectar ataques DOS, escaneo de puertos, paquetes malformados, explotacion de vulnenaribilidades.

Question 19

nQue funcion tienen los sistemas HIDS?

Answer 19

Analizan los eventos que se producen en un equipo (host) determinado para determinar si esta sufriendo un ataque.

-Sensores (Agentes) monitorizan un equipo concreto.
-Aspectos Monitorizados:
-Logs del sistema y de las aplicaciones.
-Llamadas al sistema.
-Modificaciones sobre el sistema de ficheros.
-Suelen centrarse en detectar el abuso de privilegios (Escalada de privilegios)

-Ejemplos: OSSEC, SAGAN, TRIPWIRE.

Question 20

Que ejemplos de sistemas NIDS conoces?

Answer 20

Snort y Suricata.

Question 21

Que ejemplos de sistemas HIDS conoces

Answer 21

OSSEC, SAGAN, TRIPWIRE

Question 22

Que es un SIEM?

Answer 22

Gestión de información y eventos de seguridad. Recopila información de multiples orígenes y aplica técncias de inteligencia para su explotación. Centraliza e interpreta -> Inteligencia.

Solo analizan informacion.

Question 23

Que ejemplos de SIEM conoces?

Answer 23

ELK, QRadar, OSSIM, Gloria, Monica, Metron.

Question 24

Que herramientas componen OSSIM?

Answer 24

nmap, snort, nagios y nikto.

Question 25

Que es un Honeypot?

Answer 25

Sistema separado de la red real configurado con vulnerabilidades “evidentes” con el objetivo de
atraer y estudiar a los diferentes atacantes.

Question 26

Para que sirve un screening router? (Topologias de red)

Answer 26

Filtrado de paquetes.

Question 27

Para que sirve un dual-homed host? (Topologias de red)

Answer 27

Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar paquetes IP . Prohibido el routing-> Todo el trafico se encamina via proxy.

Question 28

Para que sirve un screened host? (Topologias de red)

Answer 28

Solo se permiten conexiones hacia un determinado host.

Usa el concepto de Bastion-Host(Hace de proxy)-> Maquina accesible desde el exterior que se debe fortificar (hardening)
*Mínimos servicios instalados
* Alta securización del SSOO y aplicaciones
* Monitorización de logs

Question 29

Que es una Screened subnet(DMZ)?

Answer 29

Es una red perimetral que protege la red de área local (local-area network, LAN) interna contra el tráfico no confiable. Un significado común para una DMZ es una subred que se encuentra entre la Internet pública y las redes privadas.

Question 30

Que servicios se alojan tipicamente en una DMZ?

Answer 30

• MTA (correo electrónico)
• Servidor DNS
• Servidor Web
• Servidor de VPN
• Proxy Inverso

Question 31

Que algoritmos simetricos conoces? (La misma clave para cifrar-descifrar)

Answer 31

• 3DES
• RC5/RC6
• AES
• ChaCha20
• IDEA
• BLOWFISH

Question 32

Que algoritmos asimetricos conoces? (Dos claves, lo que se hace con una se
deshace con la otra)

Answer 32

• DSA
• RSA
• DH (intercambio de clave)
• ElGammal
• Curvas Elípticas

Question 33

Que sistemas hibridos conoces (Simetricos y asimetricos)?

Answer 33

SSL, SSH, PGP

Question 34

Que hacen las funciones MIC (Message Integrity Code)

Answer 34

Generan un “residuo” de tamaño fijo a partir de un mensaje/documento.

Question 35

Que hacen las funciones MIC (Message Authentication Code)

Answer 35

-Algo asi como una firma digital
-Generan un “residuo” de tamaño fijo a partir de un mensaje/documento + clave.

Question 36

Tipos de funciones MIC?

Answer 36

• MD5 (tamaño de residuo de 128 bits). Obsoleto
• SHA1 (tamaño de residuo de 160 bits). Obsoleto
• SHA2 (224, 256, 384 y 512 bits)
• SHA3 (224, 256, 384 y 512 bits)

Question 37

Tipos de funciones MAC?

Answer 37

• PMAC
• UMAC-VMAC
• Poly1305
• HMAC (Basada en hash).

Question 38

Que formatos de firma avanzada conoces?

Answer 38

AdES - XAdES, CAdES y PAdES

Question 39

Que es el sellado de tiempo?

Answer 39

Es un método para probar que un conjunto de datos existió antes de un momento dado y que ninguno de estos datos ha sido modificado desde entonces

Question 40

Que es el resellado (de tiempo)

Answer 40

antes de que el certificado de la TSA(sellado de tiempo) caduque es necesario resellar o aplicar de nuevo el Sello Temporal para mantener la validez temporal de la firma

Question 41

Que formatos ficheros de certificados digitales incluyen la clave privada?

Answer 41

P12/pkcs#12 o PFX

Question 42

Que formato de fichero de certificados digitales es binario?

Answer 42

DER

Question 43

Que formatos ficheros de certificados digitales incluyen la clave publica + cadena?

Answer 43

P7B/pkcs#7

Question 44

Que formatos ficheros de certificados digitales incluyen serializacion Base64 con cabecera??

Answer 44

PEM

Question 45

Como chequerias el estado de revocacion de un certificado?

Answer 45

Chequear el estado de revocación (VA) con uno de los siguientes métodos:
* Protocolo OCSP (protocolo binario online que se basa en enviar un trama OCSP con
el numero de serie del certificado a consultar. Cada CA tiene su propio endpoint

 * Listas de revocación (CRL). Ficheros que podemos descargar para su posterior 
  tratamiento

Question 46

Pasos a seguir para validar un certificado de servidor?

Answer 46

• Chequear su periodo de validez
• Que ha sido emitido para el dominio donde nos hemos conectacto
• Verificar que esté bien firmado (integridad)
• Comprobar si la CA que lo ha emitido la tenemos registrada en nuestra lista/almacenes de
  confianza
• Chequear el estado de revocación (VA)

Question 47

Que es una VPN?

Answer 47

• Técnica para extender una LAN a través de una red pública
• Reducción de costes (no hay que contratar líneas dedicadas)
• Nos debe ofrecer mecanismo de autenticación, integridad y confidencialidad

Question 48

Que escenarios de VPN existen?

Answer 48

-De acceso remoto. (Equipo->Red)

-De sitio a sitio (Red->Red)

-Equipo a equipo (Equipo->Equipo)->Establece el tunel entre un equipo cliente y SOLO un equipo en el servidor.

Question 49

Que productos de servidor VPN conoces?

Answer 49

-Sonicwall.
-Fortinet.

Question 50

Que es un Servidor, concentrador o Gateway VPN?

Answer 50

Encargado de establecer las conexiones seguridad (Túnel VPN) con los dispositivos de usuario o con otros servidores VPN.

Question 51

Que es un cliernte VPN?

Answer 51

Software que debe ser instalado en los dispositivos para poder establecer la conexión segura con el servidor VPN.

Question 52

Que protocolos de tunneling de sitio a sitio conoces?

Answer 52

-Familia IPSec

-GRE (IP protocol field = 47) -> No seguro!

Question 53

Que protocolos de tunneling de acceso remoto conoces?

Answer 53

-PPTP(Encriptacion y autenticacion) -> PAP, CHAP, EAP
-L2F
-L2TP/IPSEC (Encriptacion y autenticacion) (IPSec authentica y cifra)
-SSL (OpenVPN)
-SSH
-SSTP(SSL)

Question 54

Que servidores de autenticacion de redes informaticas conoces?

Answer 54

Radius
Kerberos
TACACS+
Diameter.

Todos estos son sistemas AAA(Autenticacion, Autorizacion, Contabilizacion)

Question 55

Que es PPTP(Point to POint protocol)

Answer 55

Es un protocolo del nivel de enlace de datos, utilizado para establecer una conexión directa entre dos nodos de una red

Question 56

Que es MPPE?

Answer 56

Encrypta data in PPTP. Garentiza la confidencialidad.

Question 57

Que procolos de VPN son vulnerables?

Answer 57

PPTP, L2F o l2TP

Question 58

Que es PAP?

Answer 58

Password Authentication Protocol o PAP es un protocolo simple de autenticación para autenticar un usuario contra un servidor de acceso remoto o contra un proveedor de servicios de internet. Manda usuario y password.

Question 59

Que es CHAP?

Answer 59

Es un protocolo de autenticación por desafío mutuo. Challenge value te lo manda el servidor, lo mezclas con password e ID y da el resultado

Question 60

Que es TUN y TAP?

Answer 60

Tun está pensado para conectarse a otra máquina, sólo a una. No a recursos de red.

Tap permite conectarse a otra red, incluidos todos los recursos de esa red (clientes, impresoras etc).

Son modos de openVPN

Question 61

Que es la familia IPSec?

Answer 61

-Familia de protocolos que autentican y cifran paquetes de datos enviados sobre IP.

-Incluye mecanismo de autenticacion mutua y negociacion de claves criptograficas.

Question 62

Que protoloc incluye la familia IPSec?

Answer 62

-AH (Authentication header)

-ESP (Encapsulating Security Payload)

-IKE/ISASKMP

Question 63

Que proporciona AH (Authentication header)?

Answer 63

Proporciona integridad, autenticación de origen y no repudio(Evita ataques de replay) si se eligen los algoritmos criptográficos apropiados

AH esta dirigido a garantizar integridad, sin conexion y autenticacion de los datos de origen de los datagramas IP.

Question 64

Campos importantes de AH (Authentication header).

Answer 64

-Security Parameters Index (Identifica los parametros de seguridad y junto con la IP determinan la SA(Asociacion de seguridad))

-Sequence number

-Integrity CheckValue-> HMAC

Question 65

Que es la SA(Asociacion de seguridad), y que algoritmo usa?

Answer 65

es el establecimiento de atributos de seguridad compartidos entre DOS entidades de red para permitir una comunicación segura. Usa el algoritmo Diffie-Hellman

Question 66

Que proporciona ESP(Encapsulating Security Payload)?

Answer 66

proporciona confidencialidad y la opción -altamente recomendable- de autenticación de origen y integridad.

Question 67

Campos importantes de ESP(Encapsulating Security Payload)?

Answer 67

-Security Parameters Index
-Sequence Number
-payload Data-> 3DES/AES
-Autentication DATA-> HMAC.

Question 68

Que proporciona IKE(Internet key exchange).

Answer 68

Protocolos para el intercambio secreto de claves de tipo Diffie-Hellman para establecer el secreto compartido de la sesion, autenticacion entre pares y gestion de las asociaciones de seguridad.

Question 69

Que es en IKE una asociacion de seguridad?

Answer 69

Grupo logico de parametros de seguridad.

Question 70

Versiones de IKE?

Answer 70

IKE/ISAKMP
IKE/OAKLEY
IKE2

Question 71

Modos tanto para AH como para ESP?

Answer 71

-Modo trasporte(Host to host) -> Solo la carga util del paquete IP es cifrada o autenticada. El enruramiento no se toca. Se incluye una cabecera de seguridad.

-Modo Tunel (site to site) -> Todo el paquete IP es cifrado o autenticado, se encapsula en otro paquete IP, Por eso se incluye una una cabecera IP

Question 72

Que co