Bloque4-Tema9-Seguridad. Criptografia. Firma. VPN Flashcards
Que tipos de cortafuegos existen?
- Filtrado de paquetes (nivel de red. IP’s y Puertos) (Netfilter
- Circuit-Level Gateway (nivel de sesión. Ej. TCP)
- Application Level Gateway aka Proxy (nivel de aplicación. Ej HTTP). [Squid/Nginx/Varnish/HAProxy] (Proxy inverso*)
- Stateful Inspection (Ej IPtables Conntrack)Reglas sobre el trafico en funcion del pasado
- Next Generation (IPS, WAF, UTM)
Que es WAF?
Web application firewall. Es un tipo de firewall que supervisa, filtra o bloquea el tráfico HTTP hacia y desde una aplicación web.
Que herramientas componen Netfilter?
-Ufw(Uncomplicated Firewall)
-Firewalld
-NFtables
-IPTables
Que sistema de proteccion contra intrusos conoces?
IDS (Intrussion detection system).
IPS (Intrussion prevention system)
NIDS (Network Intrussion detection system)
HIDS (Host-based intrusion detection system)
Que funcion tienen los IDS?
Monitorizan redes o sistemas para detectar e informar actividades o accesos no autorizados.
-Generan alertas y registran los eventos detectados.
-Opcionalmente, correlacionan eventos detectados con info adicional(Alertas de cortafuegos, BD de vuilnerabilidades, etc)
Son pasivos, detectan + generan alertas.
Que funcion tienen los IPS?
Monitorizan redes o sistemas para detectar e impedir actividades o accesos no autorizados.
-Funcionamiento “en-linea” (Analizan y actual “sobre la marcha)
-Bloquean/descartan los paquetes o las acciones sospechosas o no permitidas.
Son activos-> Detectar y bloquean la intrusion.
Cual es la corporacion que mantiene un catalogo CVE (Common vulnerabilities and exposures)
Mitre Corporation.
Que sistemas IPS conoces?
-NIPS (Network based intrusion prevention system)
-WIPS (Wireless intrussion prevention system)
-NBA (Network behavior analysis)
-HIPS (Host based intrusion prevention system)
De que se encarga los sistemas NIPS(Network based intrusion prevention system)?
Monitoriza toda la red en busca de trafico sospechoso mediante el analisis de la actividad de protocolos.
De que se encarga los sistemas WIPS(Wireless intrusion prevention system)?
Monitoriza una red wireless en busca de trafico sospechoso mediante el analisis de la actividad de protocolos.
De que se encarga los sistemas HIPS(Host based intrusion prevention system)?
Un software instalable que monitoriza un solo host en busca de actividad sospecho mediante el analisis de los eventos que ocurren en ese host.
De que se encarga los sistemas NBA(Network behavior analysis)?
Examina el trafico de red para identificar amenazas que generan un flujo de trafico inusual. Como ataques DDos, ciertas formas de malware o violacion de politicas.
Productos IPS?
-Snort
-Suricata
-OSSEC
-BRO
-Fail2ban
-Sagan
-Aide
-Samhain
Que es una CVE (Common Vulnerability and Exposures)?
Es una lista de información registrada sobre vulnerabilidades de seguridad conocidas, en la que cada referencia tiene un número de identificación CVE-ID
Que es CWE (Common Weakness Enumeration):
Common Weakness Enumeration es un sistema de categorías para las debilidades y vulnerabilidades del software. Se sustenta en un proyecto comunitario con el objetivo de comprender las fallas en el software y crear herramientas automatizadas que se puedan utilizar para identificar, corregir y prevenir esas fallas
Que es NetFilter?
Se utiliza para interceptar y manipular los paquetes de red de un sistema operativo GNU/Linux.
Que es IPtables?
Iptables is an interface that uses Netfilter to classify and act on packets
Que funcion tienen los sistemas NIDS?
Capturan el trafico de red (ubizados en zonas estrategicas como la DMZ, routers de acceso, etc) y lo evaluan para determinadas si se corresponde con una intrusion.
-Analisis de intrusiones a nivel de paquetes de red.
-Monitoriza todo el trafico de una porcion de la red.
-Sensores accesibles a traves de la red de la organizacion o mediante una red de gestion separada.
-Suelen centrarse en detectar ataques DOS, escaneo de puertos, paquetes malformados, explotacion de vulnenaribilidades.
nQue funcion tienen los sistemas HIDS?
Analizan los eventos que se producen en un equipo (host) determinado para determinar si esta sufriendo un ataque.
-Sensores (Agentes) monitorizan un equipo concreto.
-Aspectos Monitorizados:
-Logs del sistema y de las aplicaciones.
-Llamadas al sistema.
-Modificaciones sobre el sistema de ficheros.
-Suelen centrarse en detectar el abuso de privilegios (Escalada de privilegios)
-Ejemplos: OSSEC, SAGAN, TRIPWIRE.
Que ejemplos de sistemas NIDS conoces?
Snort y Suricata.
Que ejemplos de sistemas HIDS conoces
OSSEC, SAGAN, TRIPWIRE
Que es un SIEM?
Gestión de información y eventos de seguridad. Recopila información de multiples orígenes y aplica técncias de inteligencia para su explotación. Centraliza e interpreta -> Inteligencia.
Solo analizan informacion.
Que ejemplos de SIEM conoces?
ELK, QRadar, OSSIM, Gloria, Monica, Metron.
Que herramientas componen OSSIM?
nmap, snort, nagios y nikto.
Que es un Honeypot?
Sistema separado de la red real configurado con vulnerabilidades “evidentes” con el objetivo de
atraer y estudiar a los diferentes atacantes.
Para que sirve un screening router? (Topologias de red)
Filtrado de paquetes.
Para que sirve un dual-homed host? (Topologias de red)
Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar paquetes IP . Prohibido el routing-> Todo el trafico se encamina via proxy.
Para que sirve un screened host? (Topologias de red)
Solo se permiten conexiones hacia un determinado host.
Usa el concepto de Bastion-Host(Hace de proxy)-> Maquina accesible desde el exterior que se debe fortificar (hardening)
*Mínimos servicios instalados
* Alta securización del SSOO y aplicaciones
* Monitorización de logs
Que es una Screened subnet(DMZ)?
Es una red perimetral que protege la red de área local (local-area network, LAN) interna contra el tráfico no confiable. Un significado común para una DMZ es una subred que se encuentra entre la Internet pública y las redes privadas.
Que servicios se alojan tipicamente en una DMZ?
- MTA (correo electrónico)
- Servidor DNS
- Servidor Web
- Servidor de VPN
- Proxy Inverso
Que algoritmos simetricos conoces? (La misma clave para cifrar-descifrar)
- 3DES
- RC5/RC6
- AES
- ChaCha20
- IDEA
- BLOWFISH
Que algoritmos asimetricos conoces? (Dos claves, lo que se hace con una se
deshace con la otra)
- DSA
- RSA
- DH (intercambio de clave)
- ElGammal
- Curvas Elípticas
Que sistemas hibridos conoces (Simetricos y asimetricos)?
SSL, SSH, PGP
Que hacen las funciones MIC (Message Integrity Code)
Generan un “residuo” de tamaño fijo a partir de un mensaje/documento.
Que hacen las funciones MIC (Message Authentication Code)
-Algo asi como una firma digital
-Generan un “residuo” de tamaño fijo a partir de un mensaje/documento + clave.
Tipos de funciones MIC?
- MD5 (tamaño de residuo de 128 bits). Obsoleto
- SHA1 (tamaño de residuo de 160 bits). Obsoleto
- SHA2 (224, 256, 384 y 512 bits)
- SHA3 (224, 256, 384 y 512 bits)
Tipos de funciones MAC?
- PMAC
- UMAC-VMAC
- Poly1305
- HMAC (Basada en hash).
Que formatos de firma avanzada conoces?
AdES - XAdES, CAdES y PAdES
Que es el sellado de tiempo?
Es un método para probar que un conjunto de datos existió antes de un momento dado y que ninguno de estos datos ha sido modificado desde entonces
Que es el resellado (de tiempo)
antes de que el certificado de la TSA(sellado de tiempo) caduque es necesario resellar o aplicar de nuevo el Sello Temporal para mantener la validez temporal de la firma
Que formatos ficheros de certificados digitales incluyen la clave privada?
P12/pkcs#12 o PFX
Que formato de fichero de certificados digitales es binario?
DER
Que formatos ficheros de certificados digitales incluyen la clave publica + cadena?
P7B/pkcs#7
Que formatos ficheros de certificados digitales incluyen serializacion Base64 con cabecera??
PEM
Como chequerias el estado de revocacion de un certificado?
Chequear el estado de revocación (VA) con uno de los siguientes métodos:
* Protocolo OCSP (protocolo binario online que se basa en enviar un trama OCSP con
el numero de serie del certificado a consultar. Cada CA tiene su propio endpoint
* Listas de revocación (CRL). Ficheros que podemos descargar para su posterior tratamiento
Pasos a seguir para validar un certificado de servidor?
- Chequear su periodo de validez
- Que ha sido emitido para el dominio donde nos hemos conectacto
- Verificar que esté bien firmado (integridad)
- Comprobar si la CA que lo ha emitido la tenemos registrada en nuestra lista/almacenes de
confianza - Chequear el estado de revocación (VA)
Que es una VPN?
- Técnica para extender una LAN a través de una red pública
- Reducción de costes (no hay que contratar líneas dedicadas)
- Nos debe ofrecer mecanismo de autenticación, integridad y confidencialidad
Que escenarios de VPN existen?
-De acceso remoto. (Equipo->Red)
-De sitio a sitio (Red->Red)
-Equipo a equipo (Equipo->Equipo)->Establece el tunel entre un equipo cliente y SOLO un equipo en el servidor.
Que productos de servidor VPN conoces?
-Sonicwall.
-Fortinet.
Que es un Servidor, concentrador o Gateway VPN?
Encargado de establecer las conexiones seguridad (Túnel VPN) con los dispositivos de usuario o con otros servidores VPN.
Que es un cliernte VPN?
Software que debe ser instalado en los dispositivos para poder establecer la conexión segura con el servidor VPN.
Que protocolos de tunneling de sitio a sitio conoces?
-Familia IPSec
-GRE (IP protocol field = 47) -> No seguro!
Que protocolos de tunneling de acceso remoto conoces?
-PPTP(Encriptacion y autenticacion) -> PAP, CHAP, EAP
-L2F
-L2TP/IPSEC (Encriptacion y autenticacion) (IPSec authentica y cifra)
-SSL (OpenVPN)
-SSH
-SSTP(SSL)
Que servidores de autenticacion de redes informaticas conoces?
Radius
Kerberos
TACACS+
Diameter.
Todos estos son sistemas AAA(Autenticacion, Autorizacion, Contabilizacion)
Que es PPTP(Point to POint protocol)
Es un protocolo del nivel de enlace de datos, utilizado para establecer una conexión directa entre dos nodos de una red
Que es MPPE?
Encrypta data in PPTP. Garentiza la confidencialidad.
Que procolos de VPN son vulnerables?
PPTP, L2F o l2TP
Que es PAP?
Password Authentication Protocol o PAP es un protocolo simple de autenticación para autenticar un usuario contra un servidor de acceso remoto o contra un proveedor de servicios de internet. Manda usuario y password.
Que es CHAP?
Es un protocolo de autenticación por desafío mutuo. Challenge value te lo manda el servidor, lo mezclas con password e ID y da el resultado
Que es TUN y TAP?
Tun está pensado para conectarse a otra máquina, sólo a una. No a recursos de red.
Tap permite conectarse a otra red, incluidos todos los recursos de esa red (clientes, impresoras etc).
Son modos de openVPN
Que es la familia IPSec?
-Familia de protocolos que autentican y cifran paquetes de datos enviados sobre IP.
-Incluye mecanismo de autenticacion mutua y negociacion de claves criptograficas.
Que protoloc incluye la familia IPSec?
-AH (Authentication header)
-ESP (Encapsulating Security Payload)
-IKE/ISASKMP
Que proporciona AH (Authentication header)?
Proporciona integridad, autenticación de origen y no repudio(Evita ataques de replay) si se eligen los algoritmos criptográficos apropiados
AH esta dirigido a garantizar integridad, sin conexion y autenticacion de los datos de origen de los datagramas IP.
Campos importantes de AH (Authentication header).
-Security Parameters Index (Identifica los parametros de seguridad y junto con la IP determinan la SA(Asociacion de seguridad))
-Sequence number
-Integrity CheckValue-> HMAC
Que es la SA(Asociacion de seguridad), y que algoritmo usa?
es el establecimiento de atributos de seguridad compartidos entre DOS entidades de red para permitir una comunicación segura. Usa el algoritmo Diffie-Hellman
Que proporciona ESP(Encapsulating Security Payload)?
proporciona confidencialidad y la opción -altamente recomendable- de autenticación de origen y integridad.
Campos importantes de ESP(Encapsulating Security Payload)?
-Security Parameters Index
-Sequence Number
-payload Data-> 3DES/AES
-Autentication DATA-> HMAC.
Que proporciona IKE(Internet key exchange).
Protocolos para el intercambio secreto de claves de tipo Diffie-Hellman para establecer el secreto compartido de la sesion, autenticacion entre pares y gestion de las asociaciones de seguridad.
Que es en IKE una asociacion de seguridad?
Grupo logico de parametros de seguridad.
Versiones de IKE?
IKE/ISAKMP
IKE/OAKLEY
IKE2
Modos tanto para AH como para ESP?
-Modo trasporte(Host to host) -> Solo la carga util del paquete IP es cifrada o autenticada. El enruramiento no se toca. Se incluye una cabecera de seguridad.
-Modo Tunel (site to site) -> Todo el paquete IP es cifrado o autenticado, se encapsula en otro paquete IP, Por eso se incluye una una cabecera IP
Que co
