Network Segmentation Flashcards

1
Q

¿Qué es un firewall y cuál es su función principal?

FIREWALLS

A

Un firewall es un dispositivo o software que utiliza un conjunto de reglas para controlar el tráfico de red, permitiendo o denegando conexiones. Funciona como una barrera de seguridad que protege la red de accesos no autorizados.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

¿Qué es un firewall basado en hardware y cuáles son sus ventajas?

FIREWALLS

A

Un firewall basado en hardware es un dispositivo físico que proporciona una puerta de enlace segura entre la red interna y el exterior.

Ventajas:
- No consume recursos del sistema anfitrión.
- Protege redes completas sin impactar el rendimiento de los dispositivos conectados.
- Ofrece funciones adicionales como NAT y PAT.

Desventajas:
- Requiere un mayor nivel de conocimiento técnico para su configuración.
- Puede ser costoso en comparación con soluciones de software.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

¿Qué es un firewall basado en software y cuáles son sus ventajas y desventajas?

FIREWALLS

A

Un firewall basado en software se ejecuta directamente en un dispositivo individual, como un servidor o una estación de trabajo.

Ventajas:
- Proporciona control granular del tráfico a nivel de aplicación.
- Ideal para proteger dispositivos específicos como servidores y estaciones de trabajo.

Desventajas:
- Consume recursos del sistema anfitrión (CPU, RAM).
- Debe instalarse y gestionarse en cada dispositivo individualmente.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

¿Qué son los firewalls en la nube y para quién son adecuados?

FIREWALLS

A

Los firewalls en la nube, o Firewall as a Service (FWaaS), son gestionados por proveedores de servicios de seguridad externos.

Ventajas:
- No requiere hardware adicional ni mantenimiento interno.
- Adecuados para empresas con infraestructuras distribuidas o recursos limitados.
- Gestión y actualización continua por parte de un proveedor externo.

Desventajas:
- Dependencia de terceros para la seguridad.
- Puede ser costoso para organizaciones pequeñas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

¿Qué es un firewall de filtrado de paquetes (Packet Filtering Firewall) y cuáles son sus ventajas y desventajas?

FIREWALLS

A

Un firewall de filtrado de paquetes examina los encabezados de los paquetes de datos y toma decisiones basadas en reglas predefinidas.

Ventajas:
- Alta eficiencia y velocidad.
- Bajo costo y fácil de implementar.
- Impacto mínimo en el rendimiento de la red.

Desventajas:
- Falta de contexto, no puede diferenciar entre tráfico legítimo y no legítimo.
- Vulnerable a técnicas de suplantación.
- Gestión de reglas puede volverse compleja en redes grandes.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

¿Qué es un firewall con estado (Stateful Firewall) y cómo mejora la seguridad?

FIREWALLS

A

Un firewall con estado (stateful firewall) rastrea el estado de las conexiones activas y analiza el contexto completo de la conexión.

Ventajas:

  • Monitoreo de sesión: Los firewalls con estado ofrecen un control más granular al monitorear la totalidad de la sesión, no solo los paquetes individuales. Esto permite decisiones de seguridad más informadas.
  • Control sobre el tráfico: Proporciona un control detallado sobre el tráfico permitido o denegado, mejorando la seguridad sin la necesidad de abrir múltiples puertos.
  • Registro y auditoría: Ofrece capacidades avanzadas de registro, lo que permite un mejor análisis y auditoría de los eventos de red.

Desventajas:

  • Consumo de recursos: Monitorear el estado de las conexiones consume más recursos del sistema, lo que puede ralentizar la red, especialmente en grandes entornos.
  • Costo: Son más caros de implementar y mantener en comparación con los firewalls de filtrado de paquetes.
  • Limitación en autenticación: Aunque son efectivos para rastrear sesiones, no autentican el origen del tráfico, lo que podría permitir que tráfico malicioso previamente solicitado por un usuario desprevenido atraviese el firewall
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

¿Qué es un firewall de próxima generación (NGFW) y cuáles son sus características principales?

FIREWALLS

A

Un firewall de próxima generación (NGFW) es un dispositivo avanzado que combina la inspección profunda de paquetes (DPI) con la capacidad de analizar tráfico en las capas superiores del modelo OSI.

Ventajas:

  • Seguridad avanzada: Los NGFW combinan DPI con la capacidad de inspeccionar tráfico en las capas de aplicación, proporcionando una seguridad mucho más completa que los firewalls tradicionales.
  • Actualización continua: Pueden recibir actualizaciones automáticas de firmas de amenazas y reglas de seguridad, manteniendo la protección actualizada frente a nuevas amenazas.
  • Integración de funcionalidades: Los NGFW pueden incluir múltiples funcionalidades de seguridad en un solo dispositivo, eliminando la necesidad de sistemas adicionales y simplificando la gestión de la seguridad.

Desventajas:

  • Complejidad: Para maximizar su eficacia, los NGFW a menudo requieren integración con otros sistemas de seguridad, lo que puede ser un proceso complejo y técnicamente desafiante.
  • Costo elevado: Su avanzada tecnología y funcionalidad integrada los hacen significativamente más caros que otros tipos de firewalls, tanto en términos de adquisición como de operación.
  • Requiere conocimientos especializados: La correcta configuración y gestión de un NGFW puede requerir conocimientos especializados, lo que implica una mayor inversión en personal capacitado o en servicios externos.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

¿Por qué es crucial registrar las acciones realizadas por los dispositivos de infraestructura de red, como los firewalls?

FIREWALLS

A

Es crucial registrar las acciones de los firewalls para tener un historial de eventos que permita analizar y responder a incidentes de seguridad. Cada acción tomada según una regla en la ACL debe ser registrada, incluidas las denegaciones, para mantener un control adecuado sobre el tráfico de red y la seguridad.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

¿Qué es un Sistema de Gestión Unificada de Amenazas (UTM) y cuáles son sus beneficios?

FIREWALLS

A

Un UTM es una solución integral de seguridad que combina múltiples funciones de protección, como firewall, IDS/IPS, antimalware, y filtrado web en un solo dispositivo. Se coloca en el perímetro de la red y proporciona una seguridad holística y centralizada, simplificando la gestión de la seguridad.

Ventajas:
- Integración de múltiples funciones de seguridad en un solo dispositivo.
- Simplifica la gestión de seguridad al centralizar el control.
- Ofrece protección completa y actualizada.

Desventajas:
- Puede ser costoso en comparación con soluciones individuales.
- La dependencia de un solo dispositivo para múltiples funciones puede representar un punto único de falla.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

¿Qué es una Access Control List (ACL)?

Access Control List (ACL)

A

Una ACL es un conjunto de reglas aplicadas a una interfaz de router, switch o firewall para controlar el acceso al tráfico de red. Estas reglas permiten o deniegan paquetes basándose en criterios como direcciones IP, direcciones MAC y números de puerto.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

¿Cómo se procesa una ACL?

Access Control List (ACL)

A

Las acciones en una ACL se procesan de arriba hacia abajo. El tráfico se compara con cada regla en orden, y si coincide con una regla, se aplica la acción correspondiente y no se procesan las reglas posteriores.
Las reglas más específicas deben colocarse primero y las más generales al final.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

¿Cuáles son los componentes clave de una regla en una ACL?

Access Control List (ACL)

A

Los componentes clave de una regla en una ACL incluyen el tipo de tráfico (TCP/UDP), la fuente (IP origen), el destino (IP destino y puerto) y la acción a tomar (permitir/denegar).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Recomendaciones de bloqueo de tráfico con ACLs

Access Control List (ACL)

A

Bloqueo de Direcciones IP Internas

Es importante bloquear las solicitudes entrantes de direcciones internas, direcciones de loopback, rangos de IP multicast o rangos experimentales si provienen del exterior de la red.

Por ejemplo, una dirección IP privada como 192.168.x.x que proviene de la interfaz de Internet debe ser bloqueada, ya que es una dirección no enrutable que normalmente es utilizada por atacantes que intentan suplantar su IP.

Bloqueo de Protocolos Locales

Se deben bloquear los protocolos que solo deben utilizarse localmente, como ICMP, DHCP, OSPF, SMB, entre otros, para que no ingresen a la red desde el exterior.

Por ejemplo, SMB no debería estar disponible directamente desde Internet, sino que debe estar restringido a la red local o utilizarse solo a través de una VPN.

Configuración de IPv6

Es recomendable bloquear todo el tráfico IPv6 o permitirlo solo para hosts y puertos autorizados.

Muchas organizaciones siguen utilizando IPv4 únicamente y deben desactivar IPv6 en sus hosts y configurarlo en su firewall para evitar accesos no controlados mediante direcciones IPv6.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

¿Qué es el acceso basado en roles (RBAC) en el contexto de las ACLs?

Access Control List (ACL)

A

El acceso basado en roles (RBAC) permite definir privilegios y responsabilidades para los administradores que gestionan firewalls y ACLs.
Los permisos se asignan según el rol del usuario, asegurando que solo los usuarios autorizados puedan modificar las ACLs o realizar cambios específicos en la configuración de red.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

¿Cuáles son las principales zonas de segmentación en una red y cómo se gestionan utilizando firewalls y ACLs?

SEGMENTATION ZONES

A

Trusted Zone (Inside Zone) - Zona Confiable:
Esta zona corresponde a la red de área local (LAN) de la empresa, también conocida como intranet. Es la zona más segura y controlada dentro de la red, donde se encuentran los dispositivos internos de la organización.

Untrusted Zone (Outside Zone) - Zona No Confiable:
Esta zona incluye todo lo que está fuera de la red interna, como internet u otras redes externas. Se considera no confiable y se aplican restricciones estrictas para el tráfico entrante, protegiendo así la red interna.

Screened Subnet (DMZ) - Subred Protegida:
La subred protegida, o DMZ, es una zona intermedia que alberga servidores que necesitan ser accesibles desde la zona no confiable, como servidores web o de correo. Aunque se permite el acceso desde el exterior, esta zona no se considera completamente confiable, por lo que se segmenta para aplicar controles adicionales de seguridad.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

¿Cómo se gestionan las zonas de segmentación con firewalls y ACLs?

SEGMENTATION ZONES

A

Se utilizan firewalls y listas de control de acceso (ACLs) para crear reglas específicas en cada zona.

Untrusted Zone → Trusted Zone:
Generalmente, no se permite el tráfico directo desde la zona no confiable a la zona interna, a menos que haya sido solicitado desde la Trusted Zone (por ejemplo, cuando un usuario interno solicita un recurso en internet).

Trusted Zone → Screened Subnet:
Aunque la Screened Subnet no es completamente confiable, se permite el tráfico cuando es necesario (por ejemplo, acceso a un servidor de correo), pero con restricciones para proteger la red interna.

Screened Subnet → Untrusted Zone:
La subred protegida puede solicitar información desde internet y recibir tráfico entrante en puertos específicos (por ejemplo, puertos 25, 110 y 143 para correo electrónico, y puertos 80 y 443 para tráfico web).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

¿Por qué es importante la Screened Subnet en la segmentación de redes?

SEGMENTATION ZONES

A

La Screened Subnet permite que dispositivos externos accedan a servicios específicos sin comprometer la seguridad de la red interna, aplicando un control más estricto con tecnologías adicionales como IDS/IPS y UTM.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

¿Cuál es la función principal de una screened subnet en la arquitectura de red?

SCREENED SUBNET Y JUMPBOX

A

La función principal de una screened subnet es aislar y proteger los servidores expuestos a internet, permitiendo que reciban tráfico desde la outside zone sin poner en riesgo la inside zone. De esta manera, los dispositivos internos permanecen invisibles y protegidos de amenazas externas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

¿Qué tipo de servidores se deben ubicar en la screened subnet?

SCREENED SUBNET Y JUMPBOX

A

En la screened subnet se deben ubicar servidores que necesitan ser accesibles desde internet, como servidores de correo, web, proxy y acceso remoto.
Estos servidores deben estar debidamente fortalecidos y protegidos debido a su exposición a posibles ataques externos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

¿Qué es un bastion host y qué características debe tener en la screened subnet?

SCREENED SUBNET Y JUMPBOX

A

Cualquier host ubicado en la screened subnet debe ser un bastion host, es decir, un servidor configurado sin servicios que se ejecuten en la red local.

Por ejemplo, no se debe ejecutar un servicio interno como Active Directory en la screened subnet. Solo deben ejecutarse servicios orientados a internet, como correo electrónico, web y acceso remoto, ya que estos pueden ser fortalecidos y están diseñados para ser más resistentes a los ataques.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

¿Cuál es la función de un jumpbox en la gestión de la screened subnet?

SCREENED SUBNET Y JUMPBOX

A

Para configurar de manera segura los dispositivos dentro de la screened subnet, se utiliza un jumpbox.

Un jumpbox es un servidor fortalecido que proporciona acceso a otros hosts dentro de la screened subnet.

Este servidor actúa como un punto intermedio que permite a los administradores conectarse de manera segura a los dispositivos en la screened subnet. Todo el acceso desde la red interna hacia la screened subnet se gestiona a través del jumpbox, lo que hace que sea crucial mantenerlo bien protegido y seguro.

El jumpbox puede ser una PC física o una máquina virtual. Muchas organizaciones prefieren usar máquinas virtuales como jumpbox porque pueden ser fácilmente fortalecidas, utilizadas temporalmente y luego eliminadas y reconstruidas rápidamente a partir de una imagen conocida y segura.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

¿Por qué es importante fortalecer tanto el jumpbox como la estación de gestión?

SCREENED SUBNET Y JUMPBOX

A

Estos dispositivos son los únicos que tienen permiso para atravesar el firewall y acceder a la screened subnet desde la red interna, por lo que su seguridad es crítica.
Tanto el jumpbox como la estación de gestión utilizada para conectarse a él deben tener solo el software mínimo necesario para realizar sus funciones y deben estar debidamente fortalecidos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

¿Qué es el filtrado de contenidos y por qué se utiliza en la gestión de redes?

CONTENT FILTERING

A

El filtrado de contenidos es una práctica de gestión de red que restringe el acceso a ciertos contenidos, sitios web o aplicaciones según criterios específicos.
Se utiliza para prevenir la exposición a contenido inapropiado o dañino, conservar el ancho de banda de la red y cumplir con políticas legales u organizacionales.

24
Q

¿Cuáles son los tres métodos principales de filtrado de contenidos?

CONTENT FILTERING

A

Filtrado de URL
El filtrado de URL bloquea el acceso a sitios web específicos según su URL. Se implementa a través de la configuración del navegador, servidores proxy, reglas de firewall o software de filtrado dedicado, y es común en entornos organizacionales para bloquear sitios no relacionados con el trabajo o inapropiados.

Filtrado de Palabras Clave
El filtrado de palabras clave escanea páginas web en busca de palabras o frases específicas y bloquea la página si se detectan palabras bloqueadas. Es útil para bloquear tipos específicos de contenido sin bloquear todo el sitio web, pero puede llevar a bloqueos excesivos si no se configura correctamente.

Filtrado por Protocolo o Puerto
El filtrado por protocolo o puerto bloquea tipos de tráfico de red en función del protocolo o puerto utilizado. Es útil para prevenir el uso de ciertas aplicaciones o servicios no deseados, ayudando a hacer cumplir políticas de seguridad y a conservar el ancho de banda de la red.

25
Q

¿Qué es un servidor proxy y cómo se relaciona con el filtrado de contenidos?

CONTENT FILTERING

A

Un servidor proxy actúa como intermediario entre el dispositivo del usuario y el internet, gestionando el tráfico de internet. Es ampliamente utilizado para mejorar la seguridad, anonimato y rendimiento, y para realizar filtrado de contenidos, bloqueando el acceso a sitios web o tipos de contenido específicos.

26
Q

¿Cuál es la función principal de un web proxy y en qué situaciones se utiliza?

CONTENT FILTERING

A

El web proxy es el tipo de proxy más comúnmente utilizado. Su función principal es recuperar páginas web de internet en nombre del usuario.

Cuando un usuario solicita un sitio web, la solicitud pasa primero por el web proxy, que luego obtiene la página web y la envía de vuelta al usuario. Además de proporcionar acceso a páginas web, los web proxies pueden ser utilizados para eludir filtros de contenido en organizaciones y para acceder a sitios web bloqueados. Sin embargo, esta capacidad también puede ser utilizada de manera inapropiada para evadir políticas de seguridad.

Uso típico: Navegación anónima, acceso a sitios web bloqueados, y ocultación de la dirección IP del usuario.

27
Q

¿Qué es un reverse proxy y cuáles son sus principales funciones?

CONTENT FILTERING

A

El reverse proxy se utiliza principalmente en entornos empresariales para gestionar el tráfico entrante desde internet hacia los servidores internos. Este tipo de proxy actúa como un punto de entrada para el tráfico externo y distribuye las solicitudes entre varios servidores backend, lo que ayuda a equilibrar la carga.

Los reverse proxies también pueden mejorar la seguridad filtrando el tráfico malicioso antes de que llegue a los servidores internos y pueden almacenar en caché recursos para mejorar el rendimiento.

Uso típico: Balanceo de carga, mejora de la seguridad, y optimización del rendimiento en aplicaciones web y servicios internos.

28
Q

¿Qué es un transparent proxy y cómo se utiliza en las empresas?

CONTENT FILTERING

A

El transparent proxy es utilizado por empresas para monitorear y filtrar el tráfico de internet sin que los usuarios sean conscientes de su presencia. Este tipo de proxy no requiere configuración por parte del usuario y se integra directamente en la infraestructura de red.

Los transparent proxies se emplean comúnmente para bloquear el acceso a sitios web específicos, registrar la actividad de los usuarios y hacer cumplir las políticas de la organización. Aunque los usuarios no interactúan directamente con este tipo de proxy, su tráfico pasa por él y puede ser analizado o filtrado según las reglas establecidas.

Uso típico: Monitoreo del tráfico, filtrado de contenido, y cumplimiento de políticas corporativas.

29
Q

¿Cuáles son los beneficios del uso de servidores proxy en la red?

CONTENT FILTERING

A
  1. Mejora de la Seguridad: Los servidores proxy pueden filtrar el tráfico malicioso y prevenir el acceso no autorizado a información sensible, lo que mejora la seguridad.
  2. Anonimato y Privacidad: Los servidores proxy pueden ocultar la dirección IP del usuario, lo que dificulta que los sitios web y otros servicios de internet rastreen sus actividades en línea.
  3. Filtrado de Contenidos: Los servidores proxy pueden bloquear el acceso a sitios web o tipos de contenido específicos, lo que es útil para que las empresas hagan cumplir sus políticas y protejan a los empleados del acceso a contenido inapropiado.
  4. Mejora del Rendimiento: Los servidores proxy pueden almacenar en caché recursos que se solicitan con frecuencia, lo que reduce el tiempo necesario para recuperar recursos de internet.
30
Q

¿Qué es el Internet of Things (IoT)?

Internet Of Things (IoT)

A

El término Internet of Things (IoT) se refiere a una red global de dispositivos y aparatos personales que han sido equipados con sensores, software y conectividad de red para reportar datos de estado y configuración.

Estos dispositivos IoT pueden ser gestionados de forma remota a través de una red IP, como internet.

Algunos ejemplos comunes de estos dispositivos incluyen sistemas de automatización para edificios y hogares, controladores HVAC, sistemas de video IP, sistemas audiovisuales, sistemas de control de acceso físico, y equipos científicos e industriales.

31
Q

¿Qué son los sistemas de automatización de edificios y hogares en el contexto de IoT?

Internet Of Things (IoT)

A

Sistemas de Automatización de Edificios y Hogares:
Estos sistemas se enfocan en la gestión de iluminación, HVAC, agua y seguridad, mejorando la eficiencia y el confort de los ocupantes. Es crucial asegurarlos adecuadamente y garantizar que no interfieran con otros dispositivos inalámbricos.

Sistemas de Video IP:
Permiten la colaboración remota a través de videoconferencias y requieren un ancho de banda significativo y un alto nivel de calidad de servicio (QoS). Es importante considerar los costos iniciales y la necesidad de aplicar parches de seguridad regularmente para mantener la integridad de la red.

Sistemas Audiovisuales:
Estos sistemas, como la interfaz digital serial de alta definición (HD-SDI), permiten la transmisión de video en vivo a través de una red IP, siendo cruciales en centros de operaciones de seguridad.

Sistemas de Control de Acceso Físico:
Incluyen dispositivos como cámaras de seguridad, lectores de proximidad y biométricos. Dado que requieren alta seguridad, es fundamental que estén bien protegidos para evitar accesos no autorizados.

Equipos Científicos e Industriales:
Utilizados en hospitales, fábricas y laboratorios, estos dispositivos ahora migran a redes IP, facilitando su monitoreo y gestión centralizados. Sin embargo, dado que pueden no actualizarse fácilmente, es vital aislarlos para minimizar riesgos en la red empresarial.

32
Q

¿Cuáles son las cuatro categorías principales de dispositivos IoT?

Internet Of Things (IoT)

A
  • Sistemas de Control y Hub: Actúan como un punto central de comunicación para la automatización y control de dispositivos IoT, que utilizan protocolos como Z-Wave y Zigbee en lugar de Wi-Fi o Bluetooth. Un ejemplo es el Amazon Echo, que controla otros dispositivos y sensores inteligentes en el hogar.
  • Dispositivos Inteligentes: Son los endpoints IoT que se conectan al hub central para proporcionar automatización o funciones específicas. Ejemplos incluyen bombillas inteligentes, videoporteros, termostatos, etc.
  • Wearables: Son dispositivos IoT diseñados como accesorios para ser usados, como smartwatches, pulseras, rastreadores fitness y gafas inteligentes.
  • Sensores: Los sensores IoT miden diversas variables, como temperatura, sonido, luz, humedad, proximidad, movimiento, humo, fuego, entre otros.
33
Q

Buenas Prácticas para la Seguridad de Dispositivos IoT

Internet Of Things (IoT)

A
  1. Entender los Endpoints: Cada dispositivo IoT introduce nuevas vulnerabilidades, por lo que es crucial entender el estado de seguridad de cada dispositivo antes de conectarlo a la red.
  2. Rastrear y Gestionar Dispositivos IoT: Es importante seguir un buen proceso de gestión de configuración y evitar que cualquier persona conecte dispositivos IoT a la red sin autorización y pruebas adecuadas.
  3. Aplicar Parches de Seguridad: Asegurarse de parchear las vulnerabilidades de los dispositivos IoT lo mejor posible y gestionar los riesgos residuales.
  4. Realizar Pruebas y Evaluaciones: Antes de conectar cualquier dispositivo IoT a la red, realizar pruebas y evaluaciones de seguridad, preferiblemente en una red de prueba.
  5. Cambiar Credenciales por Defecto: Los dispositivos IoT vienen con credenciales predeterminadas que deben cambiarse antes de su implementación.
  6. Usar Protocolos de Encriptación: Utilizar protocolos de encriptación para proteger los datos enviados y recibidos por los dispositivos IoT.
  7. Segmentar los Dispositivos IoT: Colocar los dispositivos IoT en su propia VLAN o subnet para evitar interferencias con la red de producción.
34
Q

¿Qué es la tecnología operativa (OT) y en qué se diferencia de la tecnología de la información (IT)?

ICS y SCADA

A

Tecnología Operativa (OT):
Se enfoca en el uso de tecnología para monitorear y controlar procesos físicos en el mundo real. OT se utiliza en sectores como la manufactura, energía, transporte y servicios públicos. Los sistemas OT interactúan directamente con maquinaria y equipos, como abrir o cerrar válvulas en una planta, generar energía, o encender y apagar luces.
Diferencia con Tecnología de la Información (IT):
Mientras que IT gestiona datos, sistemas de información y redes para apoyar la operación de negocios, OT se concentra en la operación continua y segura de sistemas industriales.
En IT, la confidencialidad es una prioridad, mientras que en OT, la disponibilidad y la integridad son críticas, ya que cualquier interrupción puede resultar en fallas operativas significativas.

35
Q

¿Qué es un sistema de control industrial (ICS) y cómo se utiliza en la tecnología operativa (OT)?

ICS y SCADA

A

Sistema de Control Industrial (ICS): Es un conjunto de sistemas utilizados para automatizar y controlar procesos industriales mediante dispositivos embebidos que realizan funciones específicas. Los ICS se implementan en infraestructura crítica, como plantas de energía, suministro de agua, servicios de salud, telecomunicaciones, y seguridad nacional.
Uso en OT: Los ICS son esenciales en la tecnología operativa, ya que permiten la automatización y control de procesos industriales para maximizar la eficiencia y reducir errores humanos. A diferencia de los sistemas IT, en los ICS la prioridad se da a la disponibilidad e integridad del sistema para evitar cualquier tiempo de inactividad que podría resultar en pérdidas financieras o riesgos de seguridad.

36
Q

¿Qué es un PLC (Controlador Lógico Programable) y cómo se conecta en un sistema de control industrial?

ICS y SCADA

A

Controlador Lógico Programable (PLC):
Es una computadora digital robusta utilizada para automatizar procesos en entornos industriales, como en líneas de ensamblaje, operaciones de campo, y robótica. Los PLC son esenciales para habilitar la automatización y realizar tareas repetitivas de manera precisa y eficiente.
Conexión mediante Fieldbus:
Los PLCs se conectan a sensores y actuadores a través de una red de comunicación llamada Fieldbus, que permite la comunicación digital en sistemas de control industrial. La programación y monitoreo de los PLC se realiza a través de una interfaz hombre-máquina (HMI), que puede ser un panel local o un software en una computadora, proporcionando un control y supervisión centralizados.

37
Q

¿Qué es SCADA y cómo se diferencia de un sistema ICS tradicional?

ICS y SCADA

A

SCADA (Supervisory Control and Data Acquisition):
Es un tipo de sistema de control utilizado para gestionar y supervisar infraestructuras y equipos distribuidos en múltiples ubicaciones geográficas desde una ubicación central. SCADA recopila datos en tiempo real y permite a los operadores monitorear y controlar sistemas remotos, como redes eléctricas, oleoductos, y plantas de tratamiento de agua.
**Diferencia con un ICS tradicional: **
Mientras que un ICS se enfoca en controlar un único sistema o planta de forma localizada, SCADA extiende su control a múltiples sistemas y ubicaciones dispersas.
SCADA no solo controla, sino que también recopila, analiza y presenta datos de estos sistemas distribuidos, proporcionando una visión amplia y centralizada de las operaciones.

38
Q

¿Cuál es la diferencia entre ICS, DCS y SCADA?

ICS y SCADA

A

ICS (Industrial Control Systems): Son sistemas utilizados para automatizar y controlar procesos industriales, gestionando maquinaria y equipos para optimizar la producción y operación. Ejemplos incluyen controladores de procesos en fábricas y sistemas de gestión de energía.

DCS (Distributed Control Systems): Es un tipo de ICS que se utiliza para controlar múltiples sistemas o procesos interconectados en una planta industrial. Un DCS distribuye el control a varias unidades en la planta, pero centraliza la supervisión y el monitoreo.

SCADA (Supervisory Control and Data Acquisition): Es un sistema que gestiona y supervisa múltiples ICS o DCS distribuidos geográficamente. SCADA se utiliza para monitorizar y controlar infraestructura crítica como redes eléctricas o sistemas de agua, recolectando datos en tiempo real y gestionando sistemas desde una ubicación centralizada.

39
Q

¿Qué es BYOD, Beneficos y Desafios?

Bring Your Own Device (BYOD)

A

BYOD (Bring Your Own Device): Es una política que permite a los empleados utilizar sus propios dispositivos personales en la red de la empresa, como laptops, tablets y teléfonos móviles.

Beneficios:
- Reducción de costos: BYOD reduce los costos para la empresa, ya que no necesita comprar dispositivos para los empleados.

Desafíos:
- Seguridad: Falta de control sobre los dispositivos personales. Un dispositivo personal puede estar expuesto a malware fuera de la red corporativa, y cuando se conecta a la red de la empresa, puede introducir vulnerabilidades.
- Gestión de dispositivos: Si la empresa proporciona el dispositivo, puede instalar un sistema de gestión de dispositivos móviles (MDM) para administrar de forma remota la configuración, las políticas de software y las actualizaciones del dispositivo.
- Propiedad de los datos: Plantea desafíos sobre la propiedad y seguridad de los datos. La segmentación de almacenamiento es una solución común para separar los datos personales de los datos corporativos en un solo dispositivo. Esto se puede lograr mediante aplicaciones que crean entornos virtuales separados o mediante el uso de aplicaciones diferentes para datos personales y corporativos.

40
Q

¿Qué es CYOD y cómo mejora la seguridad en comparación con BYOD?

Bring Your Own Device (BYOD)

A

CYOD (Choose Your Own Device): Es un modelo en el que la empresa ofrece a los empleados una selección de dispositivos aprobados. La empresa cubre el costo y tiene control total sobre la seguridad del dispositivo.
Ventajas: La empresa puede instalar MDM, aplicar políticas de seguridad como la prevención de pérdida de datos (DLP), y controlar qué aplicaciones se pueden instalar, garantizando una mejor seguridad.

41
Q

¿Qué es la desperimetrización y qué desafíos introduce en la ciberseguridad?

ZERO TRUST ARCHITECTURE

A

Desperimetrización: Es el proceso en el que muchos dispositivos de red ya no están dentro del perímetro tradicional de seguridad.
Desafíos: Introduce riesgos significativos porque el modelo de defensa perimetral ya no es suficiente. Se requiere protección adicional mediante encriptación, protocolos seguros y autenticación a nivel de datos.

42
Q

¿Qué es el modelo de Confianza Cero (Zero Trust) y por qué es necesario en la seguridad moderna?

ZERO TRUST ARCHITECTURE

A

En el entorno de seguridad moderno, las redes tradicionales han perdido su perímetro definido, lo que exige un enfoque de seguridad más dinámico y exhaustivo.
El Modelo de Confianza Cero (Zero Trust) responde a esta necesidad al operar bajo el principio de que no se confía en ningún usuario, dispositivo o sistema por defecto, sin importar su origen. Cada acceso y transacción dentro de la red es verificado continuamente para asegurar la integridad y seguridad de la información corporativa.”

43
Q

¿Cuáles son los componentes clave del plano de control en una arquitectura Zero Trust?

ZERO TRUST ARCHITECTURE

A
  1. Identidad Adaptativa (Adaptative Identity): Verificaciones en tiempo real que tienen en cuenta el comportamiento del usuario, su dispositivo, ubicación y otros factores, adaptando las identidades según sea necesario.
  2. Reducción del Alcance de la Amenaza (Threat Scope Reduction): Limita el acceso de los usuarios solo a lo necesario para sus tareas, reduciendo la superficie de ataque.
  3. Control de Acceso Basado en Políticas (Policy-driven Access Control): Desarrolla y gestiona políticas de acceso basadas en roles y responsabilidades.
  4. Zonas Seguras (Secured Zones): Entornos aislados dentro de la red diseñados para albergar datos sensibles, accesibles solo por usuarios autorizados.
44
Q

¿Cuáles son los componentes clave del plano de datos en una arquitectura Zero Trust?

ZERO TRUST ARCHITECTURE

A
  1. Sistema de Sujeto (Subject System): Verifica la autenticidad de la entidad que intenta acceder a la red.
  2. Motor de Políticas (Policy Engine): Compara la solicitud de acceso con las políticas predefinidas para determinar si se concede el acceso.
  3. Administrador de Políticas (Policy Administrator): Gestiona las políticas de acceso y garantiza que estén alineadas con los protocolos de seguridad de la organización.
  4. Punto de Aplicación de Políticas (Policy Enforcement Point): Ejecuta la decisión de conceder o denegar el acceso, actuando como guardián de las áreas sensibles de la red.
45
Q

¿Cómo se relacionan el plano de control y el plano de datos en una arquitectura Zero Trust?

ZERO TRUST ARCHITECTURE

A

Plano de Control: Define, gestiona y aplica las políticas de acceso dentro de la organización.
Plano de Datos: Asegura que las políticas establecidas en el plano de control se ejecuten correctamente para permitir o denegar el acceso y el flujo de datos a través de la red.

46
Q

¿Que es una VPN?
¿Cuáles son los tres tipos principales de configuraciones de VPN y sus usos?

Virtual Private Networks (VPN)

A

Site to Site VPN:
Es una VPN que conecta dos ubicaciones físicas diferentes, como una oficina regional con la oficina central, utilizando un túnel VPN a través de internet. Se utiliza como una alternativa más económica a las líneas arrendadas dedicadas.

Client to Site VPN:
Es una VPN que permite que un solo usuario, como un empleado remoto, se conecte de manera segura a la red corporativa. Se conecta un cliente a un router, permitiendo que el usuario acceda a la red como si estuviera físicamente en la oficina.

Clientless VPN:
Es una VPN que permite la creación de un túnel seguro a través de un navegador web, sin necesidad de instalar software o hardware adicional. Se utiliza para conexiones rápidas y seguras, como el acceso a sitios web de comercio electrónico mediante HTTPS.

47
Q

¿Qué diferencias existen entre un túnel completo (Full Tunnel) y un túnel dividido (Split Tunnel) en una VPN?

Virtual Private Networks (VPN)

A

Túnel Completo: Todo el tráfico del usuario se enruta y cifra a través de la VPN hacia la red corporativa, proporcionando mayor seguridad.
Túnel Dividido: El tráfico se divide; el tráfico corporativo se enruta por la VPN, mientras que el resto va directamente a internet, mejorando el rendimiento pero con mayores riesgos de seguridad.

48
Q

¿Cuáles son los protocolos VPN más comunes y sus características?

Virtual Private Networks (VPN)

A
49
Q

¿Qué es DTLS y en qué situaciones se utiliza?

Virtual Private Networks (VPN)

A

DTLS (Datagram Transport Layer Security): Es una versión de TLS basada en UDP que proporciona el mismo nivel de seguridad, pero con menor sobrecarga, lo que lo hace más eficiente para aplicaciones que requieren alta velocidad, como streaming de video y VoIP (Voz sobre IP). Es ideal cuando se necesita la seguridad de TLS sin el impacto en el rendimiento de TCP.

50
Q

¿Qué es Telnet y por qué se considera inseguro?

Opciones de Acceso Remoto

A

Telnet [23]
- Es un protocolo de red antiguo que permite enviar comandos basados en texto a dispositivos remotos.
- Es inseguro porque transmite toda la información, incluyendo contraseñas, en texto claro, lo que la hace vulnerable a ser interceptada.
- No debe usarse para conectar dispositivos seguros como routers o switches.

51
Q

¿Qué es SSH y por qué es preferible sobre Telnet?

Opciones de Acceso Remoto

A

SSH (Secure Shell) [22]
- Es un protocolo que permite enviar comandos basados en texto a dispositivos remotos, similar a Telnet.
- A diferencia de Telnet, SSH cifra toda la comunicación entre el cliente y el dispositivo, lo que proporciona una conexión segura.
- Es la opción recomendada para acceder a routers, switches y otros dispositivos de red de forma segura.

52
Q

¿Qué es RDP y para qué se utiliza?

Opciones de Acceso Remoto

A

RDP (Remote Desktop Protocol) [3389]
- Es un protocolo de Microsoft que permite conectarse a un ordenador de forma remota con una interfaz gráfica.
- Es útil para acceder de forma remota a servidores o equipos con Windows y permite interactuar con el sistema remoto como si estuvieras físicamente presente.

53
Q

¿Qué es un RDG y cuáles son sus características de seguridad?

Opciones de Acceso Remoto

A

RDG (Remote Desktop Gateway)
Es un servidor Windows que permite crear conexiones RDP seguras utilizando SSL o TLS.

  • Crea una conexión cifrada: Ayuda a establecer una conexión cifrada, asegurando que los datos transmitidos entre el cliente y el servidor sean seguros.
  • Controla el acceso a los recursos de la red basándose en permisos y roles de grupo: Gestiona y aplica quién tiene acceso a recursos específicos de la red, basándose en sus permisos y politicas de grupo.
  • Mantiene y aplica las políticas de autorización: Asegura que solo los usuarios y dispositivos autorizados puedan conectarse a los recursos de la red mediante la aplicación de políticas predefinidas.
  • Monitorea el estado del gateway y cualquier conexión RDP que pase por él: Proporciona capacidades de monitoreo para rastrear el estado del gateway y todas las conexiones RDP que pasan a través de él, mejorando la seguridad y supervisión
54
Q

¿En qué se diferencia VNC de RDP?

Opciones de Acceso Remoto

A

VNC (Virtual Network Computing) [5900]
- Es un protocolo multiplataforma que permite el control remoto de un sistema.
- A diferencia de RDP, que es específico de Windows, VNC puede usarse en sistemas Linux, OS X y Windows.
- VNC es útil en entornos con arquitectura thin client y VDI (Virtual Desktop Infrastructure).

55
Q

¿Qué es VDI (Virtual Desktop Infrastructure) y cuál es su propósito?

Opciones de Acceso Remoto

A

VDI (Virtual Desktop Infrastructure)
- Es una tecnología de virtualización de escritorio que permite ejecutar entornos de escritorio en un servidor centralizado.
- Permite a los usuarios acceder a un escritorio virtual desde cualquier dispositivo conectado a la red, proporcionando flexibilidad y seguridad.
- En la computación en la nube, esta tecnología se conoce como Desktop as a Service (DaaS), permitiendo el acceso remoto a un entorno de trabajo completo.

56
Q

¿Qué es la Gestión In-Band y cómo se compara con la Gestión Out-of-Band?

Opciones de Acceso Remoto

A

Gestión In-Band

Se refiere a la gestión de dispositivos a través de la misma red que se está configurando, utilizando protocolos como Telnet o SSH. En este enfoque, la administración de los dispositivos se realiza dentro de la red de producción.

Por ejemplo, un administrador puede conectarse a un router o switch utilizando SSH a través de la misma red que el dispositivo está gestionando. Esto es común en redes más pequeñas o donde no hay una necesidad crítica de una red de gestión separada.

Gestión Out-of-Band

Implica el uso de una red o conexión alternativa para gestionar los dispositivos de red, proporcionando una capa adicional de seguridad. Este método es especialmente útil en redes de gran escala, donde se requiere una red de gestión separada para configurar routers y switches sin interferir con la red de producción.

Un ejemplo de gestión Out-of-Band sería el uso de una conexión directa a un puerto de consola en un router o switch, o una red de gestión dedicada que no esté accesible desde la red de usuarios. Este enfoque garantiza que la administración de la red se pueda realizar incluso si la red principal está inactiva o comprometida, mejorando significativamente la seguridad y la estabilidad de la red.

57
Q

¿Qué es una API y cómo se utiliza en la administración de servicios en la nube?

Opciones de Acceso Remoto

A

API (Application Programming Interface)
Es un conjunto de protocolos y rutinas para construir e interactuar con aplicaciones de software. Las APIs permiten la administración automatizada, la gestión y la monitorización de servicios en la nube, así como la integración de aplicaciones de terceros en tus propios sistemas.

Las APIs suelen estar construidas utilizando REST (Representational State Transfer) o SOAP (Simple Object Access Protocol) y son clave para integrar diferentes servicios y aplicaciones en un entorno de arquitectura orientada a servicios.