Tema 9 Seguridad en redes Flashcards
¿Qué es la Seguridad Perimetral?
Son los equipos o el software que se coloca entre la red externa y la red interna de la empresa, para filtrar posibles ataques.
Dí tipos de Cortafuegos:
1) Filtrador de Paquetes (Nivel de red). Maneja Direcciones IP y Puertos.
2) Circuit Level Gateway (Nivel Sesión). TCP Handshake.
3) Application Level Gateway. (Nivel Aplicación) –> Alias PROXY FW). HTTP
4) STATEFUL INSPECTION (Nivel de Estado) Ej: IPtables Conntrack.
5) NEXT GENERATION, => IPS, WAF (Web Application Firewall, OWASP), UTM.
Dí aplicaciones para hacer Proxys Inversos.
- NGINX
- VARNISH
- HA PROXY
- SQUID
- Microsoft Forefront STIRLING (Se puede añadir en el grupo de UTM)
- APACHE (Con un módulo)
¿Qué son UTM?
Unified Threat Management
Son herramientas de Seguridad Perimetral, que hacen más cosas que los clásicos, como puede ser:
- Antivirus
- Firewall
- IDS/IPS - Sistemas de detección y prevención de intrusiones.
- Antiphising
- Antispam
- VPN
- Protección de WI-FI.
- Filtrado de contenido.
¿Qué significa IPS/IDS?
- INTRUSION PREVENTION SYSTEM
- INTRUSION DETECTION SYSTEM
Dí arquitecturas de referencia de Seguridad Perimetral:
a) Screening Router → Tiene un solo router/proxy, entre la red externa y la interna. Filtra Paquetes.
b) Screened Host → Tenemos un router(proxy, que filtra paquetes y los envía a otro que es BASTIÓN HOST. Bastión Host, está muy securizado.
c) Dual Homed Host → Prohibido hacer routing. Es un host, con dos tarjetas de red, una conectada al exterior y la otra al interior. Aplica reglas que hemos generado, para enviar los datos a los host final.
d) Screened Subnet (DMZ) → Desconectamos la red externa, de la interna. Para ello se ponen dos routers y lo que hay entre ellos es la DMZ. Dentro de la DMZ, publicamos la WEB, o los servicios, a los que se tiene que tener acceso desde fuera. También ponemos unos Bastión Host.
¿Qué es la CWE?
Common Weakness Enumeration
Es una lista creada por la comunidad, donde se reflejan vulnerabilidades y tipos de ataques no relacionados con ningún producto. Se enumeran los top 25 ataques más conocidos.
¿Qué es una Vulnerabilidad de día cero?
Es una vulnerabilidad que acaba de ser descubierta y que aún no tiene parche que la solucione.
Diferencia entre CWE y CVE.
CWE, son vulnerabilidades generales, no relacionadas con ningún producto.
CVE, es ya esa vulnerabilidad, asociada a un producto concreto y para ello se denominan CVE-ID, con dos formatos.
El formato es: CVE-YYYY-NNNN, donde Y=Año y N=Número de vulnerabilidad.
O si son candidatas a entrar en el CVE, el formato es:
CAN-YYYY-NNNN
¿Que son HONEYPOTS?
Sistema configurado con vulnerabilidades, a modo de señuelo, para que reciba el ataque y luego poder estudiarlo.
Sistemas de detección de Intrusos.
→ Sniffer de red que detecta incidencias y las registra en un log. Puede generar alarmas.
→ Suelen tener sensores virtuales, que buscan patrones de ataque y comportamiento anormal.
→ Es un software reactivo, que no intenta mitigar la intrusión.
Tipos de IDS:
SHAN
→ NIDS (Vigila la red)
→ HIDS (Vigila un host)
→ SIDS Basados en FIRMAS - Supervisan todos los paquetes de la red y los comparan con los que tienen en su base de datos.
→ AIDS Basados en ANOMALÍAS - Monitoréa el tráfico y lo compara con una línea base. Compara lo que es normal en terminos de ancho de banda, protocolos, puertos, etc.
→ IDS Pasivo - Solo detecta y envía una alerta.
¿IDS toma acciones ante una amenaza?
Por sí solo NO. Pero si trabaja junto con un Firewall, si.
Los IDS, suelen disponer de una base de datos de “firmas” de ataques conocidos.
¿Qué hace IPS?
→ Es un software preventivo.
→ Analiza en tiempo real, el tráfico de red y los puertos.
→ Además de lanzar alarmas, puede descartar paquetes o desconectar conexiones.
¿Qué tipos de IPS’s hay?
NBA WHN
→ NBA: Examinan el comportamiento de la red, para detectar ataques de denegación de servicio y parecidos.
→ WIPS: Para red WI-FI.
→ HIPS: Monitorizan un solo host.
→ NIPS: Para red LAN. Examina el tráfico.
Di productos IDS e IPS:
SBSFASOS
- SNORT – IDS e IPS
- BRO - IDS
- SURICATA – IDS e IPS
- FAIL2BAN - IPS
- AIDE - IDS
- SAMHAIN - IDS
- OSSEC - IDS
- SAGAN - IDS
¿Qué es SIEM?
Security Information and Event Management
SISTEMA DE GESTIÓN DE EVENTOS E INFORMACIÓN DE SEGURIDAD, que recopila información de varias fuentes, como, Gloria(CCN), Mónica(CCN) y después se investiga la relación con un posible ataque, por medio de EVENTOS.
Tipos de VPN:
- De Acceso Remoto (Desde casa): (Como en Telepizza con Global) Máquina del empleado → tunel VPN (Por internet) → Servidor VPN → Red Corporativa. SÍ hay que instalar software en los equipos de los usuarios.
- De sitio a sitio (O de SEDE a SEDE): El router de una ubicación de la empresa, se conecta por medio de un tunel, con el router de otra ubicación. No hay que instalar software en los equipos de los usuarios.
- De equipo a equipo.
¿Qué es CPSTIC?
Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación, recomendado por el CCN.
¿Qué usan los IDS para la detección de intrusos?
Usan sensores virtuales, como Sniffers de red.
IDS vs IPS
Los IDS son PASIVOS. Identifican intrusos. Generan logs.
Los IPS son PROACTIVOS. Bloquean ataques. Cortan comunicaciones, etc..
¿Qué es una VPN?
- La extensión de una LAN a través de una red pública.
- Ofrece mecanismos de Autentificación, Confidencialidad e Integridad.
Protocolos de Tunneling en VPN de Sitio a Sitio.
GRE-SEC-IP
- GRE (No seguro), Estándar IETF (RFC 2784). Se usa para envolver el tráfico privado.
- IPSEC → Ofrece Cifrado y/o autentificación.
- IP-in-IP → Encapsula un paquete IP en otro paquete IP
Protocolos de Tunneling en VPN de Acceso Remoto.
- PPTP (Encriptación con MPPE y autentificación, con PAP, CHAP, EAP) OBSOLETO. Capa 2
- L2F (NO Encripta. SI Auth). Capa 2
- L2TP/IPsec L2TP, no cifra, eso lo hace IPsec.
- OpenVPN (SSL/TLS)
- SSTP(SSL)
- SSH
- IKEv2 Para Mac
¿Con qué cifrados es compatible OpenVPN?
- AES-256
- Blowfish
- ChaCha20.
Servidores de autentificación en VPN:
- RADIUS - Puerto 1812 UDP. Usa esquemas de autentificación, PAP, CHAP, EAP. AAA
- KERBEROS - Autenticación mutua, criptografía de clave simétrica y requiere un tercero de confianza. AAA
- TACACS+ - AAA
- DIAMETER - AAA
Protocolos de autenticación y cifrado en IPsec:
- AH (Authentication Header) → Integridad, Autenticación en origen y no repudio, evita ataques de REPLAY. La integridad se asegura usando MESSAGE DIGEST, con HMAC-MD5 o HMAC-SHA
- ESP (Encapsulating Security Payload) → Integridad, Autenticación y confidencialidad (encriptación). También usa HMAC. Siempre cifra el PAYLOAD, con 3DES y AES.
- IKE/ISAKMP/OAKLEY/IKE2 → Intercambio secreto de claves de tipo Diffie-Hellman. Suele hacer uso de sistemas de Criptografía de clave pública o precompartida.
Modos de operación de IPsec, tanto con AH como con ESP:
- Ambos modos se pueden usar en AH y ESP.
-
Modo Transporte (host to host): Solo el PayLoad es cifrado y autenticado.
OJO En modo transporte de AH, no se usan los campos mutables, como el TTL. - Modo Túnel (VPN): Todo el paquete IP es cifrado y autenticado. Hay que encapsular en un nuevo paquete IP. Siempre aparece una nueva cabecera.
Los IPS basan la detección de tráfico malicioso en…
- Firmas: como lo hace un antivirus.
- Políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad.
- Anomalías: en función con el patrón de comportamiento normal de tráfico.
¿Qué son los ataques DoS?
Denial of Service
- Utiliza la familia de protoclos TCP/IP, para conseguir su propósito.
- Su objetivo es colapsar el sistema.
Nombres de ataques DoS.
UIS SACK SMURF
- UDP Flood
- ICMP Flood
- SYN Flood
- SACKPanic
- SMURF
¿Qué es un PROXY?
- Es un equipo que hace de intermediario entre tú y un servidor.
- Tu petición la hace el proxy, pero con su IP, no con la tuya.
DMZ
También llamado Screened Subnet
Zona Desmilitarizada, entre dos routers, Secrening router.
¿Cual es el elemento fundamental en la seguridad de redes?
El FIREWALL
Di una herramienta básica de Linux para usar como firewall:
IPTABLES
Que es de tipo FILTRADO DE PAQUETES.
OJO, NETFILTER es el Firewall propiamente dicho, que además está en el Kernel.
Para administrar las funcionalidades que ofrece, se usa:
* IPTABLES
* FIREWALLD
* NFTABLES
* UFW-(Uncomplicated Firewall)
¿Qué módulo en Linux, instalamos para securizar un Host?
SELINUX
- Se ejecuta en el espacio del usuario.
- Incluye Mandatory Access Controls (MAC)
¿Qué es PAT en Seguridad Perimetral?
Port Address Translation
Cuando en el router se recibe una petición a un puerto y se redirige al puerto del host adecuado.
Características de la familia IPSEC:
- Familia de protocolos que AUTENTICAN y CIFRAN paquetes de datos enviados sobre IP, a nivel de RED.
- Incluye mecanismo de autentificación mutua y negociación de claves criptográficas.
ESP vs AH
ESP puede usarse para encriptar y autenticar, o solo para autenticar,
AH solo se usa para autenticar. No encripta.
¿Qué son los Common Criteria?
- Es un conjunto común de requisitos funcionales para los productos de TI.
- Tiene los niveles EAL1 al EAL7
Di nombres de productos SIEM:
ElQOGM
- ELK
- QRADAR
- OSSIM
- GLORIA
- MÓNICA
¿Qué es PAP?
Password Authentication Protocol
- Es una KK, ya que va sin cifrar y con el usuario y la password visibles.
- Para autenticarse en un servidor cuando vamos por VPN.
- Transmite contraseñas y usuarios en ASCII, sin cifrar.
- Para conexiones punto a punto.
¿Qué es CHAP?
Challenge Handshake Authentication Protocol
- Es un mecanismo de autentificación, también para la VPN, pero en este caso, no se envía la Password, si no un Challenge, con el calculo del ID de tu password. Hace uso de una One Time Password (OTP)
¿Qué es la triple A en Radius, Kerberos etc?
Es porque estos servicios, proveen:
- Authentication - Con PAP, CHAP y EAP.
- Authorization
- Accounting
¿Qué son TUN y TAP?
Son interfaces virtuales de red, que usa L2TP, para pasar el tráfico privado de nuestra red, a la capa donde ya sale a internet.
TUN-> Capa de RED -> Paquetes IP
TAP -> Capa de ENLACE -> Frames
¿Qué son Security asociations?
Cuando usamos IKE, en un grupo de varios nodos que son de nuestra red, hay que establecer contraseñas entre cada 2 nodos. Cada una de las relaciones de 2 nodos, se pone en las Security Asociation, que son como una lista de cada par de contraseñas.
¿Qué es EAP?
Extensible Authentication Protocol
- Se usa un método de autentificación aleatorio de entre 40 diferentes. Esto lo determina el servidor desde el principio.
- Utiliza Certificados.
¿Qué es OWASP?
Es una organización que se encarga de publicar las vulnerabilidades que se detectan cada año.
¿Para qué usamos IKE en AH?
- AH, es un protocolo de IPSec. Usa una cosa que se llama Integrity Check Value, que es como una HMAC. La HMAC, usa mensaje y clave. Pués la clave, en este caso la generamos con IKE, que usa por debajo Diffie Hellman, para intercambio de claves privadas.
¿Tres casos de uso de IPTables?
- PREROUTING-INPUT Tráfico que entra por la NIC a un proceso Local
- OUTPUT-POSTROUTING Tráfico saliente de una máquina Linux
- PREROUTING-FORWARD-POSTROUTING Hace como si fuera un Dual Homed Host, o como un router. Usa dos Interfaces de Red.
¿Como se llaman las tablas de IPTABLES?
FI-NA-RA-MA
- FILTER
- NAT
- RAW
- MANGLE
¿Con qué comando se borran todas las reglas en IPtables?
Con “iptables - -flush” o “iptables -F”
¿Cual es la tabla por defecto de IPtables?
- FILTER
