Tema 9 Seguridad en redes

Question 1

¿Qué es la Seguridad Perimetral?

Answer 1

Son los equipos o el software que se coloca entre la red externa y la red interna de la empresa, para filtrar posibles ataques.

Question 2

Dí tipos de Cortafuegos:

Answer 2

1) Filtrador de Paquetes (Nivel de red). Maneja Direcciones IP y Puertos.
2) Circuit Level Gateway (Nivel Sesión). TCP Handshake.
3) Application Level Gateway. (Nivel Aplicación) –> Alias PROXY FW). HTTP
4) STATEFUL INSPECTION (Nivel de Estado) Ej: IPtables Conntrack.
5) NEXT GENERATION, => IPS, WAF (Web Application Firewall, OWASP), UTM.

Question 3

Dí aplicaciones para hacer Proxys Inversos.

Answer 3

• NGINX
• VARNISH
• HA PROXY
• SQUID
• Microsoft Forefront STIRLING (Se puede añadir en el grupo de UTM)
• APACHE (Con un módulo)

Question 4

¿Qué son UTM?

Answer 4

Unified Threat Management

Son herramientas de Seguridad Perimetral, que hacen más cosas que los clásicos, como puede ser:

• Antivirus
• Firewall
• IDS/IPS - Sistemas de detección y prevención de intrusiones.
• Antiphising
• Antispam
• VPN
• Protección de WI-FI.
• Filtrado de contenido.

Question 5

¿Qué significa IPS/IDS?

Answer 5

• INTRUSION PREVENTION SYSTEM
• INTRUSION DETECTION SYSTEM

Question 6

Dí arquitecturas de referencia de Seguridad Perimetral:

Answer 6

a) Screening Router → Tiene un solo router/proxy, entre la red externa y la interna. Filtra Paquetes.
b) Screened Host → Tenemos un router(proxy, que filtra paquetes y los envía a otro que es BASTIÓN HOST. Bastión Host, está muy securizado.
c) Dual Homed Host → Prohibido hacer routing. Es un host, con dos tarjetas de red, una conectada al exterior y la otra al interior. Aplica reglas que hemos generado, para enviar los datos a los host final.
d) Screened Subnet (DMZ) → Desconectamos la red externa, de la interna. Para ello se ponen dos routers y lo que hay entre ellos es la DMZ. Dentro de la DMZ, publicamos la WEB, o los servicios, a los que se tiene que tener acceso desde fuera. También ponemos unos Bastión Host.

Question 7

¿Qué es la CWE?

Answer 7

Common Weakness Enumeration

Es una lista creada por la comunidad, donde se reflejan vulnerabilidades y tipos de ataques no relacionados con ningún producto. Se enumeran los top 25 ataques más conocidos.

Question 8

¿Qué es una Vulnerabilidad de día cero?

Answer 8

Es una vulnerabilidad que acaba de ser descubierta y que aún no tiene parche que la solucione.

Question 9

Diferencia entre CWE y CVE.

Answer 9

CWE, son vulnerabilidades generales, no relacionadas con ningún producto.

CVE, es ya esa vulnerabilidad, asociada a un producto concreto y para ello se denominan CVE-ID, con dos formatos.
El formato es: CVE-YYYY-NNNN, donde Y=Año y N=Número de vulnerabilidad.
O si son candidatas a entrar en el CVE, el formato es:
CAN-YYYY-NNNN

Question 10

¿Que son HONEYPOTS?

Answer 10

Sistema configurado con vulnerabilidades, a modo de señuelo, para que reciba el ataque y luego poder estudiarlo.

Question 11

Sistemas de detección de Intrusos.

Answer 11

→ Sniffer de red que detecta incidencias y las registra en un log. Puede generar alarmas.

→ Suelen tener sensores virtuales, que buscan patrones de ataque y comportamiento anormal.

→ Es un software reactivo, que no intenta mitigar la intrusión.

Question 12

Tipos de IDS:
SHAN

Answer 12

→ NIDS (Vigila la red)
→ HIDS (Vigila un host)
→ SIDS Basados en FIRMAS - Supervisan todos los paquetes de la red y los comparan con los que tienen en su base de datos.
→ AIDS Basados en ANOMALÍAS - Monitoréa el tráfico y lo compara con una línea base. Compara lo que es normal en terminos de ancho de banda, protocolos, puertos, etc.
→ IDS Pasivo - Solo detecta y envía una alerta.

Question 13

¿IDS toma acciones ante una amenaza?

Answer 13

Por sí solo NO. Pero si trabaja junto con un Firewall, si.

Los IDS, suelen disponer de una base de datos de “firmas” de ataques conocidos.

Question 14

¿Qué hace IPS?

Answer 14

→ Es un software preventivo.

→ Analiza en tiempo real, el tráfico de red y los puertos.

→ Además de lanzar alarmas, puede descartar paquetes o desconectar conexiones.

Question 15

¿Qué tipos de IPS’s hay?
NBA WHN

Answer 15

→ NBA: Examinan el comportamiento de la red, para detectar ataques de denegación de servicio y parecidos.
→ WIPS: Para red WI-FI.
→ HIPS: Monitorizan un solo host.
→ NIPS: Para red LAN. Examina el tráfico.

Question 16

Di productos IDS e IPS:
SBSFASOS

Answer 16

• SNORT – IDS e IPS
• BRO - IDS
• SURICATA – IDS e IPS
• FAIL2BAN - IPS
• AIDE - IDS
• SAMHAIN - IDS
• OSSEC - IDS
• SAGAN - IDS

Question 17

¿Qué es SIEM?

Answer 17

Security Information and Event Management
SISTEMA DE GESTIÓN DE EVENTOS E INFORMACIÓN DE SEGURIDAD, que recopila información de varias fuentes, como, Gloria(CCN), Mónica(CCN) y después se investiga la relación con un posible ataque, por medio de EVENTOS.

Question 18

Tipos de VPN:

Answer 18

• De Acceso Remoto (Desde casa): (Como en Telepizza con Global) Máquina del empleado → tunel VPN (Por internet) → Servidor VPN → Red Corporativa. SÍ hay que instalar software en los equipos de los usuarios.
• De sitio a sitio (O de SEDE a SEDE): El router de una ubicación de la empresa, se conecta por medio de un tunel, con el router de otra ubicación. No hay que instalar software en los equipos de los usuarios.
• De equipo a equipo.

Question 19

¿Qué es CPSTIC?

Answer 19

Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación, recomendado por el CCN.

Question 20

¿Qué usan los IDS para la detección de intrusos?

Answer 20

Usan sensores virtuales, como Sniffers de red.

Question 21

IDS vs IPS

Answer 21

Los IDS son PASIVOS. Identifican intrusos. Generan logs.

Los IPS son PROACTIVOS. Bloquean ataques. Cortan comunicaciones, etc..

Question 22

¿Qué es una VPN?

Answer 22

• La extensión de una LAN a través de una red pública.
• Ofrece mecanismos de Autentificación, Confidencialidad e Integridad.

Question 23

Protocolos de Tunneling en VPN de Sitio a Sitio.
GRE-SEC-IP

Answer 23

• GRE (No seguro), Estándar IETF (RFC 2784). Se usa para envolver el tráfico privado.
• IPSEC → Ofrece Cifrado y/o autentificación.
• IP-in-IP → Encapsula un paquete IP en otro paquete IP

Question 24

Protocolos de Tunneling en VPN de Acceso Remoto.

Answer 24

• PPTP (Encriptación con MPPE y autentificación, con PAP, CHAP, EAP) OBSOLETO. Capa 2
• L2F (NO Encripta. SI Auth). Capa 2
• L2TP/IPsec L2TP, no cifra, eso lo hace IPsec.
• OpenVPN (SSL/TLS)
• SSTP(SSL)
• SSH
• IKEv2 Para Mac

Question 25

¿Con qué cifrados es compatible OpenVPN?

Answer 25

• AES-256
• Blowfish
• ChaCha20.

Question 26

Servidores de autentificación en VPN:

Answer 26

• RADIUS - Puerto 1812 UDP. Usa esquemas de autentificación, PAP, CHAP, EAP. AAA
• KERBEROS - Autenticación mutua, criptografía de clave simétrica y requiere un tercero de confianza. AAA
• TACACS+ - AAA
• DIAMETER - AAA

Question 27

Protocolos de autenticación y cifrado en IPsec:

Answer 27

• AH (Authentication Header) → Integridad, Autenticación en origen y no repudio, evita ataques de REPLAY. La integridad se asegura usando MESSAGE DIGEST, con HMAC-MD5 o HMAC-SHA
• ESP (Encapsulating Security Payload) → Integridad, Autenticación y confidencialidad (encriptación). También usa HMAC. Siempre cifra el PAYLOAD, con 3DES y AES.
• IKE/ISAKMP/OAKLEY/IKE2 → Intercambio secreto de claves de tipo Diffie-Hellman. Suele hacer uso de sistemas de Criptografía de clave pública o precompartida.

Question 28

Modos de operación de IPsec, tanto con AH como con ESP:

Answer 28

• Ambos modos se pueden usar en AH y ESP.
• Modo Transporte (host to host): Solo el PayLoad es cifrado y autenticado.
  OJO En modo transporte de AH, no se usan los campos mutables, como el TTL.
• Modo Túnel (VPN): Todo el paquete IP es cifrado y autenticado. Hay que encapsular en un nuevo paquete IP. Siempre aparece una nueva cabecera.

Question 29

Los IPS basan la detección de tráfico malicioso en…

Answer 29

• Firmas: como lo hace un antivirus.
• Políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad.
• Anomalías: en función con el patrón de comportamiento normal de tráfico.

Question 30

¿Qué son los ataques DoS?

Answer 30

Denial of Service

• Utiliza la familia de protoclos TCP/IP, para conseguir su propósito.
• Su objetivo es colapsar el sistema.

Question 31

Nombres de ataques DoS.
UIS SACK SMURF

Answer 31

• UDP Flood
• ICMP Flood
• SYN Flood
• SACKPanic
• SMURF

Question 32

¿Qué es un PROXY?

Answer 32

• Es un equipo que hace de intermediario entre tú y un servidor.
• Tu petición la hace el proxy, pero con su IP, no con la tuya.

Question 33

DMZ

Answer 33

También llamado Screened Subnet

Zona Desmilitarizada, entre dos routers, Secrening router.

Question 34

¿Cual es el elemento fundamental en la seguridad de redes?

Answer 34

El FIREWALL

Question 35

Di una herramienta básica de Linux para usar como firewall:

Answer 35

IPTABLES
Que es de tipo FILTRADO DE PAQUETES.
OJO, NETFILTER es el Firewall propiamente dicho, que además está en el Kernel.
Para administrar las funcionalidades que ofrece, se usa:
* IPTABLES
* FIREWALLD
* NFTABLES
* UFW-(Uncomplicated Firewall)

Question 36

¿Qué módulo en Linux, instalamos para securizar un Host?

Answer 36

SELINUX

• Se ejecuta en el espacio del usuario.
• Incluye Mandatory Access Controls (MAC)

Question 37

¿Qué es PAT en Seguridad Perimetral?

Answer 37

Port Address Translation

Cuando en el router se recibe una petición a un puerto y se redirige al puerto del host adecuado.

Question 38

Características de la familia IPSEC:

Answer 38

• Familia de protocolos que AUTENTICAN y CIFRAN paquetes de datos enviados sobre IP, a nivel de RED.
• Incluye mecanismo de autentificación mutua y negociación de claves criptográficas.

Question 39

ESP vs AH

Answer 39

ESP puede usarse para encriptar y autenticar, o solo para autenticar,
AH solo se usa para autenticar. No encripta.

Question 40

¿Qué son los Common Criteria?

Answer 40

• Es un conjunto común de requisitos funcionales para los productos de TI.
• Tiene los niveles EAL1 al EAL7

Question 41

Di nombres de productos SIEM:
ElQOGM

Answer 41

1. ELK
2. QRADAR
3. OSSIM
4. GLORIA
5. MÓNICA

Question 42

¿Qué es PAP?

Answer 42

Password Authentication Protocol

• Es una KK, ya que va sin cifrar y con el usuario y la password visibles.
• Para autenticarse en un servidor cuando vamos por VPN.
• Transmite contraseñas y usuarios en ASCII, sin cifrar.
• Para conexiones punto a punto.

Question 43

¿Qué es CHAP?

Answer 43

Challenge Handshake Authentication Protocol

• Es un mecanismo de autentificación, también para la VPN, pero en este caso, no se envía la Password, si no un Challenge, con el calculo del ID de tu password. Hace uso de una One Time Password (OTP)

Question 44

¿Qué es la triple A en Radius, Kerberos etc?

Answer 44

Es porque estos servicios, proveen:
- Authentication - Con PAP, CHAP y EAP.
- Authorization
- Accounting

Question 45

¿Qué son TUN y TAP?

Answer 45

Son interfaces virtuales de red, que usa L2TP, para pasar el tráfico privado de nuestra red, a la capa donde ya sale a internet.
TUN-> Capa de RED -> Paquetes IP
TAP -> Capa de ENLACE -> Frames

Question 46

¿Qué son Security asociations?

Answer 46

Cuando usamos IKE, en un grupo de varios nodos que son de nuestra red, hay que establecer contraseñas entre cada 2 nodos. Cada una de las relaciones de 2 nodos, se pone en las Security Asociation, que son como una lista de cada par de contraseñas.

Question 47

¿Qué es EAP?

Answer 47

Extensible Authentication Protocol

• Se usa un método de autentificación aleatorio de entre 40 diferentes. Esto lo determina el servidor desde el principio.
• Utiliza Certificados.

Question 48

¿Qué es OWASP?

Answer 48

Es una organización que se encarga de publicar las vulnerabilidades que se detectan cada año.

Question 49

¿Para qué usamos IKE en AH?

Answer 49

• AH, es un protocolo de IPSec. Usa una cosa que se llama Integrity Check Value, que es como una HMAC. La HMAC, usa mensaje y clave. Pués la clave, en este caso la generamos con IKE, que usa por debajo Diffie Hellman, para intercambio de claves privadas.

Question 50

¿Tres casos de uso de IPTables?

Answer 50

• PREROUTING-INPUT Tráfico que entra por la NIC a un proceso Local
• OUTPUT-POSTROUTING Tráfico saliente de una máquina Linux
• PREROUTING-FORWARD-POSTROUTING Hace como si fuera un Dual Homed Host, o como un router. Usa dos Interfaces de Red.

Question 51

¿Como se llaman las tablas de IPTABLES?
FI-NA-RA-MA

Answer 51

• FILTER
• NAT
• RAW
• MANGLE

Question 52

¿Con qué comando se borran todas las reglas en IPtables?

Answer 52

Con “iptables - -flush” o “iptables -F”

Question 53

¿Cual es la tabla por defecto de IPtables?

Answer 53

• FILTER