9. Seguridad Flashcards
Cuales son los tres tipos de seguridad en la estación de trabajo?
EPP: Endpoint protection platform
* Orientado al chequeo luego de la acción (es reactivo)
EDR: Endpoint detection and recovery
* Orientado al monitoreo continuo en tiempo real.
* Analisis periódico de archivos
* Patrones de comportamiento.
XDR: Extended detection and recovery
* mejora los tiempos de deteccion y respuesta
* Recolecta información del usuario y de las redes. Aplica deep learning.
Qué pasa si en una red dos máquinas tienen la misma IP?
Los paquetes ARP se van venciendo porque tienen un ttl. Entonces se va a tener una condición de carrera cuando se pregunte quién tiene la MAC de esa IP. El primero que conteste se queda con la IP.
En que capa OSI se hacen los ataques Man in the Middle?
Capa 2. Siempre con MAC address, no con IP
En que consiste un ataque HTTPS?
Asumiendo que hice un man in the middle
Si quiero ver trafico encriptado voy a levantar un proxy que reciba conexiones SSL. Tengo que tener una URL distinta al destino real y conseguirle un certificado valido (para https). Con mi URL false consigo los certificados para la real y hago de pasamanos (cilente-dominio falso, mi servidor-destino real).
Que tipos de ataques ransomware existen?
Crypto ransomware: Encripta los archivos en el equipo
Ransomware bloqueador: Bloquea el acceso a la PC entera.
Crypto-ransomware + exfiltración: encriptan todo en la compu y amenazan con publicarlo.
Que es NAC? Como se utiliza en una empresa con BYOD?
Network Access Control. Permite el acceso fisico a la red solo a usuarios autenticados. Lo deben soportar el switch y la estación de trabajo.
Me conecto a la red, entonces el SO envía un mensaje EAPOL. La primera vez el switch te da una IP para una red publica (VLAN) que no tiene acceso a nada, solo vos y el switch ahí. Levanta un portal web de autenticación en la VLAN, y compara las credenciales con un servidor de autenticación. Si está todo OK te cambia de VLAN. Elprotocolo es RADIUS o Diameter, o cualquier cosa para guardar credenciales.
con BYOD el empleado trae su propia computadora y se le pide que se autentique.
Si quiero chequear mas hago Host Integrity Check
Que es un Host Integrity Check en el contexto Bring your own device?
Una vez que el host está autenticado, le pido que se instale un programa que chequea integridad de la computadora (antivirus, firewall etc). Si no lo pasa el NAC no le da acceso a la red.
Que es un DMZ?
Zona desmilitarizada
Es la parte de la red de la empresa que se encuentra fuera del perímetro de seguridad. Es una red para los servicios externos.
Sirve para que los usuarios de internet se conecten a la DMZ, y si necesito consultar algo de la red interna solo dejo que entren pedidos de mis servers en la DMZ, no de internet global.
Como es la configuración de 3 Zonas? (contexto: Firewalls)
Para no tener que tener dos firewalls. secuenciales que separen internet de DMZ y DMZ de red interna, uso un solo firewall con 3 interfaces. bloqueo completamente WAN a red interna.
Es mas sencillo de administrar y mas económico, pero tiene un SPOF.
Que es IDS e IPS?
Intrusion Detection System e Intrusion Prevention System.
Miran el tráfico y tratan de detectar si les están intentando hacer un ataque.
Tienen una base de los tipos de ataques que existen.
