Brainscape's Knowledge GenomeTM


Top Flashcards (Certified)
All Flashcards

Tarjetas MBH > B4-T9_SEG.REDES y VPN > Flashcards

B4-T9_SEG.REDES y VPN Flashcards

(95 cards)

Start Studying
1
Q

Los 2 apartados de la Seguridad en Redes son “Seg. Perimetral y VPN”, ¿podrías definirlos?

A
  1. Se llama SEGURIDAD PERIMETRAL, porque abarca el perímetro de la empresa. Protege tanto los que venga de fuera (entrada), como lo que salga de dentro (salida).

Ej: accesos NO autorizados o fugas de información.

  1. Una red VPN es el mecanismo para extender una LAN privada a través de una red pública (internet). Es decir, es una gran red privada que atraviesa redes públicas (internet).

Ej: para añadir a la red de la empresa un trabajador o puesto remoto.

*Una VPN tiene que garantizar: AUTENTICACIÓN, CONFIDENCIALIDAD e INTEGRIDAD => las 3 cosas!

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Sabemos que el ENS (Esquema Nacional de Seguridad) consiste en proteger la información de las personas de amenazas y ataque mediante unas medidas de ciberseguridad adecuadas, define, dentro de dichas medidas, las de PERÍMETRO SEGURO (mp.com.1):

A

Estas medidas (mp.com.1) se aplican a los 2 activos de la Administración Pública (servicios y datos), atendiendo a la categoría de criticidad:

  1. Categorías BÁSICA y MEDIA: se dispondrá un sistema de cortafuegos que separe la red interna del exterior => TODO el tráfico deberá atravesar dicho cortafuegos que sólo dejará transitar los flujos previamente autorizados.
  2. Categoría ALTA:
    2.1. El sistema de cortafuegos constará de 2 o más equipos de diferente fabricante dispuestos en cascada.
    2.2. Se dispondrán sistemas redundantes.

NOTA: el mp.com.4 abarca las medidas: SEGREGACIÓN DE REDES.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Sabemos que el ENS (Esquema Nacional de Seguridad) consiste en proteger la información de las personas de amenazas y ataque mediante unas medidas de ciberseguridad adecuadas, define, dentro de dichas medidas, las de SEGREGACIÓN DE REDES (mp.com.4):

A

La Segregación de Redes (mp.com.4) acota el acceso a la información, reduciendo así la propagación de los incidentes de seguridad, pues quedan restringidos al entorno donde ocurren.

Categoría ALTA: la red se segmentará en segmentos de forma que haya:
a) Control de entrada de los usuarios que llegan a cada segmento.
b) Control de salida de la información disponible en cada segmento.
c) Las redes se pueden segmentar por dispositivos físicos o lógicos. El punto de interconexión estará particularmente asegurado, mantenido y monitorizado (como en mp.com.1).

NOTA: el mp.com.1 abarca las medidas: PERÍMETRO SEGURO.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Enumera y describe los 5 tipos de Cortafuegos:

A
  1. FILTRADO DE PAQUETES (packet filter): trabaja a nivel de red/transporte y bloquea el tráfico en función de IPs y Puertos.
    Ej: NetFilter (es el cortafuegos de linux) administrado por FirewallD, nftables, ufw o IPTABLES (este último también tiene capacidades de “Stateful Inspection”)
  2. STATEFUL INSPECTION (inspección de estado): para definir reglas en relación a lo acontecido en el pasado, es decir, definir reglas para el tráfico entrante en función del tráfico pasado.
    Ej: el módulo de IPTABLES: “IPtables Conntrack”
  3. CIRCUIT-LEVEL GATEWAY: (nivel sesión, ej: TCP) utilizado para aquellos protocolos que tengan capacidad de sesiones: TCP, SSL, …

4.APLICATION LEVEL GATEWAY, alias Proxy Inverso: (nivel de aplicación, ej: HTTP). Es el FireWall que esta más arriba.
Hay 4 productos de este tipo PROXY:
*Squid
*Nginx
*Varsnish
*HAProxy

  1. NEXT GENERATION:
    *IPS (protección contra intrusoso)
    *WAF (Web Aplication Firewall): firewall especializado en ataques web.
    *UTM (gestión unificada de amenazas): puede usarse como firewall, antivirus, antispam, … => por lo cual, es el Happy Meal de los cortafuegos.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

¿Realmente el CortaFuegos de LINUX se llama IPtables?

A

No, se llama “NetFilter”, es del tipo “filtrador de paquetes” de cortafuegos. IPtables es uno de los primeros comandos para administrar las reglas de filtrado de este “packet filer” o tipo de cortafuegos.

Ejemplos de Reglas:
Tráfico que entra le aplico una regla.
Tráfico que sale le aplico otra regla.

NOTA: NetFilter también es conocido como “HUB”, porque puedes engancharte en múltiples puntos de la cadena de filtrado.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Además de IPtables, ¿qué otras maneras, además más sencillas, hay de administrar las reglas de “NETFILTER” (cortafuegos de linux “filtrador de paquetes”)?

A

*FirewallD: cuyo comando es “cmd”.
Ej: para agregar el servicio “smtp” a la zona pública =>
sudo firewall-cmd –zone=public–add-service=smtp

NOTA: la “D” de FirewallD, es de Demonio, pues habla con un demonio en lugar de llamar a NetFilter directamente.

*ufw (Uncomplicated FireWall = cortafuegos sin compilaciones): cuyo comando es “ufw”.
Ej: para activarlo =>
sudo ufw enable

*nftables: es el de nueva generación. Cuyo comando es “nft”.
Ej: para añadir e insertar regla =>
nft add rule
nft insert rule

NOTA: estos 3 sistemas son más sencillos que IPtables.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

¿Qué tipo de cortafuegos es UTM y que funcionalidades proporciona?

A

Es del tipo NEXT GENERATION (próxima generación). Como su propio nombre indica (gestión UNIFICADA de amenazas), gestionan de una forma centralizada (unificada) la mayoría de las amenazas:

*Antivirus

*Cortafuegos (firewall)

*Sistemas de detección/Prevención de intrusos => IDS/IPS.

*Anti-phishing (vigilan el tráfico de aplicaciones para detectar intentos de obtener información)

*Anti-spam

*VPN (Redes Privadas Virtuales)

*Sistemas de protección de WIFI.

*Filtrado de contenido.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Sabemos que los UTM son sistemas de seguridad perimetrales, pues se ubican entre internet y la red interna para inspeccionar el tráfico, pero ¿qué 2 modos tienen de inspeccionar?

A

a) Modo TRANSPARENTE: identifica y bloquea las amenazas en tiempo real, y requiere una menor capacidad de procesamiento, por lo que los usuarios apenas reciben retardo en la comunicación (transparente).

b) Modo PROXY: primero, analiza el tráfico igual que el modo Transparente, sobre ese resultado realizará un 2º análisis. Por lo cual, requiere de una mayor capacidad de procesamiento, aunque es más eficaz.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

¿Qué es y cómo se instala el módulo “Apache mod-security WAF”?

A

El “ModSecurity” es un módulo de seguridad Apache, que funciona como cortafuegos de tipo WAF (cortafuegos de aplicaciones web).

SE INSTALA:
apt-get install libapache2-mod-security2

NOTA: su fichero de configuración es: modsecurity.conf

*Aporta reglas CRS (Core Rule Set) para proteger ante ataques de tipo:
XSS
SQLi
CSRF
DDOS

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Define algunos tipos de ataques:

A

*XSS: (Cross-site scripting) tipo de ataque que aprovecha fallas de seguridad en sitios web y permite a un atacante inyectar en un sitio web código malicioso (script) del lado del cliente. Este código es ejecutado por un usuario desprevenido que visita dicho sitio y afectarlo, ya sea robando credenciales, redirigiendo al usuario a otro sitio malicioso, o para realizar DEFACEMENT en un sitio web.

NOTA: “defacement” es un ataque a un sitio web que cambia la apariencia visual de una página web.

*SQLi: un ataque de inyección de SQL usa un código SQL malicioso para manipular la base de datos de backend y acceder a información privada. Esta información puede incluir datos sensibles de empresas, listas de usuarios o detalles de los clientes.

*Otros tipos de ataques: CSRF y DDOS.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Define algunos tipos de ataques:

A

CSRF: (Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario EN EL QUE EL SITIO CONFIABA.

NOTA: “exploit”, es un fragmento de software, que aprovecha una vulnerabilidad de un sistema para provocar un comportamiento involuntario. Su nombre deriva del verbo inglés to exploit, que significa “usar algo en beneficio propio”.

DDOS: intenta colapsar un sitio web, con tráfico malintencionado para que no pueda funcionar correctamente.

*Otros tipos de ataques: XSS y SQLi.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

¿Cuál es el organismo que se encarga de estudiar y publicar las vulnerabilidades del entorno web?

A

OWASP (acrónimo de Open Web Application Security Project = Proyecto abierto de seguridad de aplicaciones web) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

Lo reflejan o hacen constar en el OWASP Top 10, que es un informe que se actualiza con regularidad y en el que se exponen los problemas de seguridad de las aplicaciones web, centrándose en los 10 riesgos más importantes.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

¿En qué se diferencian los Sistemas de Protección contra Intrusos: IDS (Intrusion DETECTION System) e IPS (Intrusion PREVENTION System)?

A

IDS, monitoriza redes para SÓLO detectar e informa de actividades no autorizadas. En cambio, IPS, monitoriza redes, pero, además de detectar dichos accesos NO autorizados, también intenta impedirlos descartando/bloqueando los paquetes sospechosos.

Es decir, IDS es un sistema PASIVA e IPS es ACTIVO.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Define 2 tipos de sistemas de DETECCIÓN contra intrusos (IDS):

A

*NIDS: detectores de intrusos en REDES (vigila la RED).

EJEMPLO: Snort, Suricata, Bro y Kismet.

*HIDS: detectores de intrusos en HOST (vigila cambios en un HOST).

EJEMPLO: Ossec, Wazuh y Samhain.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Enumera 4 tipos de sistemas de PREVENCIÓN contra intrusos (IPS):

A

*HIPS (Host-based intrusion prevention system): buscan actividades sospechosas en host únicos.

*NIPS (Network-based intrusion prevention system): basados en red, buscan tráfico de red sospechoso.

*WIPS (Wireless intrusion prevention system): basados en Wireless, buscan en la red inalámbrica tráfico sospechoso.

*NBA (Network behavior analysis):basados en el comportamiento de la red, identificando tráfico inusual.
NOTA: BEHAVIOR = COMPORTAMIENTO.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

¿Existe alguna herramienta para CENTRALIZAR toda la información recabada de monitorizar las fuentes de una red?

A

SIEM (Sistema de gestión de eventos e información de seguridad = Security Information and Event Management).

Esta herramienta recopila o centraliza la información (registros “log”) de múltiples orígenes o fuentes.
Con toda esa información o conjunto de registros “log”, el administrador llevará a cabo un proceso de NORMALIZACIÓN y CORRELACIÓN para obtener un neto (EVENTO) de todo ese bruto de información. Este proceso consta del establecimiento de ciertas REGLAS.
EJEMPLOS de Reglas: cuando en el Apache haya un “log” de tal formato conviértelo en algún EVENTO de seguridad, como: “Fallo en Cliente” o “Fallo en el Servidor”.

*Estas REGLAS (Normalización+Correlación) se establecerán de manera particular para cada fuente, para obtener del bruto (todos los registros de todas las fuentes) ese neto o EVENTO.

*Uno de los SIEM por excelencia es OSSIM.

NOTA: un “evento” en seguridad es CONOCIMIENTO.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Sabemos que un sistema de seguridad SIEM recopila los registros de varias fuentes para obtener un conjunto neto o EVENTO, que no es más que el conocimiento centralizado de dicha información para poderla manejar con mayor inteligencia. Pues indica cuál es el SIEM más importante:

A

Uno de los SIEM por excelencia es OSSIM, cual realiza su trabajo integrando un conjunto de herramientas, tales como:

*Descubrimientos de activos: prads, Nmap

*Detección de amenazas: OSSEC, snort, Suricata

*Monitorización: ntop, tcpdump, Nagios

*Evaluación de vulnerabilidad: OpenVas, Nikto

NOTA: CUALQUIER SISTEMA DE PROTECCIÓN NO ES SISTEMA SIEM, PARA SERLO TENDRÍA QUE INTRODUCIR ESA CAPA DE NORMALIZACIÓN+CORRELACIÓN PARA OBTENER, EN LUGAR DE SIMPLE INFORMACIÓN, ESE CONOCIMIENTO NETO O “EVENTO”.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Enumera algunos sistemas SIEM:

A

*OSSIM: es uno de los + importantes.

*Gloria y Mónica: son los que están dentro de la Administración Pública (CCN).

*Otros: ELK, Metron y QRadar.

NOTA: El CCN es el organismo responsable de garantizar la seguridad de los servicios de tecnologías de la información y comunicaciones en las diferentes entidades de la Administración Pública.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

¿Hay alguna herramienta para que haga de señuelo para cazar al atacante?

A

HoneyPots (tarros de miel).

Sistema configurado con vulnerabilidades “evidentes” con el objetivo de atraer y estudiar a los diferentes atacantes.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

¿Qué es un host BASTIÓN?

A

Un host BASTIÓN es un sistema informático especialmente diseñado para resistir ataques informáticos. Se ubica entre la red informática a proteger (por ejemplo fuera del firewall o cortafuegos o en la DMZ -zona desmilitarizada-) y el exterior (Internet), quedando expuesto a las amenazas. Su principal objetivo es el de FILTRAR el tráfico de entrada y de salida según las directrices que tenga configuradas haciendo de “proxy”, permitiendo y denegando conexiones.

*Esta arquitectura se denomina “Screened Host”.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

¿En qué se diferencian las arquitectura de filtrado de paquetes (o tráfico de red) “Screened Host” y “Dual-Homed Host”?

A

Son lo contrario, Dual-Homed Host NO enruta el tráfico, sino que se compone de simples máquinas Unix (que hacen de proxy), denominadas ANFITRIONES de dos bases, equipadas con dos tarjetas de red: una se conecta a la red interna a proteger y la otra a la red externa.
Esta máquina (proxy) establece de donde a donde irá la información, es decir, es quien gobierna las reglas de entrada con su correspondiente salida.

*NO ENCAMINA, ya que simplemente coge petición HTTP y se la entrega directamente al Host destino, ya que tiene acceso a los hosts.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Describe los productos “proxy”: SQUID y NGINX:

A

*El proxy Squid es un servidor web proxy-CACHÉ, que proporciona un servicio de proxy que soporta peticiones HTTP, HTTPS y FTP a equipos que necesitan acceder a Internet y a su vez provee la funcionalidad de caché especializado en el cual almacena de forma local las páginas consultadas recientemente por los usuarios.

*Nginx, es un servidor web de código abierto que, desde su éxito inicial como servidor web, ahora también es usado como proxy INVERSO, cache de HTTP, y balanceador de carga.

NOTA: ademas los tipos CACHE e INVERSO, hay otros tipos de servidores proxy: WEB, TRANSPARENTES o NAT.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Además de las arquitecturas de filtrado de paquetes (Seguridad en redes) “Screened Host” y “Dual-Homed Host”, existe la “DMZ”, que es la técnica de diseño de Seguridad PERIMETRAL más usada hoy en día. Definela:

A

La principal función de una DMZ es permitir que los equipos informáticos puedan prestar servicios a la red externa como un correo electrónico. El servidor DMZ, colocado entre la red interna y externa, funciona de filtro protector de la red interna, actúa como “cortafuegos y de esta forma protege la red de intrusiones maliciosas.

EJEMPLO EN FOTO: tenemos un doble FireWall (son los dos routers), uno para filtrar tráfico de nuestra red y el otro de internet.
El tráfico permitido es hacia dentro (indicado por las flechas rojas), pero sólo a elementos que tengamos en la DMZ (Zona Desmilitarizada): mi web, mi DNS, mi FTP, mi MTA (correo), …
Por lo cual, el tráfico que vaya directamente desde Internet a la red interna, sin pasar por la DMZ esta totalmente PROHIBIDO.

*Este sistema aparenta que la red interna con la externa (internet), este desconectada. Pues, no habrá conexión que no permita la DMZ.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

¿Cuál es el principal objetivo de una red VPN?

A

REDUCIR COSTES.

Pues si en lugar de hacer esas nuevas y necesarias conexiones (entre redes privadas o, simplemente, para añadir un puesto), con el mecanismo de extender nuestra red LAN privada por la red pública (VPN), lo hiciéramos a través de lineas dedicadas (PPP), el coste sería mayor.

*Una VPN tiene que garantizar: AUTENTICACIÓN, CONFIDENCIALIDAD e INTEGRIDAD => => las 3 cosas! si no garantizan alguna se DEJARÍA DE UTILIZAR x ser una VPN vulnerable.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Define los escenarios o tipologías VPN de acceso REMOTO y De SITIO a SITIO:
1. De Acceso REMOTO: una vez que esta establecido el camino o tunel VPN (rojo en la foto) entre el software "cliente vpn" y el servidor VPN, se permitirá acceso a los servicios para los que estemos autorizados. 2. De SITIO a SITIO: aquí el tráfico tunelizado o securizado (rojo en la foto), es de router a router. En lugar de dentro de las redes. Dando la apariencia de que ambas redes (routers) están conectados y en medio no hay red pública. EJEMPLO DE LA FOTO: si alguien de la red A se quiere comunicar con alguien de la red B, los routers envían la información en dicha dirección "securizada" o "tunelizada" (es una especie de envoltura del tráfico). Es decir, se envuelve el tráfico enviado de una red a otra a través de la red pública (Internet), de manera que parece que es de la misma red. NOTA: hay una tercera tipología de VPN => de EQUIPO a EQUIPO.
26
¿Cuáles son los 2 elementos principales que forman una red VPN?
a) El Servidor, Concentrador o Gateway VPN: es el elemento básico de la infraestructura VPN y se encarga de establecer las conexiones seguras (túnel VPN) con los dispositivos del usuario o con otro servidor VPN. b) Cliente VPN: es el software que debe ser instalado en los dispositivos de usuario para poder establecer la conexión segura con el servidor VPN.
27
Además de los escenarios o tipologías VPN de acceso REMOTO y De SITIO a SITIO, existe un 3º "De EQUIPO a EQUIPO, definelo:
Para proteger el tráfico entre 2 equipos, es decir, sólo te conectas a un sólo host o servidor.. Normalmente se utilizan para realizar administración remota de servidores que usan protocolos inseguros, o que se encuentran en redes con riesgos de seguridad, como la DMZ. EJEMPLO FOTO: las conexiones VPN se establecen entre el equipo origen (cliente) y el equipo destino (servidor) (ver FOTO). El servidor tendrá el software VPN instalado y configurado para proporcionar los servicios VPN y aceptar conexiones de los equipos cliente, que tendrán instalado y configurado el software cliente VPN. Cuando el equipo cliente solicita la conexión al equipo servidor, se realizará el proceso de autenticación y si ésta es correcta, se establecerá la conexión VPN entre ambos equipos.
28
¿Qué es CLOUD VPN y VPC (Virtual Private Cloud)?
**Cloud VPN** conecta de manera segura tu red de intercambio de tráfico a la red de **nube privada virtual** (VPC) mediante una conexión IPsec VPN. Una puerta de enlace de VPN encripta el tráfico que viaja entre las dos redes y la otra puerta de enlace de VPN lo desencripta. *Los + DESTACADOS: AWS (Amazon Web Service) y Microsoft Azure. *OTROS: Google Cloud o Digital Ocean.
29
¿Qué es VPNass?
Es una arquitectura nueva y moderna de la tecnología VPN que está concretamente diseñada **para la NUBE**. Además, la VPN As A Service mejora la seguridad de la arquitectura en la nube de la empresa con una opción más flexible y escalable en lugar de las obsoletas VPN tradicionales. MEJORAS: 1. VPNass proporciona al usuario remoto un punto único de acceso seguro VPN. 2. Además, da visibilidad de todo el tráfico a la organización, *permitiendo inspeccionarlo de forma exhaustiva*.
30
¿Cuáles son los sistemas más usados en Protocolos de Tunneling "VPN de SITIO a SITIO"?
1. Familia IPSec: para el túnel entre los dos routers. 2. GREE: es otro protocolo de tunneling, pero sólo se usa para envolver/encapsular, ya que NO ES SEGURO. El envoltorio nos permite hacer ciertas modificaciones como: cambiar el esquema de direccionamiento, pasar de IPv4 a IPv6, ... 3. WireGuard: (protector de cable) es un software libre que permite establecer una red privada virtual (VPN). Con la ayuda de una VPN se abre un túnel virtual entre dos ordenadores de Internet por el que pasa la conexión de red, como si se tratase de un cable de red entre los dispositivos.
31
¿Qué es la "tunelización" GRE (Encapsulamiento de túnel Genérico)?
La encapsulación de routing genérico (GRE) es un ejemplo de un protocolo de tunneling de VPN de SITIO (router) a SITIO (router) básico y NO SEGURO. GRE es un protocolo de tunneling desarrollado por Cisco que puede encapsular/envolver una amplia variedad de tipos de paquete de protocolo dentro de túneles IP. Como se muestra en la FOTO, una interfaz de túnel admite un encabezado para cada uno de los siguientes protocolos: *Un protocolo encapsulado (o protocolo de pasajeros), como IPv4, IPv6, AppleTalk, DECnet o IPX. *Un protocolo de encapsulación (o portadora), como GRE. *Un protocolo de entrega de transporte, como IP, que es el protocolo que transporta al protocolo encapsulado. En resumen, GRE, que se usa dentro de un datagrama IP, envuelve/encapsula en su payload (parte amarilla del dibujo) la información privada, para ser enviada por la red pública (Internet). Es decir, envuelve o encapsula la información de una red privada (parte amarilla del dibujo) enviada por un router a otro router de otra red privada, a través de Internet. NOTA: PERMITE ENVIAR DENTRO DE UNA RED IPv4, DATAGRAMAS IPV6 y VICEVERSA, x ejemplo => es una especie de sistema de adaptación al poder usar un sistema de un tipo dentro de otro.
32
¿Cómo configurar un túnel GRE?
Para implementar un túnel GRE, el administrador de red primero debe descubrir las direcciones IP de las terminales. Después, se deben seguir cinco pasos para configurar un túnel GRE: Paso 1. Cree una interfaz de túnel con el comando interface tunnel number: # interface tunnel10 Paso 2. (Optativo) Especifique el modo de túnel GRE como modo de interfaz de túnel. El modo de túnel GRE es el modo predeterminado de interfaz de túnel para el software IOS de Cisco: # tunnel mode gre ip Paso 3. Configure una dirección IP para la interfaz de túnel: # ip address 192.168.2.1 255.255.255.0 Paso 4. Especifique la dirección IP de origen del túnel: # tunnel source 209.165.201.1 Paso 5. Especifique la dirección IP de destino del túnel: # tunnel destination 198.133.219.87 *Continuaríamos indicando el protocolo de direccionamiento: # router ospf 1
33
¿Qué es KERBEROS?
Kerberos es un protocolo o servidor de AUTENTICACIÓN utilizado en redes informáticas abiertas o NO seguras, que permite a dos ordenadores en una red insegura (Internet) demostrar su identidad mutuamente de manera segura. NOTA: se creo L2TP como heredero aparente de los protocolos PPTP y L2F, creado para corregir las deficiencias de estos protocolos y establecerse como un estándar aprobado por el IETF.​​ IMPORTANTE: otros Servidores de Autenticación: RADIUS, TACACS y DIAMETER.
34
¿Cuáles son los sistemas más usados en Protocolos de Tunneling "VPN de ACCESO REMOTO"?
*NO SEGURO (y apenas usados hoy en día: a) PPTP (Point to Point Tunneling Protocol) aunque se puede encripar usandolo junto al protocolo MPPE (Microsoft Point to Point Encryption). Es decir, sin usar dicha esta extensión no hay cifrado. b) L2F (Layer 2 Forwarding) NO cifrado. c) L2TP (Layer 2=enlace Tunneling Protocol): su usa junto a IPSec para dotarlo de seguridad de encriptación y garantizar la confidencialidad de la información. NOTA: son protocolos de nivel 2 (enlace), porque la pila original se tuneliza hasta nivel de enlace. *SEGUROS (y los más usados): a) SSL (OpenVPN se basa en OpenSSL) b) SSH c) SSTP (Secure Socket Tunneling Protocol): es una tecnología de protocolo a través del cual el tráfico PPP o L2TP se envía a través de un canal SSL, es decir, también se basa en OpenSSL. NOTA: SSL y SSH tunelizan en la capa de arriba, por lo cual producen menos OverHead. IMPORTANTE: la Autenticación de estos protocolos la gestionan los Servidores de Autenticación: RADIUS, KERBEROS, TACACS y DIAMETER.
35
¿Cuál es la diferencia entre los protocolos de tunneling PPTP (Point to Point Tunneling Protocol) y L2F (Layer 2 Forwarding)?
Como PPTP, L2F fue diseñado por Cisco para establecer túneles de tráfico desde usuarios remotos hasta sus sedes corporativas. La principal diferencia entre PPTP y L2F es que, como el establecimiento de túneles de L2F no depende del protocolo IP, es capaz de trabajar directamente con otros medios, como Frame Relay o ATM.
36
Los protocolos de tunneling VPN de Acceo Remoto (PPTP, L2TP, L2F, SSL, SSH o SSTP) NO cifran, pero que protocolos usan para el AUTENTICADO?
*PAP (Password Authentication Protocol): es un subprotocolo usado por la autenticación del protocolo PPP (Point to Point Protocol)l, que transmite CONTRASEÑAS (password) en ASCII sin cifrar, por lo que se considera inseguro. Es decir, simplemente es una PDU que envía USUARIO y CONTRASEÑA. NOTA: se usaba, porque se suponía que entre el usuario y el Servicio de Acceso Remoto (RAS), no había nada. *CHAP (Challenge Handshake Authentication Protocol): es una mejora del anterior, pues este ya NO envía la contraseña. Ahora el servidor en lugar de pedirte la password te ofrece un RETO (challenge), que sólo sabrás tú, a través de una negociación "handshake". *EAP (Extensible Authentication Protocol): no usa password ni reto, a diferencia de los anteriores este es un sistema moderno que incluye CERTIFICADOS DIGITALES. IMPORTANTE: la Autenticación de estos protocolos la gestionan los Servidores de Autenticación: RADIUS, KERBEROS, TACACS y DIAMETER. NOTA: los protocolos de ACCESO REMOTO (PPTP, L2TP, L2F, SSL, SSH o SSTP) necesitan autenticación, a diferencia de los protocolos VPN de SITIO a SITIO (Familia IPSec, GRE y WireGuard), ya que estos últimos son de router a router y un router NO necesita autenticarse, sólo los usuarios tienen que autenticarse.
37
¿Qué es RADIUS?
RADIUS (Remote Authentication Dial-In User Service) es un protocolo o Servidor de AUTETICACIÓN de red que proporciona administración centralizada de Autenticación, Autorización y contabilidad (Accounting)=> AAA, para los usuarios que se conectan y usan un servicio de red. Gracias al uso de los servidores RADIUS, el administrador de red podrá controlar en todo momento el inicio y final del periodo de autenticación y autorización de los clientes, por ejemplo, podremos expulsar fácilmente a un usuario que ha iniciado sesión previamente por el motivo que sea o asignar tiempos determinados para cada usuario. *En resumen, es una tecnología para la autenticación de los usuarios, que es uno de los puntos importantes a la hora de diseñar una VPN* IMPORTANTE: otros Servidores de Autenticación: KERBEROS, TACACS y DIAMETER.
38
¿Cuáles son los SERVIDORES DE AUTENTICACIÓN que se encargan de autenticas los Protocolos de Tunneling "VPN de ACCESO REMOTO"?
Es muy importante la asociación de estos servidores con el servidor VPN, porque la VPN lo primero que pide es que te AUTETNIQUES. *RADIUS *Kerberos *TACACS *Diameter NOTA: TODOS estos protocolos o Servidores de AUTETICACIÓN de red que proveen de manera centralizada autenticación, autorización y Accounting=contabilidad (consumo de recursos) => AAA.
39
Explica el sistema de autenticación AAA (o triple A) usado por los Servidores de Autenticación (RADIUS, Kerberos, TACACS y Diameter):
*AUTENTICACIÓN: el servidor (RADIUS o Kerberos) chequea que la información es correcta usando los esquemas: PAP, CHAP o EAP. *AUTORIZACIÓN: una vez que te autentica, verificar a qué tiene acceso la identidad que ha sido autenticada, determinando así qué pueden hacer. *ACCOUNTING (contabilidad): el propósito principal es que el usuario pueda ser facturado (por el tiempo de acceso). Aunque los datos también se usan comúnmente con fines estadísticos y para el monitoreo general de la red. Es decir, con la utilización de este sistema, los Servidores de Autenticación (RADIUS, Kerberos, TACACS y Diameter) sirven para: AUTENTICAR, AUTORIZAR y COBRAR.
40
Dentro de las VPN de nivel de enlace, se recomienda el uso de MACsec y evitar protocolos vulnerables como PPTP, L2F o L2TP, pero ¿qué es MACsec?
La seguridad de control de acceso a medios (MACsec) proporciona seguridad punto a punto en enlaces Ethernet. Se puede usar MACsec en combinación con otros protocolos de seguridad, como IPsec y Secure SSL, para brindar seguridad de red de extremo a extremo. MACsec asegura un enlace Ethernet para casi todo el tráfico, incluidas las tramas del Protocolo de descubrimiento de capa de enlace (LLDP), el Protocolo de control de agregación de enlaces (LACP), el Protocolo de configuración dinámica de host (DHCP), el Protocolo de resolución de direcciones (ARP) y otros protocolos que no tienen en un enlace Ethernet protegido.
41
Define los dispositivos de red virtual del kernel: TUN (TUNel) y TAP (Test Anything Protocol):
Estos interfaces virtuales conectan la pila privada (donde va nuestra información antes de salir a internet) con la pila pública envuelta en el túnel. Aunque ambos tienen fines de tunelización, TUN y TAP no se pueden usar juntos porque transmiten y reciben paquetes en diferentes capas de la pila de red. TUN, (TUNnel), simula un dispositivo de capa de RED y opera dicha capa 3 transportando paquetes IP. TAP, simula un dispositivo de capa de ENLACE y opera en dicha capa 2 que transporta tramas Ethernet. En resumen, el dispositivo TUN es un enlace virtual IP de punto a punto. Por otra parte, el dispositivo TAP es un dispositivo ethernet virtual, se puede utilizar para crear un puente de red de espacio de usuario. *En las dos terminaciones de conexión se tendrá que utilizar uno u otro.
42
Define los protocolos de tuneling OpenVPN y SoftEther VPN
**OpenVPN** es un un protocolo VPN, que ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente. **OpenVPN** permite formar túneles de comunicación cifrada por medio de protocolos SSL (Secure Socket Layer), que son los estándares para HTTPS. *Protocolo de tuneling de SITIO a SITIO (= que Familia IPSec o GRE). **SoftEther VPN** es un software de servidor y cliente VPN multiplataforma, multiprotocolo y de código abierto. **SoftEther VPN** admite NAT traversal, lo que lo hace útil para ejecutar servidores VPN en computadoras que están detrás de enrutadores residenciales o de empresas, y Cortafuegos. Los cortafuegos que realizan una inspección profunda de paquetes no pueden detectar los paquetes de transporte VPN de SoftEther como un túnel VPN porque se utiliza HTTPS para camuflar la conexión. NOTA: NAT traversal es un término aplicado a las técnicas que establecen y mantienen conexiones en redes utilizando los protocolos TCP/IP o UDP que atraviesan (NAT) gateways.
43
Esquematiza los protocolos VPN según las capa en la que trabajen:
PROTOCOLO DE TÚNEL DE CAPA 2 (capa enlace de datos): 1a.DE ACCESO REMOTO: 1.1. PPTP (encriptación y autenticación siempre que se use con MPPE) 1.2. L2F (Layer 2 Forwarding) : NO cifrado. 1.3 L2TP/IPSec (se tiene que usar con IPSec para garantizas la confidencialidad = encripatación) PROTOCOLOS DE TÚNEL CAPA 3 (capa de red): 2. DE SITIO A SITIO: 2.1. Familia IPSec 2.2. GRE 2.3. WireGuard (protector de cable) PROTOCOLO CAPA 4 (transporte): IPSec (AH, ESP e IKE) PROTOCOLO DE TÚNEL CAPA 7 (aplicación): 1b.DE ACCESO REMOTO: 1.4. OpenVPN (SSL) 1.5. SSTP (SSL) => el + NUEVO. OTROS PROTOCOLOS VPN: LightWay = camino ligero (innovador protocolo de VPN de ExpressVPN, creado para un mundo que siempre está conectado) + rápido, fácil y seguro. IKEv2 (Intercambio de claves de internet v2)
44
¿Qué es un catálogo CVE (Vulnerabilidades y Exposiciones Comunes)?
CVE es una lista de entradas (cada una con un número de identificación=CVE-ID, una descripción y al menos una referencia pública) de vulnerabilidades de ciberseguridad conocidas públicamente. Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades de la agencia de EE.UU NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración. Es definido y es mantenido por The MITRE Corporation. Esta organización estadounidense sin ánimo de lucro es conocida como MITRE y se encarga de la investigación y soporte sobre tecnologías de la información al gobierno de EE.UU.
45
¿Qué es CVE-ID?
Es el identificador de las vulnerabilidades de ciberseguridad inscritas en el catálogo CVE. El CVE-ID ofrece una nomenclatura estándar para identificación de la vulnerabilidad de forma inequívoca que es usada en la mayoría de repositorios de vulnerabilidades. TIENEN EL SIGUIENTE FORMATO: *El formato para las entradas CVE es: CVE-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad). Desde enero de 2014 este identificador puede contener, si es necesario, más de cuatro dígitos. *El formato para las entradas candidatas a entrar en el CVE es: CAN-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad) NOTA: las vulnerabilidades recién descubiertas se llaman VULNERABILIDADES DEL DÍA CERO.
46
¿En qué se diferencian CWE y CVE?
CWE: Common Weakness Enumeration: Es una entrada en la base de datos correspondiente a una debilidad y no está relacionado con un producto o sistema, digamos que cataloga vulnerabilidades comunes (como OWASP con el Top 10), pero no orientado a un producto concreto. CVE: Common Vulnerability Exposure: Es una entrada en la lista de vulnerabilidades (catálogo), es decir, es una instancia específica de una debilidad en un producto o sistema.
47
¿Cómo funcionan los protocolos de la Familia IPSec?
Son protocolos de tuneling que funcionan a nivel 3 de Red (IP). Una vez que la PDU privada llega ha dicho nivel (Red), TUN lo enruta hacia la pila pública envuelta en el túnel. La Familia IPSec usa 3 protocolos, ya que es una familia de protocolos: 1. AH (Authentication Header) 2. ESP (Encapsulating Security Payload) 3. IKE, de este hay varias versiones (IKE2, ISAKMP y OAKLEY) NOTA: IPSec es usado en las VPNs de SITIO a SITIO (de router a router),
48
La Familia IPSec no es un sólo protocolo, sino un conjunto de 3 (AH, ESP e IKE), define AH:
1. AH (Authentication Header): es una cabecera de SÓLO **A**utenticación e **I**ntegridad de los datos de origen del datagrama IP (NO garantiza la **C**onfidencialidad). Campos de dicha cabecera: a) Integrity Check Value (Valor de verificación de integridad) o **_ICV_** (es un simple código HMAC del tráfico IP privado): es el que garantiza **I**NTEGRIDAD y **A**UTENTICACIÓN DE ORIGEN. *El HMAC necesita 2 parámetros: uno, los datos (payload a autenticar) y, dos, la clave (debe de haber la misma clave en ambos routers para la **A**utenticación, que será enviada en esta cabecera ICV), esta clave, para generar dicho código HMAC, se intercambia con el protocolo IKE. b) Sequence Number. c) Security Parameters Index: identifica los parámetros de seguridad y, junto con la IP, determinan la SA (Asociación de Seguridad gestionada por el protocolo IKE). 2. ESP (Encapsulating Security Payload): cifra el payload (**C**onfidencialidad), aunque tambien mete un código HMAC para **A**utenticar. 3. IKE, de este hay varias versiones (IKE2, ISAKMP y OAKLEY): intercambio de claves (DH). NOTA: IPSec es usado en las VPNs de SITIO a SITIO (de router a router). IMPORTANTE: los protocolos de ACCESO REMOTO (PPTP, L2TP, L2F, SSL, SSH o SSTP) necesitan **A**utenticación (CHAP, PAP y EAP), a diferencia de los protocolos VPN de SITIO a SITIO (Familia IPSec, GRE y WireGuard), ya que estos últimos son de router a router y un router NO necesita **A**utenticarse, sólo los usuarios tienen que **A**utenticarse.
49
Diferencia entre INTEGRIDAD y AUTENTICACIÓN:
INTEGRIDAD: Se refiere a que los elementos mensajes, datos, documentos, y otros formas de contenido no han sido modificados en tránsito o en reposo. AUTENTICIDAD: Se refiere a garantizar que el mensaje ha sido enviado por quien dice ser.
50
La Familia IPSec no es un sólo protocolo, sino un conjunto de 3 (AH, ESP e IKE), define IKE:
1. AH (Authentication Header): garantiza autenticación e integración de origen. 2. ESP (Encapsulating Security Payload): cifra el payload, aunque tambien mete un código HMAC para autenticar. 3. IKE, de este hay varias versiones (IKE2, ISAKMP y OAKLEY): todos sirven para 2 cosas: a) el INTERCAMBIO de claves y AUTENTICACIÓN de pares (para generar el código HMAC y autenticar (AH) los datos), usando el algoritmo DH (algoritmo asimétrico, para intercambio de una clave secreta por medio de un canal inseguro como es internet, codificandola en código ASII), para generar el código HMAC y autenticar ambos extremos. b) También gestiona las Asociaciones de Seguridad (SA). FUNCIONAMIENTO: se crea una tabla donde constan todas las claves de los diferentes pares. EJEMPLO: si tenemos 4 routers, hay que hacer constar la clave del router 1 con el 2, el 1 con 3, el 1 con 4, el 2, también, con 2,3 y 4, etc. *A cada entrada de dicha tabla, donde consta la clave negociada o acordada entre 2 routers, se le llama SECURITY ASOCIATION o Asociación de Seguridad (SA) => conocido como: "grupo lógico de parámetros de seguridad". Digamos que en esta tabla se apunta toda transacción entre routers.
51
La Familia IPSec no es un sólo protocolo, sino un conjunto de 3 (AH, ESP e IKE), define ESP:
1. AH (Authentication Header): garantiza autenticación e integración de origen. 2. ESP (Encapsulating Security Payload): cifra el payload, aunque también mete un código HMAC para autenticar. Así que, tiene varias maneras de configurarse: soporta las versiones que SÓLO cifran o las que SÓLO autentican. Aunque usar cifrado (encriptado) sin autenticación esta desaconsejado. Normalmente se usa sólo para cifrar. Tiene 2 opciones de cifrado: 3DES o AES (aunque mayoritariamente se usa AES, por ser + seguro). Al igual que el protocolo AH, ESP también tiene la cabecera ICV (Integrity Check Value) en la que también porta un código HMAC para la autenticación). 3. IKE, de este hay varias versiones (IKE2, ISAKMP y OAKLEY): intercambio de claves (DH).
52
De los 2 modos de funcionamiento de la Familia IPSec (Transporte y Túnel), explica el Modo TRANSPORTE:
Una ve realizado el autenticado (AH), cifrado (ESP) e intercambio de claves (IKE), la Familia IPSec puede funcionar tanto en modo TRANSPORTE, como en modo TÚNEL. *En ambos protocolos (ESP y AH) se añade una nueva cabecera en modo túnel. *"AH" SE SUELE USAR EN MODO TRANSPORTE (AUTENTICAR) Y "ESP" EN MODO TÚNEL (CIFRAR). a) Modo TRANSPORTE: (host to host) *Aquí el sistema es autenticar, por lo cual, NO se añade nueva cabecera* Ej HOST to HOST: L2TP+IPSec, que va desde el PC del empleado al servidor de túneles. a.1) AH -> M. TRANSPORTE => SE AUTENTICA TODO, EXCEPTO LOS MUTABLES FIELDS (campos mutables), es decir, los campos que puedan variar como el TTL (establece el tiempo de vida en número de saltos) => ya que al primer cambio, el código HMAC sería invalido al ser distinto. a.2) ESP -> M. TRANSPORTE => NO se añade cabecera y sólo se encripta (cifra) el payload. b) Modo TÚNEL: (site to site o de router a router) b.1) AH -> M. TÚNEL b.2) ESP -> M. TÚNEL
53
¿Cuáles son los 2 modos de funcionamiento de la Familia IPSec?, explica el Modo TÚNEL:
Una ve realizado el autenticado (AH), cifrado (ESP) e intercambio de claves (IKE), la Familia IPSec puede funcionar tanto en modo TRANSPORTE, como en modo TÚNEL. *En ambos protocolos (ESP y AH) se añade una nueva cabecera en modo túnel. *"AH" SE SUELE USAR EN MODO TRANSPORTE (AUTENTICAR) Y "ESP" EN MODO TÚNEL (CIFRAR). a) Modo TRANSPORTE: (host to host) a.1) AH -> M. TRANSPORTE a.2) ESP -> M. TRANSPORTE b) Modo TÚNEL: (site to site o de router a router *Añade una una nueva cabecera IP para enolver el paquete privado IP (cabecera+payload), quedando, este, cifrado* b.1) AH -> M. TÚNEL => aquí lo que NO se autentican son los campos de la nueva cabecera IP. b.2) ESP -> M. TÚNEL =>todo el paquete IP privado (cabecera+payload) es cifrado, por eso hay que encapsularlo dentro de otro paquete IP (ESP) añadiendo una nueva cabecera.
54
¿En qué se diferencian los Servidores de VPN o proveedores de FireWall "SonicWall" y "FortiNet"?
*SonicWall, significativamente más barato que Fortinet. *El firewall SonicWall también obtuvo mejores calificaciones de rendimiento, con una tasa de bloqueo general del 99,43 % en las pruebas CVE, frente al 93,98 % de Fortigate. En resumen: SonicWall vence a Fortinet en pruebas independientes, pues tiene un COSTO MÁS BAJO y un MAYOR RENDIMIENTO.
55
¿Qué es SQUID?
Un servidor Proxy, del tipo APLICATION LEVEL GATEWAY (nivel aplicación). Además de: *Nginx *Varsnish *HAProxy
56
¿Qué es un Bastión Host?
Un host accesible desde fuera (ej. internet) y que por lo tanto debe de estar fuertemente securizado.
57
¿Cuando hablamos de arquitectura Dual-Homed Host?
Cuando dicho host tiene dos tarjetas de red, una con la red externa y otra con la interna. En ese host esta prohibido el routing. Son las tarjetas las que se encargan del envío de información de un punto a otro.
58
Cuando varios PC's de nuestra red interna quieren acceder a internet y la direccion IP publica es dinámica, ¿cómo se llama al proceso de traducción de IP's internas a la IP publica?
IP Masquerade (un tipo de NAT)
59
¿En qué consiste la técnica de PAT?
Port Address Translation. Es una forma de traducir las peticiones externas a un puerto y redirigirlas a una maquina interna hacia otro puerto.
60
¿Qué tipo de dispositivo es un UTM?
Uno que UNIFICA el comportamiento de un firewall + antivirus + IDS/IPS + VPN + antispam + ...
61
¿Qué tipo de dispositivo es un WAF?
Es un firewall especializado en aplicaciones web.
62
¿En qué consiste la arquitectura DMZ?
Es una separación total de tráfico, mediante firewalls, de la red externa con la interna, de modo que se genera una zona intermedia (dmz) donde publicamos ciertos servicios como WWW, DNS, Email… A LOS QUE ACCEDER DE MANERA SEGURA.
63
¿Qué es un Honeypot?
Un tipo de sistema vulnerable que sirve para que el atacante actué y nosotros podamos estudiar su comportamiento. (Ej. KFSensor) *Es un SEÑUELO Caza Piratas*
64
¿Qué tenemos que instalar en Linux para que iptables pueda comportarse como un firewall con estado (STATEFUL INSPECTION)?
apt install conntrack *El tipo de FireWall STATEFUL INSPECTION (inspección de estado): es para definir reglas en relación a lo acontecido en el pasado.
65
Nombre cinco sistemas IDS/IPS:
* snort * suricata * OSSEC * Sagan * Fail2Ban
66
¿Qué tipo de producto es un SIEM (Sistema de gestión de eventos e información de seguridad)?
Esta herramienta recopila o CENTRALIZA la información (análisis de logs, interpretación de datos y cuadro de mandos) de múltiples orígenes o fuentes. Con esta información, se llevará a cabo un proceso de NORMALIZACIÓN y CORRELACIÓN para obtener un neto (EVENTO) de todo ese bruto de información, a través de ciertas reglas establecidas. *Uno de los SIEM por excelencia es OSSIM. NOTA: un "evento" en seguridad es CONOCIMIENTO.
67
Nombre tres productos de la herramienta, para CENTRALIZAR la información (logs) de múltiples fuentes, SIEM (Sistema de gestión de eventos e información de seguridad):
* QRadar * ELK * OSSIM: es el SIEM por excelencia.
68
¿Qué diferencia importante existe entre un IDS y un IPS?
Que el IDS no toma ningún tipo de acción (PASIVO), solo registra e informa y el IPS sí (ACTIVO).
69
¿Cuál es una de la razones más importantes para montar una VPN?
Evitar Coste de las líneas dedicadas.
70
Nombre siete protocolos que nos pueden servir para realizar túneles VPN:
* PPTP * L2F * L2TP * IPSec * GRE * SSL * SSH
71
¿Qué dos tipos existen de VPN's?
* De acceso remoto (Host <--> Red/Host) * De sitio a sitio (Red/Router <--> Red/Router)
72
Protocolos de la familia IPSec:
* AH (Cabecera de autenticacion) 51 * ESP (Cifrado del Payload + autenticación, sobre todo se usa par cifrado) 50 * IKE (intercambio de claves y SA)
73
En IPSec, cuando un extremo ha realizado la negociación de una serie de parámetros de seguridad con el otro, lo registra. ¿Cómo se llama a ese conjunto de parámetros que ha registrado para esa conexión?
**Asociación de Seguridad (AS)**. Es unidireccional, es decir, cada relación se registra en una entrada: el router1 con el router2 el router1 con el router3 el router2 con el router1 el router2 con el router3 el router3 con el router1 el router3 con el router2 *Las SA son gestionadas por IKE (protocolo de la familia IPSec, junto a AH y ESP).
74
A la hora de diseñar una VPN uno de los puntos importantes es la autenticación de los usuarios. Nombre cuatro tecnologías para llevar a cabo esta labor:
* RADIUS * Kerberos * Diameter * TACACS+
75
¿Qué significan las siglas PAP?
(Protocolo de autenticación de contraseña) Mecanismo de autenticación vía acceso remoto PPP en la que se envían la password en ASCII (en claro). Una evolución más segura es CHAP o EAP. Microsoft tiene el suyo MS-CHAP.
76
¿Cómo se protege el protocolo AH o ESP de un ataque de REPLAY?
Mediante un campo llamado *Sequence Number*.
77
¿Cómo se llama al modo de transmisión de ESP/IPSec en el cual el datagrama original se cifra y se incluye una cabecera IP nueva?
Modo túnel.
78
¿Qué algoritmos se pueden usar para CIFRAR la información en ESP/IPSec? Y, ¿qué algoritmos se pueden usar en AH/IPSec para la AUTENTICACIÓN-integridad?
* AES * 3DES (Algoritmos SIMÉTRICOS) ==================== * HMAC-SHA1 * HMAC-MD5 (El código HMAC necesita 2 elementos: datos y clave => las claves las intercambia IKE, que es el otro protocolo de la Familia IPSec)
79
Nombre 2 protocolos dentro de IKE/IPSec para intercambios de claves:
* ISAKMP * Oakley
80
¿Con que 2 sintaxis podemos BORRAR todas las reglas de IPTables y empezar de cero?
iptables --flush iptables -F
81
Si de una misma CADENA (INPUT, PREROUTING, OUTPUT o POSTROUTING) de reglas de IPTables una da match, ¿qué pasa con el resto?
NO SE MIRAN. Con que una de match vale, si están en la misma cadena (chain), PERO, si una norma es tipo INPUT y la otra es PREROUTING no se cumple esta norma, de hecho, se ejecutan antes las normas de PREROUTING que las de INPUT. Hay 3 ordenes diferentes, según los caminos del tráfico: PREROUTING -> INPUT (rojo=> entrada en misma interface de red o misma tarjeta) PREROUTING -> FORWARD (verde:de una interface de red a otra => dos tarjetas) OUTPUT -> POSTROUTING (azul => salida de misma tarjeta de red) Y dentro, de dichos 3 ordenes o cadenas, hay otro orden de las tablas: EJEMPLO EN LA CADENA *PREROUTING -> INPUT*: se ejecutan las reglas en el siguiente orden: PRIMERO LAS TABLAS DE "PREROUTING: raw-> connection tracking -> mangle -> nat LE SEGUIRÁN LAS TABLAS DE *INPUT*: mangle-> filter La foto simplifica un PC, donde vemos los 3 sentidos u ordenes del tráfico y en cada lado: LA ENTRADA x la tarjeta de red (network interface) hasta la CPU, rojo. LA SALIDA del procesador (CPU) del PC hasta la tarjeta, azul. Y COMUNICACIÓN ENTRE 2 INTERFACES (color verde) NOTA: nunca van a mezclarse reglas de distintas cadenas, es decir, no nos vamos a encontrar reglas de INPUT junto a reglas de FORWARD o POSTROUTING, x ejemplo. IMPORTANTE: si no indicamos ningún orden para nuestras reglas (PREROUTING, INPUT,FORWARD,OUTPOST, POSTROUTING), mandarán las establecidas por defecto, QUE HAY 2 TIPOS, una para aceptarlo todo (ACCEPT, y luego ir prohibiendo) y otra para prohibirlo todo (DROP, e ir aceptando una a una).
82
Explica la siguiente regla de IPTables: iptables -A INPUT -i eth0 -p TCP -dport 80 -j ACCEPT
iptables: comando -A: añadir regla (ADD) -i eth0: indica que es una regla referida al interfaz de entrada, es decir, estas diciendo: lo que me entre por esta tarjeta de red... (con -o se indicaría salida => -o eth0) -p TCP: especificas el protocolo, aunque también se puede especificar con: -m TCP (m de modulo) => con "m" puedes especificar una regla mas detalladamente para un modulo concreto. -dport 80: especificamos el puerto destino (d=destino)/ --sport: sería para un puerto origen (source). -j ACCEPT: con -j (jump) se especifica a que acción *saltamos* => DROP, ACCEPT, REDIRECT y REJECT NOTA: la diferencia entre DROP y REJECT, es que DROP elimina el tráfico (el paquete) y NO informa al origen de que lo ha eliminado. En cambio, REJECT si informa al origen. En definitiva, esta regla te esta diciendo que lo que entre por el *eth0* (tarjeta de red) por el protocolo TCP dirigido al puerto 80 ese tráfico es ACEPTADO, aunque también podría ser borrado (DROP o REJECT) o redirigido (REDIRECT). *SI ESTA REGLA HACE *MATCH* EL RESTO SE IGNORARÍA, PERO EL RESTO DE *LA MISMA CADENA* EXAMEN: la respuesta de la pregunta de la foto es la C.
83
Explica la siguiente regla de IPTables: iptables -A PREROUTTING -t nat -i eth0 -p TCP -dport 8888 -j REDIRECT --to-port 80
-A: AÑADIR PREROUTING -t nat: indica donde esta localizada esta regla (cadena: PREROUTING/tabla: -t nat, la "t" es de table) En definitiva, lo que entra por la tarjeta de red (por la cadena PREROUTING y la table "nat") dirigido al puerto 8888, se redirige al puerto 80. *PREGUNTA EXAMEN (FOTO): ya sabemos que la cuarta regla NO se va a ejecutar, ya que la tercera se cumple => pues NO ES ASÍ, ya que las reglas tiene un cierto orden divididas en 3 partes: PREROUTING -> INPUT (rojo=> entrada en misma interface de red o misma tarjeta) PREROUTING -> FORWARD (verde:de una interface de red a otra => dos tarjetas) OUTPUT -> POSTROUTING (azul => salida de misma tarjeta de red) *Lo cual quiere decir que las reglas del grupo PREROUTING se ejecutarán antes que las de INPUT (y da= en el orden en el que estén escritas). Después de ejecutarse la regla PREROUTING se ejecuta la INPUT, es decir, la PREROUTING redirige al puerto 80 y la regla INPUT, indica que se acepta dicho tráfico => esto pasa porque son reglas de distintos grupos, si fueran del mismo, una vez que una hace *match* ya no se mira el resto. NOTA: si no indicamos ningún orden para nuestras reglas (PREROUTING, INPUT,FORWARD,OUTPOST, POSTROUTING), mandarán las establecidas por defecto, QUE HAY 2 TIPOS, una para aceptarlo todo (ACCEPT, y luego ir prohibiendo) y otra para prohibirlo todo (DROP, e ir aceptando una a una). EXAMEN: la respuesta de la pregunta de la foto es la D.
84
Pregunta de examen en FOTO:
A
85
Cuando configuramos reglas de firewall por iptables, estas reglas no son persistentes, es decir, son volátiles y se eliminarán en el momento del reinicio, ¿qué paquete adicional habría que instalar para que las reglas sean persistentes?
El paquete es iptables-persistent. Si está instalado, carga en el momento del arranque las reglas del firewall desde los ficheros /etc/iptables/rules.v4 y /etc/iptables/rules.v6. En estos ficheros estableceríamos las reglas y, lo que es más importante, las guardaríamos con los comandos: iptables-save e ip6tables-save *Reglas de IPv4: root@debdev ~ # iptables-save > /etc/iptables/rules.v4 *Reglas de IPv6 root@debdev ~ # ip6tables-save > /etc/iptables/rules.v6 UNA VEZ GUARDADAS, HAY QUE HABILITAR EL DEMONIO ENCARGADO DE LLAMAR A NUESTRAS REGLAS (PREVIAMENTE SALVADAS) RESTAURÁNDOLAS, EN EL MOMENTO DEL ARRANQUE. 1º Habilitar demonio: root@debdev ~ # systemctl enable netfilter-persistent.service 2º Este demonio (iptables-persistent) llamará en el momento del arranque a: iptables-restore < /etc/iptables/rules.v4 En resumen: 1º INSTALAR PAQUETE: iptables-persistent 2º ESTABLECER REGLAS EN LOS FICHEROS: los ficheros /etc/iptables/rules.v4 y /etc/iptables/rules.v6 3º GUARDAR/SALVAR REGLAS: iptables-save > /etc/iptables/rules.v4 ip6tables-save > /etc/iptables/rules.v6 4º HABILITAR DEMONIO: systemctl enable netfilter-persistent.service Y, ya este demonio (iptables-persistent), llamará a nuestras reglas establecidas, iptables-restore < /etc/iptables/rules.v4 iptables-restore < /etc/iptables/rules.v6 en el momento del arranque RESTAURÁNDOLAS.
86
¿Cómo podemos hacer que nuestras reglas IPTables PERSISTAN?
1º INSTALAR EL PAQUETE: *iptables-persistent* 2º ESTABLECER REGLAS EN LOS FICHEROS: */etc/iptables/rules.v4 y /etc/iptables/rules.v6* 3º GUARDAR/SALVAR REGLAS: *iptables-save > /etc/iptables/rules.v4* *ip6tables-save > /etc/iptables/rules.v6* 4º HABILITAR DEMONIO: *systemctl enable netfilter-**persistent**.service* Y, ya este demonio (iptables-persistent), llamará a nuestras reglas establecidas en el momento del arranque RESTAURÁNDOLAS: *iptables-restore < /etc/iptables/rules.v4* *iptables-restore < /etc/iptables/rules.v6*
87
¿Cuáles son las 2 formas de configurar un cortafuegos con IPTables x DEFECTO?
La primera es permitir todo (forma OPTIMISTA), para luego ir restringiendo uno a uno los paquetes que queramos, es lo que se conoce como política por defecto **ACCEPT**. De forma opuesta, se prohibe todo (forma PESIMISTA) y se va abriendo el cortafuegos a los paquetes que sea necesario, lo que se conoce como política por defecto **DROP**. *Para el control, es mucho más razonable utilizar un cortafuegos con política por defecto *DROP*.
88
Sabemos que de las 2 formas que tenemos de configurar un cortafuegos con IPTables x DEFECTO (ACCEPT o DROP), para llevar un buen control es mejor la opción de prohibirlo todo en un principio (DROP), explica dicha opción:
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP *-P es de Policy (política)* Ahora tendríamos todo prohibido, es decir, no se permite el paso de NINGÚN paquete. Cuando se utiliza un cortafuegos con política por defecto DROP, las reglas de iptables de la tabla filter suelen ir por parejas, ya que cada proceso que se permite incluye dos tipos de paquetes: las solicitudes y las respuestas. Estas parejas son de reglas de INPUT/OUTPUT para procesos que tienen como origen o destino el propio cortafuegos y FORWARD/FORWARD para procesos que tiene como origen y destino otros equipos.
89
Supongamos que instalamos un servidor web en un equipo de la red local con dirección IP 192.168.3.2 y queremos que sea accesible desde Internet, tendremos que modificar las peticiones que lleguen al puerto 80/tcp de ese equipo que tiene la dirección IP pública y que cambie la dirección IP destino 80.58.1.14 por 192.168.3.2, ¿cómo lo haríamos?
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.3.2 Explicación de los parámetros: -A PREROUTING: Añade (Add) una regla a la cadena PREROUTING -p tcp: Especifica el (p)rotocolo de transporte (tcp en este caso) --dport 80 (equivalente a --destination-port 80): Puerto destino 80 (ligada al parámentro anterior) -i eth0: Especifica eth0 como interfaz de entrada (in-interface) -j DNAT --to 192.168.3.2 (--to aquí es equivalente a --to-destination): Cambia la dirección IP destino (inicialmente 80.58.1.14) a 192.168.3.2
90
En IPTables, ¿qué acciones pueden producirse cuando una regla se corresponde con un paquete de datos?
DROP: paquete descartado. REJECT (rechazar): igual que DROP, pero SI informa al origen. ACCEPT: paquete aceptado. QUEUE: mueve el paquete a los procesos de usuario y requiere un intermediario (queue handler) que reenvía todos los paquetes a una aplicación. RETURN: el paquete se envía de nuevo a la cadena anterior en caso de que esta haya sido definida por el usuario. Las cadenas estándar (no tienen reglas definidas) se guían por las reglas o políticas (policy) establecidas por defecto. REDIRECT: redirecciones.
91
Expón algunas sintaxis de IPTables: *Recordar el manejo de IPTable se reduce al ROOT y administradores.
*CREA una nueva (-N) cadena con el nombre TEST: sudo iptables -N TEST *MUESTRA la lista (-L) de la cadena con el nombre TEST: sudo iptables -L TEST Ej: sudo iptables -t nat -L => para listar las reglas de la tabla "nat" o para listar, dentro de la tabla nat, las reglas de la cadena prerouting: sudo iptables -t nat -L PREROUTING -n *ELIMINA todas las reglas (-F) de la cadena con el nombre TEST: sudo iptables -F TEST Ej: borrar todas las reglas de la tabla nat de la cadenas OUTPOST: sudo iptable -t nat -F OUTPOST *ELIMINA una regla (-D) de la cadena con el nombre TEST: sudo iptables -D TEST -s 120.0.0.1 -j DROP NOTA: también puedes eliminar la regla usando la posición de la misma: sudo iptables -D TEST 1 *Con -L podemos ver la posición que ocupa*
92
En IPTables, ¿cómo se referencia el puerto destino u origen a la hora de establecer reglas?
DESTINO: --dport (d=>destiny) ORIGEN: --sport (s=>source)
93
LINUX no permite pasar paquetes de una interfaz de red a otra (FORDWARD), ¿de qué 2 maneras podemos solucionarlo?
1. Manera NO PERSISTENTE: ACTIVAR (dar valor 1) EL BIT DE FORWARD: echo 1 > /proc/sys/net/ipv4/ip_forward 2. Manera PERSISTENTE: La activación anterior se borra cuando se reinicia el equipo, ya que el directorio /proc esta en memoria. Para que dicha activación persista habría que definirla en el fichero /sys/sysctl.conf, añadiendo la linea: net.iptv4.ip_forward=1
94
¿Cómo configurar SNAT estático (Source NAT) con IPTables, es decir, cómo cambiar la ip fija que usamos por otra comprada?
La regla que hay que poner para que se haga SNAT de todos los equipos de la red 192.168.3.0/24 es tan simple como: iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j SNAT --to 80.58.1.14 *Estamos diciendo que los paquetes que tuvieran como dirección origen 192.168.3.0/24, cambiarían a la 80.58.1.14. -A POSTROUTING: Añade (Add) una regla a la cadena POSTROUTING -s 192.168.3.0/24: Se aplica a los paquetes que tengan como dirección origen (source) la 192.168.3.0/24 -o eth0: Se aplica a los paquetes que salgan (out-interface) por eth0 -j SNAT --to 80.58.1.14 (--to aquí es equivalente a --to-source): Cambia la dirección de origen por la 80.58.1.14 Ej: si un equipo fuera a recibir la 192.168.3.4, SNAT la sustituye por 80.58.1.14. NOTA: esto se hace si hubiéramos comprado una IP fija (estática), pero si fuera DINÁMICA simplemente cambiamos la IP comprada x MASQUERADE: iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE SNAT => ip ESTÁTICA MASQUERADE: ip DINÁMICA *SNAT: se usa para cambiar la ip origen por otra nueva=> Source (origen) NAT.
95
¿Para qué usamos el parámetro VERBOSE (-v) de IPTables?
Para una salida más completa de iptables utilizamos el parámetro -v, que nos informa de los paquetes y bytes que «atraviesan» una cadena y en caso de que hubiese reglas, se contarían los paquetes y bytes a los que se ha aplicado cada una: iptables -t nat -L PREROUTING -n -v *Chain PREROUTING (policy ACCEPT 21 packets, 4133 bytes)* *pkts bytes target prot opt in out source destination* NOTA: -Z se usa si queremos poner a cero los contadores de paquete que se aplican en las cadenas de una tabla: iptables -t nat -Z Mnemotecnia: Z =Zero Chain Ç= cadena

Tarjetas MBH (29 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2025 Bold Learning Solutions. Terms and Conditions