b4t8 - HTTP, SSL

Question 1

Qué tipo de protocolos de enrutamiento se da entre sistemas autónomos de la capa Tier1 de internet? y entre el resto?

Answer 1

Protocolos de interior (IGP) entre SA de tier1
Protocolos de exterior (EGP) entre el resto

Question 2

En la jerarquía de sistemas autónomos de internet, qué capas hay y qué tipo de SA hay en cada una?

Answer 2

Tier1 -> SA llamados backbone, tienen redes con alcance internacional (AT&T, Telxius (filial de Telefónica))
Tier2 -> SA regionales (Brithis Telephone)
Tier3 -> ISPs locales

Question 3

Qué tipo de protocolos de enrutamiento se da entre sistemas autónomos de la capa Tier1 con capa Tier2 que no estén en la misma red?

Question 4

Qué es el número de SA?

Answer 4

Un número de sistema autónomo que asigna la IANA a todo ISP (de cualquier tier)

Question 5

Qué tipo de acuerdos se dan entre SA de tier1?

Answer 5

Acuerdos de peering, que no tienen coste entre ellos.

Question 6

Qué son los acuerdos de tránsito?

Answer 6

Son acuerdos económicos que se dan entre SA de distintas tier, que permiten a los de la tier inferior acceder a SA fuera de la red del SA de Tier1 al que pertenecen jerárquicamente.

Question 7

Qué es un punto IXP?
3 ejemplos

Answer 7

Internet Exchange Point. Son los llamados puntos de acceso neutro. Es una infraestructura que usan los ISPs para compartir tráfico entre sus redes sin tener que recurrir siempre a su SA del tier superior, y abaratar costes, ya que es gratis, son acuerdos de tipo peering . Lo usan tanto SA de tier2 como tier3

DE-CIX (Francfurt)
ESPANIX
CATNIX

Question 8

Qué es una CDN?
2 ejemplos

Answer 8

Una red de entrega de contenidos. Son proveedores que ofrecen una red de servidores distribuidos por todo el mundo, donde se despliega una réplica de tu web, aplicación, etc… para entregar contenido de la forma más rápida posible.

Cloudfare, Akamai

Question 9

Nombra 3 productos servidores http

Answer 9

Apache HTTP Server
Nginx
Internet Information Server (IIS)

Question 10

Qué 3 características tiene el protocolo HTTP?

Answer 10

• Sin estado
• Orientado a caracter (viajan caracteres que hay que interpretar)
• Modelo request-response

Question 11

Cuáles son los métodos seguros de HTTP? Qué significa que sean seguros?

Answer 11

Son los verbos que no modifican el recurso
GET
HEAD
OPTIONS
TRACE

Question 12

Qué significan los métodos HTTP siguientes?
* GET
* HEAD
* PUT
* POST
* PATCH
* TRACE
* OPTION
* DELETE
* CONNECT

Answer 12

• GET
• HEAD -> Obtener solo headers
• PUT -> Crea o reemplaza el recurso
• POST -> Envía datos a la URL
• PATCH -> Modificaciones parciales
• TRACE -> echo
• OPTIONS ->métodos que soporta la URL. Se responde con la cabecera Allow, donde lista los métodos válidos
• DELETE
• CONNECT -> tunel http a través de un proxy

Question 13

Cuáles son los métodos idempotentes de HTTP? Qué significa que sean idempotentes?

Answer 13

Son los que tienen el mismo resultado cada vez que se ejecutan
GET
HEAD
PUT -> Porque reemplaza
TRACE
OPTIONS
DELETE -> Porque el resultado siempre es el mismo, el recurso está borrado

Question 14

Cuáles son los métodos NO idempotentes?

Answer 14

POST
PATCH
CONNECT

Question 15

La URL es un tipo de URI o viceversa?

Answer 15

Las URIs pueden ser
URL -> para localizar el recurso (http://…./..)
URN -> para identificar el recurso (urn:isbn:444-abc-123)

Question 16

Qué es WEBDAV en HTTP?

Answer 16

Extensión de verbos HTTP para manejar el espacio de URLs como si fuese un file system remoto. Plugin que se instala en el servidor
- MKCOL
- COPY
- MOVE
- SEARCH
- LOCK …

Question 17

Qué hacen estas cabeceras más importantes de request de HTTP, y qué valores típicos se les pasa?
-Authorithaztion
- Cache-control
- Accept
- Accept-Charset:
- Accept-Language
- Accept-Encoding
- Content-Type
- Content-Lenght
- Cookie
- Date
- Host
- Range
- Connection
- User-Agent
- Access-Control-Request_Method

Answer 17

• Authorithaztion: BASIC asjeIXke… / Bearer sdixnIDN …
• Cache-control: no-cache
• Accept: text/html -> tipos mime
• Accept-Charset: utf-8 -> conjunto de caracteres
• Accept-Language: es-ES -> idioma
• Accept-Encoding: gzip, deflate -> compresión
• Content-Type: mimetipe del body
• Content-Lenght: longitud del body
• Cookie: envía todas las del dominio
• Date
• Host: www.madrid.es -> dominio del host
• Range: bytes=500-599
• Connection: keep-alive
• User-Agent: identifica al browser
• Access-Control-Request_Method:GET -> política de seguridad CORS, para preguntarle al otro dominio si se le puede hacer una llamada con ese método (GET, POST, …) desde el dominio origen

Question 18

Qué hacen estas cabeceras más importantes de response de HTTP, y qué valores típicos se les pasa?

• Set-Cookie: < cookie-name>asdfa< /cookie-name>
• Content-disposition
• Content-Encoding
• Content-Lenght
• Content-Range
• Date
• Location
• Las-Modified
• Transfer-Encoding
• Www-Authenticate
• Server:
• Access-Control-Allow-Origin:
  - Strict-Transport-Security
• Content-Security-Policy

Answer 18

• Set-Cookie: < cookie-name>asdfa< /cookie-name> -> cabecera http con la que el servidor establece una cookie al cliente
• Content-disposition
• Content-Encodin: ggzip, .. -> encoding en el que va comprimido el contenido
• Content-Lenght
• Content-Range
• Date
• Location: url -> redirecciones http de cliente, por ejemplo para redireccionar a CAS para login
• Last-Modified
• Transfer-Encoding
• Www-Authenticate
• Server:
• Access-Control-Allow-Origin:
• • Strict-Transport-Security

Question 19

En que consiste el mecanismos de seguridad que tiene HTTP 1.1 de autorización?

Answer 19

Cabecera Authorization: Flujo ->
- cliente envia http request
- Servidor responde 401: Unauthorized
- Cliente muestra popup de usuario y contraseña
- Cliente envía http request, pero con cabecera Authorization: BASIC (usuario:password en Base64)
- Servidor responde con 200 OK o 403 Forbiden

Question 20

Qué es un archivo de tipo .woff?

Answer 20

Un archivo WOFF es un archivo de fuentes web creado en el formato WOFF (Web Open Font Format), un formato abierto utilizado para entregar fuentes de páginas web

Formato de fuente que incluye de forma comprimida y con metadatos(xml) fuentes OpenType o TrueType

Question 21

En qué consiste la política de seguridad CORS de HTTP 1.1?

Answer 21

Sirve para protegerse de llamadas a otros dominios cuando el navegador ha hecho una primera conexión a un dominio al que nos referimos como origin
- El navegador carga la página del origen, la cual pide un recurso de otro dominio.
- El navegador hace request OPTIONS al otro dominio, pero pasando en la cabecera de la request, en el campo Origin:el dominio del origen
- El otro dominio responde con la cabecera Access-Control-Allow-Origin: dominio origen (muchas veces tendrán un “*”, que serían todos)
- El navegador, si recibe esa cabecera con el dominio origen, carga el recurso, si no no.

De esta forma es imprescindible que el otro dominio tiene que tener configurado en el servidor el dominio de origen

Question 22

Para qué sirve la técnica HSTS de HTTP?

Answer 22

Sirve para forzar al cliente si te accede por HTTP para cambiar a HTTPs

Se usa la cabecera Strict-Transport-Security

Question 23

Para qué sirve la técnica CSP de HTTP?

Answer 23

Sirve para restringir desde qué orígenes se puede descargar el navegador ciertos recursos y así ayuda a prevenir y mitigar algunos tipos de ataque, incluyendo Cross Site Scripting ( XSS (en-US) ) y ataques de inyección de datos.

Se usa la cabecera Content-Security-Policy del servidor, donde establece por ejemplo script-src, img-src … = ‘self’ (para que solo se pueda descargar desde el mismo servidor de origen), ‘otro origen’ (para que solo se pueda descargar ese recurso desde ese otro origen que se haya establecido)

Question 24

Para qué se usan los grupos de códigos HTTP de respuesta?
100
200
201
202
300
301
302
304
400
401
403
404
405
413
500
502
503

Answer 24

100 -> Informativos
200 -> OK
201 -> Created (se ha creado un nuevo recurso)
202 -> Accepted (se ha recibido pero no procesado, como un batch)
300 -> Redirecciones
301 -> se ha movido permanentemente
302 -> se ha movido temporalmente
304 -> no se ha modificado desde la última request
400 -> Bad Request - Problemas con la solicitud del cliente
401 -> No autorizado
403 -> Prohibido
404 -> Not found
405 -> Método no permitido
413 -> Request muy grande (body muy grande)
500 -> Interal error (genérico)
502 -> Bad gateway
503 -> Servicio no disponible

Question 25

Qué diferencia principal hay entre HTTP1 y HTTP2

Answer 25

Ya no es un protocolo orientado a caracter, como http 1, sino binario, por lo que tiene un FRAME donde cada bit significa algo.
Se intercambian streams (flujos) que son secuencias de frames
Se aprovecha mucho el ancho de banda, ya que se mezclan frames de distintos flujos, por eso cada frame tiene un Stream identifier.
Los frames pueden llevar distinta información del recurso, por separado: los hay de tipo DATA, HEADER, …
Está basado en SPDY de Google
No requiere TLS, porque ya lo lleva implementado
Tiene ya la opción de que el servidor envíe al cliente mensajes PUSH

Question 26

Qué añade HTTP 3 respecto a HTTP 2 principalmente?

Answer 26

Utiliza un protocolo que se llama QUIC (Quick UDP Internet Connections) que va sobre UDP

Question 27

Cuáles son las tres dimensiones de la seguridad (CIA)

Answer 27

Confidencialidad: Que la información no pueda ser vista por terceros no deseados
Integridad: Garantizar que la información no ha sido modificada
Disponibilidad: La información está disponible

Question 28

Cómo se garantiza la Confidencialidad de la información?

Answer 28

Con cifrado y descifrado con clave

Question 29

Qué son los algoritmos simétricos de cifrado? En qué casos se usan?
Pon ejemplos de algoritmos

Answer 29

Son algoritmos que usan una sola clave para cifrar y descifrar la información.Son rápidos computacionales y por tanto se usan para cantidades grandes de información.
Tienen el problema de distribución de la clave de forma segura.

AES, 3DES, RC5, IDEA …

Question 30

Qué son los algoritmos asimétricos de cifrado? En qué casos se usan?
Pon ejemplos de algoritmos

Answer 30

Son algoritmos que usan dos claves, lo que hace una lo deshace la otra.
Son lentos, pero no tienen el problema de distribución de la clave, porque se distribuye la pública.
Por eso se suele usar cifrado asimétrico para compartir la clave de un algoritmo simétrico, y cifrar la información con el simétrico.

Diffie Hellman (DH), RSA DSA, EC (curvas elípticas)

Question 31

Qué son los algoritmos de tipo MIC/HMAC? Para qué se usan? Qué diferencia hay entre ellos?
Qué necesitan como entradas para funcionar?
Ejemplos de algoritmos.

Answer 31

Son algoritmos que generan un resumen (resíduo) de la información (un hash)
El algoritmo MIC sólo necesita el mensaje, mientras que HMAC necesita el mensaje y una clave.
El receptor genera también el resumen, lo compara con el resumen del emisor y si coinciden significa que la información no ha sido modificada.
Tienen el problema de que no garantizan la autoría, si no garantizas que el hash del receptor no ha sido sustituido también junto con la información.

Ejemplos: SHA-1, SHA-2, SHA-3, MD5

Sirven para garantizar la Integridad

Question 32

Cómo funciona la firma digital?

Answer 32

1. Se genera un código MIC (hash) del documento, para garantizar la Integridad
2. Se cifra el hash con la clave privada del emisor, para que así todos pueden comprobar con la clave pública del emisor, al desencriptar el hash, que coincide con el hash del documento que puede generar el receptor. Así se garantiza la autenticidad

Question 33

Cómo funciona la firma digital?

Answer 33

1. Se genera un código MIC (hash) del documento, para garantizar la Integridad
2. Se cifra con la clave privada del emisor, para que sólo lo pueda firmar el emisor y no cualquiera con la pública del emisor, así se garantiza la Autenticidad

No se garantiza la Confidencialidad

Question 34

Qué es un certificado X509v3?
Qué extensiones tienen esos archivos?

Answer 34

Documento firmado y emitido por una CA (autoridad de confianza) para un dominio o una persona

.cer / .pem -> (solo la parte pública del certificado). es en base64 con una cabecera y un pie
.pfx / .p12 -> parte pública + parte privada -> PKCS#12

Question 35

Qué dos formas hay para que un certificado expedido por una CA no valga sólo para un dominio, sino que sea algo más flexible?

Answer 35

SAN (subjetct alternative name) -> en el certificado viene el nombre principal (20minutos.es) y alternativas, para las subpáginas, o intranet, etc…
wildcard, como asterisco, para todos

Question 36

Qué hace el navegador para validar el certificado x509 del servidor?

Answer 36

1. Comprueba el periodo de validez
2. Que el dominio del certificado coincide con el dominio de donde se ha descargado
3. Comprueba que está bien firmado
4. Comprueba si la CA está registrada en sus almacenes de confianza
5. Comprueba si está revocado (mediante le protocolo OCSP en base al nº de serie, o contra una lista CRL de revocaciones)

Question 37

Qué dos capas tiene el protocolo TLS?

Answer 37

• Higher layer Subprotocol
• TLS Record Subprotocol -> Es la capa que garantiza la seguridad (CIA )

Question 38

Qué subprotocolos transporta la capa Higher layer suprotocol de TLS?

Answer 38

• Handshake (22)
• Change cipher spec (20)
• Alert (21)
• Application Data (23)

Question 39

El handshake de SSL / TLS, se hace antes o después del handshake TCP?

Answer 39

Se hace después del 3-way handshake de TCP

Question 40

En qué consiste el handshake básico de SSL / TLS para autenticar al servidor?

Answer 40

1. Client hello: versión de SSL, lista de suites de cifrado, nº aleatorio, extensiones
2. Server hello: suite de cifrado elegida, certificado del servidor, nº aleatorio, session id, lista de CAs que reconoce, extensiones.
3. Intercambio PRE-Master: El cliente valida el certificado, saca la clave pública del servidor y con ella cifra la clave de sesión (premaster). Envía al servidor la clave de sesión cifrada con la clave pública del servidor, sacada del certificado del servidor.
4. Generación Master Secret en ambos lados: Con la clave de sesión y otras informaciones que tienen ambos, ambos pueden generar la clave simétrica. Ya tienen la clave simétrica para empezar a compartir información.

Question 41

En java, en qué fichero se almacenan las CA?

Answer 41

JAVA_HOME/jre/lib/security/certs

Question 42

En java, qué ficheros son equivalentes a los .cert o .p12?

Answer 42

El formato de java JKS (Java Key Store), que tienen claves públicas, privadas, CAs adicionales, …

Se configuran en javax.net.ssl.KeyStore / KeyStorePassword y
javax.net.ssl.TrustStore / TrustStorePassword

Question 43

Cuáles son las 3 políticas de seguridad en HTTP

Answer 43

CORS
CSP -> Content-Security-Policy
HSTS -> Strict Transport Security

Question 44

Cuáles son las 3 políticas de seguridad en HTTP

Answer 44

CORS
CSP -> Content-Security-Policy
HSTS -> Strict Transport Security

Question 45

Qué es el formato PEM, de los ficheros con extensión .pem, .cer, etc?

Answer 45

Privacy-enhanced mail. Es un formato de exportación en base64, que sirve para exportar certificados, claves públicas, etc… Tiene una cabecera, el cuero y un pie

Question 46

Qué es DER o BER?

Answer 46

Distinguished Encoding Rules (DER). The Basic Encoding Rules (BER). Se usa en ASN1, entre otras cosas, que es Abstract Syntax Notation One (notación sintáctica abstracta 1, ASN.1) es una norma para representar datos independientemente de la máquina que se esté usando y sus formas de representación internas.

Formato de exportación, pero con una serialización binaria (cada dígito significa algo ya convenido)

Question 47

Qué son POODLE / BEAST / SWEET32 / CRIME

Answer 47

Vulnerabilidades SSL. Leer sobre ellas –>

Vulnerabilidad de ataque POODLE

El ataque POODLE (lo cual significa “Padding Oracle On Downgraded Legacy Encryption”, CVE-2014-3566) es un “exploit” del tipo “ataque de intermediario” (MITM) que permite a un intruso, descifrar contenido selectivo dentro de la sesión SSL.

Variaciones de la vulnerabilidad afectan TLS porque un ataque activo MITM puede forzar al navegador a degradar la sesión a SSLv3, el cual puede ser atacado.

Vulnerabilidad de ataque BEAST

El ataque BEAST, reportado como CVE-2011-3389, aprovecha la debilidad en el modo de cifrado CBC (cipher-block chaining) de SSL/TLS, permitiendo a un atacante MITM recuperar cierta información de la sesión, tales como datos sobre “cookies” de lo que debería ser una conexión segura.

Vulnerabilidad de ataque SWEET32

El ataque “SWEET32” (asignado como CVE-2016-2183), aprovecha el ataque de colisión en el protocolo SSL/TLS que soporta las suites de cifrado que usan bloque de 64 bits para extraer texto plano de los datos cifrados, cuando es utilizado el modo de cifrado CBC.

Vulnerabilidad CRIME (“Compression Ratio Info-leak Made Easy”

Permite al atacante llevar a cabo el secuestro de una sesión web autenticada, permitiendo así lanzar otros ataques.

Question 48

Qué almacena el fichero PKCS#8?

Answer 48

Formato de exportación en PEM/Base64 de la clave privada (con o sin encriptación de la misma)

Question 49

Cuáles han sido las versiones de SSL y TLS?

Answer 49

SSL 1.0 – nunca se ha publicado debido a problemas de seguridad.
SSL 2.0 – lanzado en 1995. Desaparecido en 2011. Ha tenido problemas de seguridad.
SSL 3.0 – lanzado en 1996. Se depreció en el 2015. Ha tenido problemas de seguridad.
TLS 1.0 – lanzado en 1999 como una actualización a SSL 3.0. La depreciación prevista para el año 2020.
TLS 1.1 – publicado en 2006. La depreciación prevista para el año 2020.
TLS 1.2 – publicado en 2008.
TLS 1.3 – lanzado en 2018.

Question 50

En SSL puede se autenticar el cliente?

Answer 50

Sí en el modo de mutual authentication o 2-way authentication