PREGUNTAS TIPO EXAMEN – Ex3
Tema7:
(el punto
7.3.4 Proxy Squid no entra)
¿Qué diferencia hay entre la monitorización del tráfico de red y el análisis del tráfico de red? Ventajas e inconvenientes de cada una
La Monitorización trabaja a alto nivel, se limita a tomar medidas agregadas como los llamados contadores y el análisis del tráfico trabaja a bajo nivel, captura todos los paquetes que transitan por una interfaz.
¿Qué técnicas principales podemos usar para procesar el tráfico de nuestra red?
Las técnicas principales que podemos usar para procesar el tráfico de nuestra red son la monitorización del tráfico y el análisis del tráfico.
Explica la frase: «Con las técnicas para procesar el tráfico de red hay que conseguir un equilibrio entre los objetivos de seguridad y la carga extra que supone tratar esta información.
También podemos usar una sonda para procesar el tráfico de nuestra red. ¿Qué es una sonda? ¿Para qué sirve?
Si podemos usar una sonda, es un equipo de la red que está programado para comportarse como cliente normal de alguno de los servicios que tenemos desplegados. Sirve para ejecutar sus operaciones periódicamente de manera que si alguna falla podemos suponer que también le fallará al usuario y debemos de corregir el problema.
¿Qué son tcpdump y wireshark? ¿Cómo funcionan? ¿Para qué sirven? Diferencias entre ellos
tcpdump es una herramienta sencilla que permite hacer un volcado de todo el tráfico que llega a una tarjeta de red. Sirve para capturar todo el tráfico, los paquetes leído se muestra en pantalla o se puede almacenar en un fichero del disco para ser tratados posteriormente por esta misma herramienta u otra más avanzada.
Wireshark:es una herramienta más extendida para realizar capturas de tráfico y analizar los resultados. Se utiliza para la captura de paquetes utiliza la librería pcap, que también aparece otro sniffer como tcpdump.
¿Qué es el port mirroring?¿Para que se usa?¿Explica cómo funciona?
Consiste en modificar la configuración del switch para que replique todo el tráfico de un puerto a otro. En el segundo puerto conectamos el sniffer y el equipo se conecta en el primer puerto funcionando con normalidad pero no saben que está siendo espiados
Une con flechas: (CORREGIDO POR JUANJO)
Es bueno que todas las máquinas tengan uno sobre todo los servidores O | Firewall | |
Hay que configurar el navegador web o sw de red con los datos del mismo para poder navegar sin problemas. O | Proxy explicito | O Firewall |
En Linux se usa para esta labor iptables O | Firewall | |
Filtra paquetes mirando direcciones y puertos. O | Firewall | O Proxy explícito |
Normalmente usa una caché. O | Explícito, transparente | |
Página web donde introducimos los datos para acceder a la web que realmente queremos visitar y a la que no deseamos/podemos acceder directamente. O | proxy web | O Proxy web |
A diferencia de Linux en Windows su configuración por defecto para las conexiones entrantes es rechazarlas. O | Firewall | |
Se coloca entre dos máquinas como intermediario entre ellas para la comunicación entre ambas. O | transparente,web,explícito | O Proxy transparente |
Se usa en países con censura para conseguir anonimato. O | transparente |
¿Qué es IDS?¿Qué es IPS? ¿Qué es NIDS? ¿Qué es NIPS? ¿Qué es HIDS? ¿Qué es HIPS?
IDS son los que detectan los ataques, IPS son los que actúan contra los ataques, NIDS/NIPS buscan ataques sobre servicios de comunicaciones. Se basa en el análisis de paquetes que forma parte de la comunicación entre dos máquinas.
HIDS/HIPS buscan ataques sobre las aplicaciones y el sistema operativo de la máquina. Se basan en el análisis de los procesos actuales y la configuración y log de cada uno de los servicios
¿Qué es snort?
Es una herramienta que incluye multitud de reglas preconfiguradas para los ataque conocidos y periódicamente se publican actualizaciones
¿Qué es un firewall?
un firewall es la parte de un sistema informático o una red informática que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas
¿Qué son el tráfico entrante y saliente de un firewall?
tráfico de entrante la tarjeta de red recibe el paquete y lo identifica, pero antes de entregarla a la aplicación correspondiente pasa por el firewall para que decida si prospera o no
tráfico saliente las aplicaciones elaboran sus paquetes de datos pero antes de entregarlo al software de red para que lo envíe pasa por el firewall
¿Qué datos de los paquetes son básicamente los que comprueba un firewall?
El firewall básicamente mira direcciones IP y puertos, aunque también puede reconocer conversaciones entre dos equipos y controlarlas.
¿Qué es una DMZ? ¿Para qué sirve? Ventajas e inconvenientes
Demilitarized Zone, es un grupo de computadoras conectadas en red las cuales forman una especie de “zona segura” con menores restricciones de acceso.
Ventajas: mayor facilidad de configuración ya que no requiere conocer el puerto exacto que necesitamos abrir
Desventajas: Al abrir todos los puertos, hacemos que cualquiera pueda rastrear la red para encontrar vulnerabilidades y “colarse” así en nuestro sistema.
¿Cómo son los firewall de una DMZ? ¿Es aconsejable tener alguna otra protección en una DMZ?
Los firewall DMZ o Desmitalirized Zone, hacen que básicamente el firewall de esa zona sea menos exigente que el que protege nuestra LAN. Es aconsejable poner un IPS en el servidor para protegerlos de múltiples ataques HTTP que puedan venir de Internet.
¿Qué es Iptables? ¿Cómo funciona? Pon un ejemplo
Iptables es una herramienta avanzada de filtrado de paquetes en Linux
Cuando un paquete llega desde la red hasta nuestra tarjeta de red las primeras reglas que se aplican son las etapas Prerouting de la tabla mangle.Después las de la etapa prerouting de la tabla nat
Después, la máquina comprueba si el paquete iba destinado a ella misma, síes así son evaluados sucesivamente por las reglas de las etapas input de la tabla mangle nat y filter
Si al final del proceso el paquete no ha sido eliminado, será entregado al proceso de la máquina que lo está esperando. SI el paquete no iba destinado a nuestro proceso es descartado en otro caso debemos de encaminarlo a otra interfaz. A su vez los procesos de nuestra máquina genera paquetes de salida y por último terminado el routing y antes de salir a la red, los paquetes todavía tienen que pasar la etapas postrouting de la tablas mangle y nat
¿Qué es el spam? ¿Cómo podemos luchar contra el spam?
Mensaje electrónico no deseado, no solicitado y con remitente desconocido, enviado a una gran cantidad de usuario
Contesta Verdadero o Falso:
Las técnicas principales que podemos usar para procesar el tráfico de nuestra red son la monitorización del tráfico y el análisis del tráfico.
VEl análisis de tráfico trabaja a alto nivel y la monitorización a bajo nivel.
FLa monitorización del tráfico de red es fácil de activar en toda la red, genera relativamente poca información.
VEl análisis del tráfico de la red es muy costoso de activar en toda la red y genera gran cantidad de información.
VLa monitorización del tráfico analiza las conversaciones entre equipos y comprueba que se ajustan al comportamiento esperado.
FEl análisis del tráfico nos permite conocer la disponibilidad de la red, el tipo de tráfico que transita por ella…
FCon las técnicas de para procesar el tráfico de red hay que conseguir un equilibrio entre los objetivos de seguridad y la carga extra que supone tratar esta información.
VUna sonda es un equipo de la red que está programado para comportarse como un cliente normal de alguno de los servicios que tenemos desplegados.
VPort mirroring consiste en modificar la configuración de un switch para que replique todo el tráfico de un puerto a otro.
VUn firewall básicamente mira direcciones MAC y puertos.
FUn firewall básicamente mira direcciones IP y puertos.
VEl firewall nos ayuda a bloquear paquetes de red no solicitados.
VLa DMZ debe tener un firewall muy exigente.
FLa DMZ tiene un firewall menos exigente por eso es aconsejable que tenga instalado un IDS/IPS.
V
Tema 8:
(el punto
3.Ataques web no entra)
¿De qué maneras un atacante TCP/IP puede interponerse en el tráfico entre origen y destino? Explícalas brevemente
Por hardware: Tiene acceso directo a un elemento de red que forma parte del camino entre el origen y el destino
Por software: Consigue que el origen crea que él es el destino, y también consigue que el destino crea que él es el origen.
¿En qué consiste el envenenamiento ARP (ARP poisoning)? ¿Para qué sirve? ¿Cómo podemos evitarlo?
Se utiliza para obtener la dirección MAC asociada a una IP. Consiste en que intenta convencer a María de que Juan es José, e intenta convencer a José de que Juan es María. Evitar el uso de WEP.
¿Qué es Aircrack-ng? ¿Para qué sirve? ¿Cómo funciona?
Es una herramienta para robar contraseñas de WI-FI
¿Cómo podemos evitar o minimizar los ataques wifi?
La primera0 solución es evitar usar el uso de WEP, otra opción es reducir la potencia de nuestro AP y también se puede intentar activar en el AP la lista de MAC permitidas.
¿Qué es UltraSurf? ¿Para qué sirve? ¿Cómo funciona?
UltraSurf es un proxy interno. UltraSurf sirve y funciona como un software que se comporta como un proxy en nuestra propia máquina y modifica la configuración del sistema operativo para que todas las conexiones web pasen por el.
¿Cómo podemos evitar los ataques al proxy?
La primera medida es saber que introducir un software no controlado es una fuente de problemas
También debemos desconfiar, ya que encontraremos programas que dicen combatir el UltraSurf pero en realidad es directamente un malware o podrían consumir recursos sin control.
Une con flechas las siguientes contramedidas con los ataques que pueden evitar/dificultar:
(CORREGIDO POR JUANJO)
Reducir potencia del AP -> 1 | O Ataque Wifi | |
Usar un NIPS en la red -> 2 | O Ataque MITM | O Ataque Proxy |
Formar a los usuarios sobre el riesgo de usar software no controlado -> 3 | O Ataque Proxy | |
Usar en el proxy una blacklist -> 4 | O Ataque Proxy | |
Activar acceso por MAC -> 5 | O Ataque Wifi | |
Usar tablas ARP estáticas -> 6 | O Ataque MITM | O Ataque MITM |
Espiar la red -> 7 | O Ataques MITM, Proxy | |
Bloquear el puerto 443 -> 8 | O Ataque Proxy | |
Evitar el uso de WEP -> 9 | O Ataque Wifi | |
Controlar acceso a la red. ->10 | O Ataque MITM (159) | O Ataque Wifi (159) |
Contesta Verdadero o Falso:
Un atacante TCP/IP puede interponerse entre origen y destino por hardware o por software.
VEs normal que una dirección MAC pueda servir a dos direcciones IP pero no es normal que una IP aparezca asociada a dos MAC distintas.
FCuando un atacante se interpone en el tráfico por hardware, engaña al origen para que crea que él es el destino y engaña al destino haciéndole creer que él es el origen.
FMITM son las siglas de Massive Interception Traffic for MAC F
MITM son las siglas de Man In The Middle V
WEP es un cifrado mejor que WPA F
Debemos evitar la utilización del cifrado WEP, por ser muy fácil de atacar.
V
Prácticas (SEG13 – SEG19 y Opc10-Opc18)
Pasos para configurar una red con servidor de autenticación
Pasos para configurar una VPN
Pasos para averiguar la clave de una red WEP