PREGUNTAS TIPO EXAMEN – Ex3

Procesamiento de Tráfico y Seguridad Perimetral

(El punto 7.3.4 Proxy Squid no entra)

1. ¿Qué diferencia hay entre la monitorización del tráfico de red y el análisis del tráfico de red? Ventajas e inconvenientes de cada una.

   La Monitorización trabaja a alto nivel, se limita a tomar medidas agregadas, como los llamados contadores. El Análisis del tráfico trabaja a bajo nivel, captura todos los paquetes que transitan por una interfaz.

2. ¿Qué técnicas principales podemos usar para procesar el tráfico de nuestra red?

   Las técnicas principales que podemos usar para procesar el tráfico de nuestra red son la monitorización del tráfico y el análisis del tráfico.

3. Explica la frase: «Con las técnicas para procesar el tráfico de red hay que conseguir un equilibrio entre los objetivos de seguridad y la carga extra que supone tratar esta información.»

4. También podemos usar una sonda para procesar el tráfico de nuestra red. ¿Qué es una sonda? ¿Para qué sirve?

   Sí, podemos usar una sonda. Es un equipo de la red que está programado para comportarse como cliente normal de alguno de los servicios que tenemos desplegados. Sirve para ejecutar sus operaciones periódicamente, de manera que si alguna falla, podemos suponer que también le fallará al usuario y debemos corregir el problema.

5. ¿Qué son tcpdump y Wireshark? ¿Cómo funcionan? ¿Para qué sirven? Diferencias entre ellos.

   tcpdump es una herramienta sencilla que permite hacer un volcado de todo el tráfico que llega a una tarjeta de red. Sirve para capturar todo el tráfico; los paquetes leídos se muestran en pantalla o se pueden almacenar en un fichero del disco para ser tratados posteriormente por esta misma herramienta u otra más avanzada.

   Wireshark es una herramienta más extendida para realizar capturas de tráfico y analizar los resultados. Se utiliza para la captura de paquetes y usa la librería pcap, que también utiliza otro sniffer como tcpdump.

6. ¿Qué es el port mirroring? ¿Para qué se usa? Explica cómo funciona.

   Consiste en modificar la configuración del *switch* para que replique todo el tráfico de un puerto a otro. En el segundo puerto conectamos el sniffer y el equipo se conecta en el primer puerto, funcionando con normalidad, pero sin saber que está siendo espiado.

7. Une con flechas: (CORREGIDO POR JUANJO)

   Descripción	Opción 1	Opción 2
   Es bueno que todas las máquinas tengan uno, sobre todo los servidores. O	Firewall
   Hay que configurar el navegador web o SW de red con los datos del mismo para poder navegar sin problemas. O	Proxy explícito	O Firewall
   En Linux se usa para esta labor iptables. O	Firewall
   Filtra paquetes mirando direcciones y puertos. O	Firewall	O Proxy explícito
   Normalmente usa una caché. O	Explícito, transparente
   Página web donde introducimos los datos para acceder a la web que realmente queremos visitar y a la que no deseamos/podemos acceder directamente. O	Proxy web	O Proxy web
   A diferencia de Linux, en Windows su configuración por defecto para las conexiones entrantes es rechazarlas. O	Firewall
   Se coloca entre dos máquinas como intermediario entre ellas para la comunicación entre ambas. O	Transparente, web, explícito	O Proxy transparente
   Se usa en países con censura para conseguir anonimato. O	Transparente

8. ¿Qué es IDS? ¿Qué es IPS? ¿Qué es NIDS? ¿Qué es NIPS? ¿Qué es HIDS? ¿Qué es HIPS?

   IDS (Sistema de Detección de Intrusiones) son los que detectan los ataques. IPS (Sistema de Prevención de Intrusiones) son los que actúan contra los ataques.

   NIDS/NIPS (de Red) buscan ataques sobre servicios de comunicaciones. Se basan en el análisis de paquetes que forman parte de la comunicación entre dos máquinas.

   HIDS/HIPS (de Host) buscan ataques sobre las aplicaciones y el sistema operativo de la máquina. Se basan en el análisis de los procesos actuales, la configuración y los logs de cada uno de los servicios.

9. ¿Qué es Snort?

   Es una herramienta que incluye multitud de reglas preconfiguradas para los ataques conocidos y periódicamente se publican actualizaciones.

10. ¿Qué es un firewall?

    Un firewall es la parte de un sistema informático o una red informática que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

11. ¿Qué son el tráfico entrante y saliente de un firewall?

    Tráfico entrante: La tarjeta de red recibe el paquete y lo identifica, pero antes de entregarlo a la aplicación correspondiente, pasa por el firewall para que decida si prospera o no.

    Tráfico saliente: Las aplicaciones elaboran sus paquetes de datos, pero antes de entregarlos al software de red para que los envíe, pasan por el firewall.

12. ¿Qué datos de los paquetes son básicamente los que comprueba un firewall?

    El firewall básicamente mira direcciones IP y puertos, aunque también puede reconocer conversaciones entre dos equipos y controlarlas.

13. ¿Qué es una DMZ? ¿Para qué sirve? Ventajas e inconvenientes.

    DMZ (*Demilitarized Zone*) es un grupo de computadoras conectadas en red las cuales forman una especie de “zona segura” con menores restricciones de acceso.

    Ventajas: Mayor facilidad de configuración, ya que no requiere conocer el puerto exacto que necesitamos abrir.

    Desventajas: Al abrir todos los puertos, hacemos que cualquiera pueda rastrear la red para encontrar vulnerabilidades y “colarse” así en nuestro sistema.

14. ¿Cómo son los firewall de una DMZ? ¿Es aconsejable tener alguna otra protección en una DMZ?

    Los firewall de la DMZ (*Demilitarized Zone*) hacen que básicamente el firewall de esa zona sea menos exigente que el que protege nuestra LAN. Es aconsejable poner un IPS en el servidor para protegerlos de múltiples ataques HTTP que puedan venir de internet.

15. ¿Qué es Iptables? ¿Cómo funciona? Pon un ejemplo.

    Iptables es una herramienta avanzada de filtrado de paquetes en Linux.

    Cuando un paquete llega desde la red hasta nuestra tarjeta de red, las primeras reglas que se aplican son las etapas Prerouting de la tabla mangle. Después, las de la etapa prerouting de la tabla nat.

    Después, la máquina comprueba si el paquete iba destinado a ella misma. Si es así, son evaluados sucesivamente por las reglas de las etapas input de la tabla mangle, nat y filter.

    Si al final del proceso el paquete no ha sido eliminado, será entregado al proceso de la máquina que lo está esperando. Si el paquete no iba destinado a nuestro proceso, es descartado; en otro caso, debemos encaminarlo a otra interfaz. A su vez, los procesos de nuestra máquina generan paquetes de salida y, por último, terminado el routing y antes de salir a la red, los paquetes todavía tienen que pasar las etapas postrouting de las tablas mangle y nat.

16. ¿Qué es el spam? ¿Cómo podemos luchar contra el spam?

    Mensaje electrónico no deseado, no solicitado y con remitente desconocido, enviado a una gran cantidad de usuarios.

17. Contesta Verdadero (V) o Falso (F):

    • Las técnicas principales que podemos usar para procesar el tráfico de nuestra red son la monitorización del tráfico y el análisis del tráfico. V
    • El análisis de tráfico trabaja a alto nivel y la monitorización a bajo nivel. F
    • La monitorización del tráfico de red es fácil de activar en toda la red y genera relativamente poca información. V
    • El análisis del tráfico de la red es muy costoso de activar en toda la red y genera gran cantidad de información. V
    • La monitorización del tráfico analiza las conversaciones entre equipos y comprueba que se ajustan al comportamiento esperado. F
    • El análisis del tráfico nos permite conocer la disponibilidad de la red, el tipo de tráfico que transita por ella… F
    • Con las técnicas para procesar el tráfico de red hay que conseguir un equilibrio entre los objetivos de seguridad y la carga extra que supone tratar esta información. V
    • Una sonda es un equipo de la red que está programado para comportarse como un cliente normal de alguno de los servicios que tenemos desplegados. V
    • Port mirroring consiste en modificar la configuración de un switch para que replique todo el tráfico de un puerto a otro. V
    • Un firewall básicamente mira direcciones MAC y puertos. F
    • Un firewall básicamente mira direcciones IP y puertos. V
    • El firewall nos ayuda a bloquear paquetes de red no solicitados. V
    • La DMZ debe tener un firewall muy exigente. F
    • La DMZ tiene un firewall menos exigente, por eso es aconsejable que tenga instalado un IDS/IPS. V

Ataques TCP/IP y Contramedidas

(El punto 3. Ataques web no entra)

1. ¿De qué maneras un atacante TCP/IP puede interponerse en el tráfico entre origen y destino? Explícalas brevemente.

   Por hardware: Tiene acceso directo a un elemento de red que forma parte del camino entre el origen y el destino.

   Por software: Consigue que el origen crea que él es el destino, y también consigue que el destino crea que él es el origen.

2. ¿En qué consiste el envenenamiento ARP (ARP poisoning)? ¿Para qué sirve? ¿Cómo podemos evitarlo?

   Se utiliza para obtener la dirección MAC asociada a una IP. Consiste en que intenta convencer a María de que Juan es José, e intenta convencer a José de que Juan es María. Evitar el uso de WEP.

3. ¿Qué es Aircrack-ng? ¿Para qué sirve? ¿Cómo funciona?

   Es una herramienta para robar contraseñas de Wi-Fi.

4. ¿Cómo podemos evitar o minimizar los ataques Wi-Fi?

   La primera solución es evitar el uso de WEP. Otra opción es reducir la potencia de nuestro AP y también se puede intentar activar en el AP la lista de MAC permitidas.

5. ¿Qué es UltraSurf? ¿Para qué sirve? ¿Cómo funciona?

   UltraSurf es un proxy interno. UltraSurf sirve y funciona como un software que se comporta como un proxy en nuestra propia máquina y modifica la configuración del sistema operativo para que todas las conexiones web pasen por él.

6. ¿Cómo podemos evitar los ataques al proxy?

   La primera medida es saber que introducir un software no controlado es una fuente de problemas.

   También debemos desconfiar, ya que encontraremos programas que dicen combatir el UltraSurf, pero en realidad son directamente un malware o podrían consumir recursos sin control.

7. Une con flechas las siguientes contramedidas con los ataques que pueden evitar/dificultar: (CORREGIDO POR JUANJO)

   Contramedida	Ataque 1	Ataque 2
   Reducir potencia del AP -> 1	O Ataque Wi-Fi
   Usar un NIPS en la red -> 2	O Ataque MITM	O Ataque Proxy
   Formar a los usuarios sobre el riesgo de usar software no controlado -> 3	O Ataque Proxy
   Usar en el proxy una blacklist -> 4	O Ataque Proxy
   Activar acceso por MAC -> 5	O Ataque Wi-Fi
   Usar tablas ARP estáticas -> 6	O Ataque MITM	O Ataque MITM
   Espiar la red -> 7	O Ataques MITM, Proxy
   Bloquear el puerto 443 -> 8	O Ataque Proxy
   Evitar el uso de WEP -> 9	O Ataque Wi-Fi
   Controlar acceso a la red. -> 10	O Ataque MITM (159)	O Ataque Wi-Fi (159)

8. Contesta Verdadero (V) o Falso (F):

   • Un atacante TCP/IP puede interponerse entre origen y destino por hardware o por software. V
   • Es normal que una dirección MAC pueda servir a dos direcciones IP, pero no es normal que una IP aparezca asociada a dos MAC distintas. F
   • Cuando un atacante se interpone en el tráfico por hardware, engaña al origen para que crea que él es el destino y engaña al destino haciéndole creer que él es el origen. F
   • MITM son las siglas de Massive Interception Traffic for MAC. F
   • MITM son las siglas de Man In The Middle. V
   • WEP es un cifrado mejor que WPA. F
   • Debemos evitar la utilización del cifrado WEP, por ser muy fácil de atacar. V

Prácticas (SEG13 – SEG19 y Opc10-Opc18)

1. Pasos para configurar una red con servidor de autenticación.
2. Pasos para configurar una VPN.
3. Pasos para averiguar la clave de una red WEP.