Monitorización y Análisis del Tráfico de Red
¿Qué diferencia hay entre la monitorización del tráfico de red y el análisis del tráfico de red? Ventajas e inconvenientes de cada una.
La monitorización del tráfico se realiza a alto nivel y se limita a tomar medidas agregadas (contadores). El análisis se realiza a bajo nivel capturando todos los paquetes que pasan por una interfaz.
Ventajas e inconvenientes de la monitorización:
- Fácil de activar en toda la red.
- Genera poca información.
- Se usa solo para monitorizar la red.
Ventajas e inconvenientes del análisis:
- Muy costosa de activar en toda la red.
- Genera mucha información.
- Se usa para detección de ataques.
¿Qué técnicas principales podemos usar para procesar el tráfico de nuestra red?
Monitorización del tráfico y análisis del tráfico.
También podemos usar una sonda para procesar el tráfico de nuestra red. ¿Qué es una sonda? ¿Para qué sirve?
Una sonda es un equipo de la red que está programado para comportarse como un cliente normal de nuestros servicios. Sirve para ejecutar operaciones periódicamente. Si estas operaciones fallan, probablemente le fallará al usuario también, así que hay que corregir el problema.
¿Qué son tcpdump y Wireshark? ¿Cómo funcionan? ¿Para qué sirven? Diferencias entre ellos.
Son herramientas que se usan para capturar y analizar el tráfico de la red. Capturan todo el tráfico y los paquetes leídos se pueden mostrar en pantalla o almacenar para ser tratados más tarde. Sirven para capturar el tráfico de la red y analizarlo.
Diferencias:
- tcpdump es para Linux y es sencilla.
- Wireshark es para Windows y es más extendida.
¿Qué es el port mirroring?
Es una funcionalidad de los switch gestionables que nos permite que todo el tráfico que está pasando por un puerto se informe como que está pasando en otro también. Si usamos un sniffer en el segundo puerto podemos ver todo lo que pasa por el primer puerto.
Sistemas de Detección y Prevención de Intrusos
¿Qué es IDS? ¿Qué es IPS? ¿Qué es NIDS? ¿Qué es NIPS? ¿Qué es HIDS? ¿Qué es HIPS?
- IDS → Sistema de detección de intrusos – detecta los ataques
- IPS → Sistema de prevención de intrusos – actúa contra los ataques
- NIDS → Sistema de detección de intrusos de la red – detecta los ataques sobre servicios de comunicaciones
- NIPS → Sistema de prevención de intrusos de la red – actúa contra los ataques sobre servicios de comunicaciones
- HIDS → Sistema de detección de intrusos de usuario – detecta los ataques sobre las aplicaciones y el SO de la máquina
- HIPS → Sistema de prevención de intrusos de usuario – actúa contra los ataques sobre las aplicaciones y el SO de la máquina
¿Qué es Snort?
Snort es un sniffer de paquetes y un detector de intrusos basado en red.
Firewalls y Seguridad Perimetral
¿Qué es un firewall?
Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall.
¿Qué son el tráfico entrante y saliente de un firewall?
El tráfico entrante son los paquetes que recibe la tarjeta de red y lo pasa por el firewall antes de entregarlo a la aplicación. El tráfico saliente son los paquetes que elaboran las aplicaciones y se pasan por el firewall antes de entregarlo al software de red.
¿Qué datos de los paquetes son básicamente los que comprueba un firewall?
Las direcciones IP y los puertos.
¿Cómo son los firewall de una DMZ? ¿Es aconsejable tener alguna otra protección en una DMZ?
En las empresas grandes hay máquinas distintas para cada servicio, todas situadas en una subred especial llamada DMZ (Demilitarized Zone, zona desmilitarizada). El firewall de esta zona es menos exigente que el que protege nuestra LAN. Es menos exigente que el que protege nuestra LAN, porque tenemos que permitir conexiones a esos servicios; pero, como está expuesto a más ataques, se suele acompañar de un IDS/IPS.
¿Qué es una DMZ? ¿Para qué sirve? Ventajas e inconvenientes.
DMZ (zona desmilitarizada) es una zona segura que se ubica entre la red interna de una organización y una red externa, generalmente en Internet. La función de una DMZ es permitir las conexiones tanto desde la red interna como de la externa, mientras que las conexiones que parten de la DMZ solo puedan salir a la red interna.
Ventajas:
Si vas a dar servicios a través de Internet, con una DMZ mejoras mucho tu seguridad perimetral de cara a tu LAN.
Inconvenientes:
Tienes que saber lo que es una DMZ, como configurarla, qué canales de comunicación establecer con tu LAN y cómo securizarla… O acabarás con otro punto de riesgo de accesos no autorizados a tu LAN desde el exterior.
Iptables y Gestión de Reglas de Firewall
¿Qué es Iptables? ¿Cómo funciona? Pon un ejemplo.
Las reglas de iptables tienen una lista de condiciones y una acción, de manera que, cuando un paquete cumple todas las condiciones de una regla, se ejecuta la acción. En las condiciones podemos utilizar la interfaz por la que entró, la interfaz por la que va a salir, la dirección IP o la subred del paquete, el tipo de protocolo, el puerto origen o destino, etc. Las acciones pueden ser simplemente aceptar o rechazar el paquete, o también modificarlo.
Spam y Técnicas de Prevención
¿Qué es el spam? ¿Cómo podemos luchar contra el spam?
Correos no deseados (spam). Estos correos, como mínimo, llevan publicidad, pero también son una fuente de infección de virus y troyanos que pueden venir en un fichero adjunto o que aprovechan una vulnerabilidad del programa de correo. Cuando se detecta un correo spam, tenemos varias opciones:
- Bloquearlo aquí e impedir que llegue hasta el usuario; así le ahorramos molestias (leerlo, borrarlo) y evitamos potenciales infecciones. No se suele usar porque nunca tendremos la certeza de que no hemos eliminado algún correo importante.
- Dejarlo pasar, pero convirtiendo el texto del correo en un fichero adjunto, para que sea más difícil engañar al usuario y solo lo abra si está seguro de que el correo le interesa.
Ataques de Red y Herramientas de Seguridad
¿De qué maneras un atacante TCP/IP puede interponerse en el tráfico entre origen y destino? Explícalas brevemente.
- Por hardware. El atacante tiene acceso directo a un elemento de red que forma parte del camino entre el origen y el destino. Por ejemplo, el cable que conectaba el origen con su switch de planta ahora pasa por la máquina del atacante.
- Por software (engaño). El atacante consigue que el origen crea que él es el destino, y también consigue que el destino crea que él es el origen. Es mucho más simple que el anterior porque no hace falta tener acceso físico a los equipos.
¿Qué es Aircrack-ng? ¿Para qué sirve? ¿Cómo funciona?
Es una herramienta para conseguir la clave WEP de una red wifi.
¿Qué es UltraSurf? ¿Para qué sirve? ¿Cómo funciona?
Este software se comporta como un proxy en nuestra propia máquina y modifica la configuración de Windows para que todas las conexiones web pasen por él. Este proxy interno recibe las conexiones y las encamina fuera de la máquina conectando con otras máquinas en Internet. Estas máquinas utilizan el puerto 443 (el habitual del tráfico SSL). Como en un proxy normal, obtienen las páginas que el usuario pedía y se las mandan al proxy interno, el cual las entrega al navegador. Por tanto, el tráfico del usuario pasa por dos proxy: uno local y otro en Internet.
¿Cómo podemos evitar los ataques al proxy?
La primera medida es formar a los usuarios para que entiendan que introducir software no controlado es una fuente de problemas. Como aun así algunos lo intentarán, debemos espiar nuestra red.