You are on page 1of 4

1)

a- Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una
tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o
no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes
compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y
políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a
punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
b- Se utiliza cifrado simetrico, utilizar asimetrico generaria un gran overhead.
c- Si lo consideraria correcto, por ejemplo, el siguiente escenario, la compañia tiene un cliente para
el cual esta desarrollando una aplicacion, el cliente provee un ambiente de pruebas en el cual, por
razones de seguridad filtra todos los IPs salvo el de la empresa contratada, entonces todos los testers
se conectan mediante una VPN a la red de la empresa y de ahi acceden al ambiente de pruebas.
Suponiendo que todos los empleados de la empresa hacen homeoffice.
2) Situaciones que se me ocurren:
* Un primer firewall situado en la entrada a internet, destras de este firewall una DMZ y otro
firewall protegiendo la LAN.
* Dos firewalls interconectados para resolver el problema de unico punto de falla. Si se cae un
firewall la organizacion sigue teniendo conexion.
* Multiples salidas a internet en distintas zonas de la organizacion, por ejemplo, en una empresa el
departamento de compras tiene una conexion a internet y el de ventas tambien, entonces cada
salida/entrada deberia tener su firewall.
3) Dependiendo de la topologia si puede, suponiendo el siguiente escenario:

El atacante encuentra una aplicación mal programada en el servidor web en la cual puede ejecutar
codigo PHP, el primer firewall ya no hay mucho que pueda hacer, pero suponiendo que el segundo
firewall tiene reglas cargadas para no permitir iniciar conexiones desde el exterior (solo se permite
que las conexiones se inicien desde la LAN) entonces la LAN estara protegida por ese firewall.

134.34.2:56697 200.45.65.22.4) Tabla de conexiones: Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 222.45.39.3:56447 200.23 $IPTABLES -A OUTPUT --d 231.134.35.0.55:22 ESTABLISHED 5) IPTABLES="/sbin/iptables" # Limpio las reglas $IPTABLES -F $IPTABLES -X # Vuelvo los contadores a cero $IPTABLES -Z # Sin restricciones en loopback $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT # Por defecto descartar todo $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP # Trafico SSH saliente $IPTABLES -A OUTPUT -p tcp --sport 1024:65535 --dport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1024:65535 --sport 22 -j ACCEPT # Trafico http saliente $IPTABLES -A OUTPUT -p tcp --sport 1024:65535 --dport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1024:65535 --sport 80 -j ACCEPT # Trafico https saliente $IPTABLES -A OUTPUT -p tcp --sport 1024:65535 --dport 443 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1024:65535 --sport 443 -j ACCEPT # Trafico dns saliente $IPTABLES -A OUTPUT -p tcp --sport 1024:65535 --dport 53 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1024:65535 --sport 53 -j ACCEPT # Trafico de la IP 195.65.78.34.22.23 --dport 3306 --sport 1024:65355 -j ACCEPT .30.65.1:54440 200.45.0.234 -j ACCEPT # Trafico MySQL de la IP 231.30.234 $IPTABLES -A OUTPUT --d 195.134.58:22 ESTABLISHED tcp 0 570 222.234 --state ESTABLISHED -j ACCEPT $IPTABLES -A INPUT --s 195.34.0.23 --sport 3306 --dport 1024:65535 -j ACCEPT $IPTABLES -A INPUT --s 231.25:22 ESTABLISHED tcp 0 0 222.22.65.

que al detectar humo activa una alarma. y advertir rápidamente al administrador del sistema de un ataque. El funcionamiento del IDS es el siguiente. por ejemplo. por ejemplo. a .6) a . recibe informacion de lo que está ocurriendo. simplemente estudian los comportamientos y envian alertas a los operadores. intentos de acceso a ciertos archivos. Su ventaja es que puede monitorear el comportamiento de toda la red. Su principal ventaja sobre los basados en firmas es que no requiere que se actualice y mantenga una base de datos. 8) Un sistema de deteccion de intrusos es un dispositivo o programa que monitorea la actividad para identificar eventos sospechosos. 7) Una VLAN (acrónimo de virtual LAN. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. por ejemplo. de humo. para poder estudiar los ataques mas interesantes. etc. por ejemplo. Su ventaja es que puede monitorear de mejor manera cada uno de los nodos Basados en firmas o en heuristicas Los IDS basados en firmas hacen uso de base de datos en donde tienen informacion de ataques previos. monitorean el sistema operativo y emiten alertas o escriben logs. Los IDS basados en heuristicas buscan comportamientos fuera de lo normal. logins fallidos. el IDS podria informar de la alerta. b – Instalaria un IDS encada host y un IDS para monitorear la red local. suelen tener una interface de red en modo promiscuo para sensar el comportamiento de la red y otra interface separada donde informa de las alertas. Tienen como ventaja que son indetectables para el atacante. el atacante podria hace un ataque dentro de esta red para impedir que la alerta llegue a destino. Los IDS basados en host son aplicaciones que corren en los nodos que quieren ser monitoreados. un ataque ARP Spoofing. durante y después del ataque alhoneypot. su funcionamiento es similar al de un sensor.Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes. La ventaja es que tienen un bajo numero de falsos positivos. además de permitir un examen en profundidad del atacante. 9) Si un IDS genera una alerta es probable de que realmente haya un intruso dentro de la red. red de área local virtual) es un método para crear redes lógicas independientes dentro de una misma red física. tienen como ventaja que protejen al sistema tomando acciones en tiempo real. simulando ser sistemas vulnerables o débiles a los ataques. b – En mi opinion si. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema. por ejemplo. Los IDS pasivos no toman acciones.Se pueden separar en varias categorias: Activos o pasivos Los IDS activos toman acciones ante eventos sospechosos. 10) . bloquear el proceso o cortar la conexión. esta informacion puede ser. si el usuario usa el equipo solamente para navegar por internet y un dia desde ese equipo se intenta una conexión SSH a un equipo en la LAN. la analiza y toma las acciones que crea necesarias. Basados en la red o basados en el host Los IDS basados en la red son un dispositivo fisico que forma parte de la red y estudian el comportamiento de la red. suponiendo que el IDS informa de las alertas por la misma red. intentos de ejecutar cierto binario.

en el paquete 26. El protocolo en si. no provee ningun mecanismo de seguridad o autenticacion. simplemente lo deriva a la capa inferior. 12) a . debera buscar en el cliente el password utilizado para el cifrado. b – El atacante ademas de tener la captura de trafico. Cada forma conlleva el uso de una capa SSL/TLS debajo del protocolo estándar FTP para cifrar los canales de control y/o datos. b – IP:192. de otra manera no es necesario. manejo y transferencias de archivos sobre un canal seguro.11) Kerberos es un protocolo de autenticación de redes que permite a dos equipos en una red insegura demostrar su identidad mutuamente de manera segura. bastara con aplicar el algoritmo de cifrado sin clave. d – El paquete contiene un PreMasterSecret. luego podra descifrarlo de la misma manera que haria el servidor original. por lo tanto el paquete 29 tambien lo envia el cliente. Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza. y utilizado para generar la clave de la sesion.180. c – Si se utilizo una clave para el cifrado simetrico si.5.El problema seria que al utilizarse cifrado simetrico la contraseña deberia estar guardada en algun lugar del cliente.80 Puerto:443 c – Contiene tres registros. 13) a – Fue enviado por el cliente. . existen extensiones del protocolo para poder utilizar criptografía de clave asimétrica.5. 15) FTPS: es un nombre usado para abarcar un número de formas en las cuales el software FTP puede realizar transferencias de ficheros seguras. el servidor de autenticacion y el servidor de tickets. y el paquete Cliente Hello siempre lo envia el cliente. se ve que se envia a la IP de destino 192.168. fue diseñado como una extension de SSH para proveer manejo seguro de archivos. Además. el servidor de autenticacion cuanta con la clave privada de todos los participantes. que es un numero aleatorio cifrado con la clave publica del servidor. 16) SFTP es un protocolo de red que provee acceso. Este tercero en confianza se divide en dos. cuando se envia el Client Hello.168.