Hoja de trucos de Security

Simétrico SSL
Algoritmo Tipo de cifrado El protocolo Secure Sockets Layer consta de dos partes.
DES Bloque En primer lugar, el protocolo SSL Handshake
3DES Bloque establece el canal seguro. A continuación, se utiliza el
AES (Rijndael) Bloque Protocolo de Datos de Aplicación SSL para
Blowfish Bloque intercambiar datos a través del canal. 6 Pasos en el
IDEA Bloque proceso de handshaking.
RC2 Bloque
RC4 Corriente ISAKMP
(Internet Security Association and Key Management
RC5 Bloque
Protocol) utilizado para negociar y proporcionar material
RC6 Bloque
de claves autenticado para asociaciones de seguridad
CAST Bloque
de forma protegida.
MARS Bloque
Autenticación de pares
Serpiente Bloque Gestión de las amenazas
Twofish Bloque Creación y gestión de asociaciones de seguridad
Kerberos Establecimiento y gestión de claves criptográficas
SSL Cifra* ATAQUES
DOS - Denegación de servicio
Asimétrico - No repudio Pitufo - Basado en la respuesta eco ICMP
Algoritmo de cifrado Rivest, Shamir y Aldeman(RSA) Fraggle - Ataque tipo pitufo basado en paquetes UDP
Intercambio de claves Diffie-Hellman Ping Flood - Bloquea el servicio mediante pings
Algoritmo de cifrado El Gamal repetidos SYN Flood - Peticiones SYN repetidas sin
Criptografía de curva elíptica(ECC) ACK Land - Explota las pilas TCP/IP mediante SYN
SSL - Apretón de manos falsos Teardrop - Ataque que utiliza paquetes UDP
PKI superpuestos y fragmentados que no pueden
reensamblarse correctamente Bonk - Ataque al puerto
Kerbros 53 mediante paquetes UDP fragmentados con
servidor de autenticación información de reensamblado falsa
base de datos de seguridad Boink - Ataque similar al Bonk pero en múltiples puertos
servidor de privilegios Puerta trasera
NetBus, orificio trasero
Hash Suplantación de identidad
Algoritmo Hash seguro Proceso de hacer que los datos parezcan proceder de
SHA, SHA-1 otra persona
Algoritmo de resumen de mensajes El hombre del medio
MD2, MD4, MD5 Interceptar el tráfico entre 2 sistemas y utilizar un tercer
sistema haciéndose pasar por uno de los otros.
Fuerza de la clave simétrica frente a asimétrica Ataque de repetición
Fuerza de la clave simétrica de 64 bits = contabilización de los datos capturados
Clave asimétrica de 512 bits Secuestro TCP/IP
112 bits de fuerza de clave simétrica = el estado de la sesión se altera de forma que intercepta
Clave asimétrica de 1792 bits los paquetes legítimos y permite a un tercer host insertar
Fuerza de la clave simétrica de 128 bits = paquetes aceptables.
Clave asimétrica de 2304 bits Ataques matemáticos
(Adivinanzas clave)
Acceso remoto Adivinación de contraseñas, fuerza bruta, ataques de
802.11, VPN, DUN (RADIUS, TACACS, TACACS+, SSL, diccionario que adivinan inicios de sesión y
autenticación a nivel de paquete mediante IPSec Layer3 contraseñas.
Gestión de claves y ciclo de vida de los Código malicioso
certificados Virus - Infectan sistemas y propagan copias de sí
Generación de claves : se crea un par de claves mismos.
públicas en poder de la CA. Caballo de Troya - Disfrazar código malicioso dentro de
Presentación de identidad - La entidad solicitante aplicaciones aparentemente útiles.
presenta su identidad a la CA Bombas lógicas : se activan en función de una
Registro : la AC registra la solicitud y verifica la condición concreta. Gusanos : formas autorreplicantes
identidad del remitente. de otros tipos de código malicioso.
Certificación - La CA crea un certificado firmado por su Control Java y Active X - Se ejecuta automáticamente
propio certificado digital cuando se envía por correo electrónico
Distribución - La CA publica el certificado generado Ingeniería social
Uso - La entidad receptora está autorizada a utilizar el Manipulación de personas: el punto más vulnerable de
certificado únicamente para el uso previsto una red
Revocación y caducidad : el certificado caducará o
podrá revocarse antes si es necesario. Plan de continuidad de las actividades
Renovación - Si es necesario, se puede generar un riesgo y análisis
nuevo par de claves y renovar el certificado. análisis del impacto empresarial
Recuperación : posible si una clave verificable se ve planificación estratégica y mitigación
comprometida pero el titular sigue siendo válido y de formación y sensibilización mantenimiento y auditoría
confianza. Documentación y etiquetado de seguridad
Archivo : se almacenan los certificados y los usuarios

Autenticación
Kerberos - sistema basado en tickets, clave simétrica
KDC
CHAP - intercambio de valores hash
Certificados utilizados con una PKI de clave asimétrica
Nombre de usuario y contraseña : lo más habitual La
autenticación basada en to ken requiere la posesión de
un token Autenticación biométrica

Certificados
X.509 - La clave pública del usuario, el nombre
distinguido de la CA (autoridad de certificación) y el tipo
de algoritmo simétrico utilizado para el cifrado.
 Control de acceso
MAC, DAC y RBAC (regla o función)

Dispositivos básicos de seguridad de red

Cortafuegos
Filtrado de paquetes (Capa 3)
Servicio proxy
Nivel de circuito (Capa 3)
Nivel de aplicación (Capa 7)
Inspección de estado (Capa 7)
Enrutadores
Reenvío de paquetes entre subredes
RIP, IGRP, EIGRP, OSPF, BGP, EGP, IS-IS
Interruptores
Segmentar las redes de difusión
Modelo de control de acceso de Bell La-

Puertos
Puerto Utilice
21 FTP - normalmente en DMZ
22 SSH Direcciones IP
23 Telnet Clase A Clase B Clase C
25 SMTP 1-127 128-191 192-223
49 TACACS 10.0.0.0 172.16.0.0 – 172.31.0.0 192.168.0.0
53 DNS 255.0.0.0 255.255.0.0 255.255.255.0
67 & 68 DHCP 65,000
80 HTTP
110 POP3
143 IMAP4
161 SNMP
389 & 636 LDAP
443 HTTPS / SSL
UDP 1701 L2TP
TCP 1723 PPTP

Padula
SOAS
temas
objetos
modos de acceso
niveles de seguridad

Algoritmo Diffie-Hellman
un intercambio secreto de claves a través de un
medio inseguro sin secretos previos.

Respuestas activas de
detección de intrusos
■ recopilar información adicional
■ cambiar el entorno
■ actuar contra el intruso
Basado en consola y sensor
SQL
acciones
objetos
usuarios
Virus
mecanismo de replicación mecanismo de activación
objetivo

Inalámbrico
Modelo WAP - basado en el modelo www - Cliente,
Pasarela y Servidor Original
WEP - Privacidad equivalente por cable
■ Integridad - Garantizar al destinatario que un mensaje no ha sido alterado en
tránsito.
garantiza que todos los datos estén secuenciados y numerados.
■ PPTP sólo funciona sobre IP.
■ El esquema de cifrado asimétrico depende de que tanto el emisor como el
receptor utilicen
diferentes claves para cifrar y descifrar mensajes. El cifrado y la autenticación
pueden realizarse sin compartir claves privadas. cifrar claves simétricas
■ Se considera que la integridad de un sistema criptográfico está comprometida si la
información privada
se revela la clave.
■ WTLS (Wireless Transport Layer Security) proporciona privacidad, integridad de
datos y
autenticación para dispositivos de asas en un entorno de red inalámbrica.
■ El cifrado de archivos mediante criptografía simétrica satisface la autenticación
■ La principal DESVENTAJA de la criptografía simétrica es la distribución de
claves.
■ Inundación SYN - Ataque de red que utiliza indebidamente el protocolo de control
de transmisión (TCP).
handshake de tres vías para sobrecargar los servidores y denegar el acceso a
usuarios legítimos.
■ Cuando un usuario firma digitalmente un documento, se utiliza un algoritmo
asimétrico para cifrarlo.
resultados hash
■ Mínimo privilegio : necesidad de conocer la base de seguridad.
■ La aplicación de filtros de entrada a los routers es el mejor método para evitar la
suplantación de identidad ip
ataques.
■ MD5 (Message Digest 5) - Algoritmo común utilizado para verificar la integridad de
los datos.
de un usuario remoto mediante la creación de un hash de 128 bits a partir de una
entrada de datos
■ Los gusanos se replican solos, los troyanos no.
■ Los códigos de autenticación de mensajes se utilizan para proporcionar
integridad.
■ Falso positivo - Detección incorrecta de un acceso autorizado como intrusión o
ataque.
■ Cita ICMP - ¿Qué técnica de huella digital se basa en el hecho de que el
funcionamiento
los sistemas difieren en la cantidad de información que se cita cuando se
encuentran errores ICMP (Internet Control Message Protocol)
■ SSL : protocolo utilizado normalmente para cifrar el tráfico entre un navegador web y
la web.
servidor. Disponible con cifrado de 40 y 128 bits.
■ IPSec - un popular protocolo VPN (Red Privada Virtual) que opera en OSI (Open
Systems Interconnect) modelo Capa 3.
■ Las firmas digitales proporcionan autenticación y no repudio, pero no
confidencialidad.
■ DAC (Control de Acceso Discrecional) se basa únicamente en la identidad del
usuario o
proceso. Cada objeto tiene un propietario, que tiene pleno control sobre el objeto
Controles de acceso creados y administrados por el propietario de los datos
■ MAC - Controles de acceso basados en etiquetas de seguridad asociadas a cada
elemento de datos y
Cada usuario. Utilizar niveles de seguridad para clasificar a los usuarios y los datos.
■ DEN no es inferior a SNMP
■ Kerberos - Servicios de sincronización horaria para clientes y servidores..
■ Una cabecera MIME (Multipurpose Internet Mail Extensions) malformada puede
provocar un
servidor de correo electrónico se bloquee.
■ Detección pasiva : análisis de los archivos de registro una vez iniciado el ataque.
■ la mejor defensa contra los ataques de intermediarios es un cifrado fuerte, la
autenticación y la seguridad.
■ Los sistemas identificados en un proceso formal de análisis de riesgos deben
incluirse en una catástrofe
recuperar el plan.
■ Política de certificados - Un documento PKI (Infraestructura de Clave Pública) que
sirve como el
vehículo en el que basar las normas comunes de interoperabilidad y los criterios
comunes de garantía en todo el sector.
■ Desbordamiento del búfer : envía más tráfico de lo previsto a un nodo.
■ Los métodos de copia de seguridad diferencial sólo copian los archivos modificados
desde la última copia de seguridad completa
■ La mensajería instantánea es una red entre iguales que no ofrece a la mayoría de
las organizaciones prácticamente ningún control sobre
eso. Más vulnerables al olfateo
■ Entorno descentralizado de gestión de privilegios, cuentas de usuario y
contraseñas
se almacenan en cada servidor individual .
■ Un ataque de rebote FTP se utiliza generalmente para establecer una conexión
entre el FTP
servidor y otro ordenador
■ IDS basado en red : un sistema para una red interna que examinará todos los
paquetes.
para firmas de ataque conocidas.
■ Ataque Ping of Death Método de ataque de red que utiliza ICMP (Internet Control
Message Protocol) y MTU (Maximum Transmission Unit) mal formateadas para
bloquear un ordenador de destino.
■ Mediante SSO, el problema de autenticación de múltiples nombres de usuario
y contraseñas se
dirigida, navegar por varios directorios
■ PKI (Infraestructura de Clave Pública): la mejor solución técnica para reducir la
amenaza de
ataque de un hombre en el medio
■ Los controles de seguridad pueden convertirse en vulnerabilidades de un sistema a
menos que sean
probado adecuadamente.
■ El algoritmo de cifrado estándar basado en Rijndael se conoce como AES.
■ Detección de usos indebidos : la dirección quiere hacer un seguimiento del
personal que visita sitios no autorizados.
sitios web.
■ Alojamiento incluido en un SLA (Service Level Agreement) para garantizar la
disponibilidad de
recursos basados en el servidor en lugar de niveles garantizados de rendimiento del
servidor
■ SSL utiliza una clave asimétrica y opera en la capa de sesión
■ RAID admite alta disponibilidad
■ Criterios comunes - La evaluación de seguridad de las TI (tecnologías de la
información) de facto
criterios para la comunidad internacional
■ Técnico de la escena del crimen - Etiquetar, embolsar e inventariar las pruebas
■ Extranet: permite a una empresa realizar transacciones seguras con otras
empresas.
■ Es necesariocontrolar el acceso a los sistemas de información y a las redes
asociadas
para preservar su Confidencialidad, integridad y disponibilidad (su CIA)
■ par de claves doble - Uso de pares de claves distintos para separar los servicios de
confidencialidad de
servicios de integridad para apoyar el no repudio
■ La Expectativa de Pérdida Única ( SLE ) es el coste de una pérdida única cuando
se produce.
Recopilar estimaciones sobre cuánto dinero podría perder la empresa si se
produjera un riesgo una vez en el futuro.
■ El no repudio se utiliza generalmente para evitar que el emisor o el receptor
negar que se haya producido la comunicación entre ellos
■ Confidencialidad - Protección de los datos contra el acceso o la divulgación no
autorizados.
■ Firewall para permitir a los empleados de la empresa DL FTP - establecer el puerto
de salida 23
permitido
■ Ataque SYN - exploits en el temblor de la mano
■ Registro de auditoría: recopilación de información que incluye el inicio de sesión, el
acceso a archivos y otros datos diversos.
actividades y violaciones reales o intentos de violaciones legítimas y no autorizadas
■ VLAN - originalmente diseñada para disminuir el tráfico de difusión, pero también es
beneficiosa en
reducir la probabilidad de que la información se vea comprometida por sniffers
■ Los sistemas IDS de detección activa pueden interrumpir las conexiones
sospechosas o cerrarlas.
el servidor o servicio
■ CRL y OCSP : dos métodos habituales cuando se utiliza una infraestructura de clave
pública para
mantener el acceso a los servidores de una red
■ IPSec Proporciona el encabezado de autenticación (AH) para la integridad de los
datos y la encapsulación
Security Payload (ESP) para la confidencialidad de los datos.
■ TCP SYN scan - se utiliza para ver qué puertos están en estado de escucha y luego
realiza un
apretón de manos bidireccional
■ NAT (traducción de direcciones de red) puede realizarse con NAT estático y oculto
.
(Traducción de direcciones de red) y PAT (Traducción de direcciones de puerto)
■ Cuidado debido - Políticas y procedimientos destinados a reducir la probabilidad de
daños o
lesión
■ Análisis del impacto empresarial : obtener un acuerdo formal sobre el máximo
tolerable.
tiempo de inactividad
■ Documentar los niveles de cambio y la información de revisión es muy útil para
Desastres
recuperación
■ gusano es capaz de distribuirse sin utilizar un archivo host
■ Los servidores individuales suelen ser objeto de ataques porque contienen
credenciales para muchos sistemas y usuarios
■ La autenticación multifactor puede ser necesaria cuando una clave almacenada y
memorizada
contraseña no son lo suficientemente fuertes y se necesitan capas adicionales de
seguridad.
■ Inconveniente de la VPN: un cortafuegos NO PUEDE inspeccionar el tráfico cifrado
■ trampa para el hombre - el control de acceso físico protege más adecuadamente
contra la
a cuestas
■ Los directorios LDAP se organizan como Árboles
■ La integridad de los datos es lo mejor mediante un resumen de mensajes
■ longitud mínima de un contraseña be para disuadir diccionario contraseña grietas 8
■ Certificados CRL que han sido desactivados antes de su vencimiento previsto.
■ registro - para llevar un registro del uso del sistema
■ Los controles de seguridad pueden convertirse en vulnerabilidades de un sistema
a menos que sean
probado adecuadamente
■ RBAC Las decisiones de control de acceso se basan en las responsabilidades que
un usuario individual
o proceso tiene en una organización
■ El inicio del directorio LDAP se denomina raíz
■ Cifrado HAS - 128 bits.
■ SSLv3.0 (Secure Sockets Layer versión 3.0) ha añadido la posibilidad de forzar que
el lado del cliente
autenticación mediante certificados digitales
■ virus - mecanismo de replicación, mecanismo de activación y objetivo
■ Las contraseñas cifradas se prestan a ataques de intermediario
■ *El protocoloSSL (Secure Sockets Layer) utiliza métodos asimétricos y simétricos.
intercambio de claves. Utilizar claves asimétricas para el handshake SSL. Durante el
apretón de manos, la clave maestra, cifrada con la pública del receptor, pasa del
cliente al servidor. El cliente y el servidor crean sus propias claves de sesión
utilizando la clave maestra. Las claves de sesión cifran y descifran los datos durante
el resto de la sesión. El intercambio de claves simétricas se produce durante el
intercambio de la especificación de cifrado, o nivel de cifrado.
■ Solución técnica PKI para reducir la amenaza de un ataque de intermediario
■ Consulta CRL (Certificate Revocation List) que recibe una respuesta casi en tiempo
real
no garantiza que se devuelvan datos recientes.
■ cortafuegos multi-homed Si el cortafuegos se ve comprometido, sólo los sistemas
de la DMZ
(El objetivo principal de los certificados digitales es vincular una clave pública a la
entidad que posee la clave privada correspondiente.
■ Uno de los factores que influyen en la vida útil de un certificado de clave pública y su
claves asociadas es la Longitud del hash asimétrico.
■ Para que un usuario obtenga un certificado de una CA (autoridad de certificación) de
confianza, el
el usuario debe presentar una prueba de identidad y una clave pública
■ ¿Cuál es la principal DESVENTAJA de un relé de terceros Los spammers pueden
utilizar el
relé.
■ Cuanto mayor sea el espacio de claves y la complejidad de una contraseña, más
largo puede ser un ataque
para descifrar la contraseña por fuerza bruta
■ El modelo de programación WAP (Wireless Application Protocol) se basa en el
protocolo
tres elementos siguientes Cliente, pasarela, servidor original
■ ¿Cuál es una buena práctica en el despliegue de un Ca (Autoridad de Certificación
crear un CPS
(Declaración de Prácticas de Certificación).
■ ¿Cuál es el protocolo de capa de transporte por defecto y el número de puerto que
SSL (Secure
Sockets Layer) utiliza el protocolo de capa de transporte TCP (Transmission Control
Protocol) y el puerto 443
■ ¿Qué tiene encriptación de 160 bits? SHA-1
■ ¿Cuál de los siguientes se incluye normalmente en una CRL certificados que han
sido
desactivados antes de su vencimiento previsto
■ Los ataques DDoS (Denegación de Servicio Distribuida) se suelen llevar a cabo
mediante múltiples ataques.
servidores o routers que monopolizan y sobrecargan el ancho de banda de un
servidor o router concreto.
■ IMAP4 requiere puerto___estar abierto 143
■ Durante el proceso de firma digital, el hashing proporciona un medio para verificar lo
que
requisito de seguridad integridad de los datos
■ ¿Qué requisito de seguridad satisface el cifrado de archivos mediante criptografía
simétrica?
Autenticación
■ Qué protocolo de autenticación podría emplearse para cifrar contraseñas CHAP
(Protocolo de autenticación Challenge Handshake)
■ Cuando el Usuario A solicita a la CA (Autoridad de Certificación) un certificado para
permitir el inicio de la comunicación con el Usuario B, el Usuario A debe
proporcionar a la CA (Autoridad de Certificación) únicamente la clave pública del
Usuario A
■ Zona Desmilitarizada) están expuestos
■ Un algoritmo común utilizado para verificar la integridad de los datos de un usuario
remoto a través de un
la creación de un hash de 128 bits a partir de una entrada de datos es MD5
(Message Digest 5)