Conjuntos de cifrado TLS 1.3

Questions and Answers

¿Cuál de las siguientes suites de TLS proporciona la mejor protección?

TLS_AES_256_GCM_SHA384 (correct)

TLS_CHACHA20_POLY1305_SHA256

TLS_AES_128_GCM_SHA256

TLS_AES_128_CCM_SHA256

La suite TLS_AES_128_CCM_8_SHA256 utiliza etiquetas de 8 bytes para la autenticación de mensajes.

True

¿Qué modo de operación proporciona la suite TLS_AES_256_GCM_SHA384?

Galois/Counter Mode (GCM)

TLS_AES_128_GCM_SHA256 utiliza una clave de ______ bits para el cifrado.

128

Relacione las suites de TLS con sus características principales:

TLS_AES_256_GCM_SHA384 = Cifrado con clave de 256 bits y hashing SHA-384 TLS_AES_128_GCM_SHA256 = Cifrado con clave de 128 bits y hashing SHA-256 TLS_AES_128_CCM_SHA256 = Cifrado con clave de 128 bits en modo Counter con CBC-MAC TLS_CHACHA20_POLY1305_SHA256 = Cifrado por flujo con ChaCha20 y autenticación con Poly1305

¿Cuál de las siguientes suites está mejor adaptada para dispositivos integrados?

TLS_AES_128_CCM_8_SHA256

TLS 1.3 solo recomienda suites basadas en el cifrado AES.

False

¿Qué concepto lleva TLS 1.3 al siguiente nivel en el cifrado autenticado?

Cifrado autenticado con datos adicionales (AEAD)

¿Cuál es el propósito principal del DNS en Internet?

Facilitar la consulta y respuesta de dominios

El tráfico DNS es frecuentemente bloqueado por firewalls o routers.

False

¿Qué significa que los atacantes utilizan DNS para sus propios fines?

Los atacantes manipulan la funcionalidad del DNS para ejecutar ataques o desviar tráfico.

¿Cuál de las siguientes herramientas se puede utilizar para defenderse contra el DNS tunneling?

Soluciones de detección y respuesta de red (NDR)

El __________ es la raíz del sistema de nombres de dominio.

servidor DNS

Asocia los elementos de la consulta DNS con su función:

Consulta = Solicitar información sobre un dominio Respuesta = Proporcionar la dirección IP correspondiente Servidor local = Almacenar temporalmente las consultas Atacante = Manipular el tráfico de DNS

El ataque DNS de amplificación implica consultas pequeñas que resultan en respuestas mucho más grandes.

True

¿Qué declaración es cierta sobre las consultas DNS?

Pueden ser utilizadas para ataques cibernéticos.

¿Qué se utiliza para determinar si nuestros sistemas están realizando consultas a dominios maliciosos?

Herramientas de reputación de dominios

Los servidores DNS no son necesarios para navegar por la web.

False

Un ataque de ________ DNS envía consultas a servidores DNS abiertos mientras falsifica las direcciones IP de origen.

reflexión

¿Qué función tiene el servidor DNS local en el proceso de consulta?

Almacena en caché las respuestas a consultas anteriores para acelerar futuras consultas.

Empareja los siguientes tipos de ataques DNS con sus descripciones:

DNS Tunneling = Uso de pocos dominios para el tráfico de datos encubierto DNS Reflexión = Inundación de un objetivo con respuestas de servidor DNS Amplificación = Consultas pequeñas que producen respuestas masivas DGA = Generación de dominios aleatorios para evadir detección

¿Cuál es el resultado de un ataque de DNS de reflexión exitoso?

Hacer que un sistema objetivo quede fuera de línea

El uso de consultas del tipo ANY en DNS ha sido completamente eliminado.

False

¿Qué protocolo usa elDNS, lo que hace que el engaño de las direcciones de origen sea fácil?

UDP

¿Cuál es el propósito principal de los algoritmos de generación de dominios (DGAs) en el malware?

Generar nombres de dominio aleatorios para comunicarse con el C2

Los ataques de DGA buscan que los dominios generados nunca existan.

False

¿Qué deben hacer los atacantes para evitar que sus dominios sean bloqueados por los defensores?

Importar un algoritmo de generación de dominios que produzca nombres de dominio aleatorios.

Los atacantes se comunican con los sistemas infectados a través de _C2.

comando y control

Relaciona los componentes con su función en el contexto de DGA y malware:

DGA = Generador de nombres de dominio aleatorios C2 = Infraestructura de comando y control IOC = Indicador de compromiso IDS = Sistema de detección de intrusiones

¿Qué sucede cuando un host infectado consulta un dominio generado por un DGA?

Puede que el dominio no exista o sea benigno.

El malware siempre utiliza el mismo nombre de dominio para comunicarse con el C2.

False

¿Cuál es el riesgo para los atacantes si utilizan un nombre de dominio o dirección IP conocida en su malware?

Los defensores pueden encontrarlo y bloquearlo como indicador de compromiso (IOC).

¿Cuál es la función principal de un filtro DNS?

Bloquear dominios maliciosos

El correo electrónico ha perdido completamente su relevancia en las organizaciones modernas.

False

¿Qué protocolo se utiliza para enviar mensajes de correo electrónico desde un cliente al servidor de correo?

SMTP

El filtro DNS funciona de manera similar a un ________, pero se enfoca en el tráfico DNS en lugar del tráfico HTTP.

proxy web

Relaciona el servicio con su descripción:

Filtro DNS = Bloquea dominios maliciosos SMTP = Protocolo para enviar correos electrónicos Cliente de correo = Aplicación para enviar y recibir correos Servidor de correo = Almacena y gestiona los correos electrónicos

¿Qué papel juega SMTP en el envío de correos?

Es un agente de transferencia de mensajes

SMTP solamente se utiliza en comunicaciones entre correos electrónicos en la misma red.

False

¿Cuál es la dirección estándar que se espera ver en un correo electrónico?

[email protected]

Study Notes

Conjuntos de cifrado TLS 1.3

• TLS 1.3 permite el uso de varios conjuntos de cifrado para asegurar la comunicación.
• TLS_AES_256_GCM_SHA384 usa AES con una clave de 256 bits en modo Galois/Counter (GCM) y el algoritmo de hash SHA-384. Ofrece la mayor seguridad pero requiere más recursos informáticos.
• TLS_AES_128_GCM_SHA256 es similar al anterior, pero utiliza una clave de 128 bits y el algoritmo hash SHA-256, lo que lo hace más rápido y menos exigente con los recursos. Ideal para sistemas con soporte de hardware para el cifrado.
• TLS_AES_128_CCM_SHA256 usa AES con una clave de 128 bits en modo Counter con CBC-MAC (CCM), que utiliza etiquetas de 16 bytes para la autenticación de mensajes.
• TLS_AES_128_CCM_8_SHA256 es similar al anterior, pero utiliza etiquetas de 8 bytes, lo que lo hace más adecuado para dispositivos integrados.
• TLS_CHACHA20_POLY1305_SHA256 usa el cifrado de flujo ChaCha20 combinado con el código de autenticación de mensajes Poly1305. Es una buena opción para sistemas de cifrado basados en software.

Ataques comunes a DNS

• El DNS es crucial para el funcionamiento de Internet y es vulnerable a los ataques debido a su naturaleza ampliamente distribuida.
• Los atacantes utilizan algoritmos de generación de nombres de dominio (DGA) para evadir la detección de sistemas de detección de intrusiones (IDS) y prevención de intrusiones (IPS).
• Los DGA generan secuencias predecibles de nombres de dominio que parecen aleatorios, permitiendo a los atacantes comunicarse con sistemas infectados de manera oculta.
• Otra estrategia utilizada es el túnel DNS, que utiliza DNS para comunicarse con comandos y control (C2) a través de solicitudes de resolución de nombres.
• Los ataques de denegación de servicio distribuida (DDoS) contra DNS utilizan un ejército de sistemas comprometidos (bots) para inundar a un servidor DNS con solicitudes de resolución de nombres.
• Los ataques de amplificación DNS explotan la diferencia de tamaño entre las solicitudes y las respuestas DNS para amplificar el impacto de un ataque DDoS.

Filtros DNS

• Los filtros DNS bloquean las solicitudes de resolución de nombres a dominios conocidos como maliciosos o no permitidos.
• Funcionan como una capa adicional de defensa para prevenir ataques a través de DNS.

SMTP

• El protocolo SMTP (Simple Mail Transfer Protocol) es responsable de la transferencia de mensajes de correo electrónico.
• Actúa como un agente de transferencia de mensajes, transportando mensajes desde los clientes de correo electrónico a los servidores de correo y entre servidores de correo.
• El SMTP también proporciona un estándar de direccionamiento de mensajes de correo electrónico, utilizado en la dirección "algo@algúnsitio.com".

Description

Este cuestionario explora los diferentes conjuntos de cifrado utilizados en TLS 1.3. Aprenderás sobre TLS_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256, y los métodos CCM y ChaCha20. Comprender las características y aplicaciones de estos algoritmos es crucial para asegurar la comunicación en red.