Internet ,IP,riscos

Questions and Answers

¿Cuál es la función principal de los primeros 64 bits en una dirección IPv6?

Establecer la autenticación del tráfico

Identificar el prefijo de red (correct)

Identificar la interfaz de red del sistema

Definir el tipo de transporte de datos

¿Qué garantiza la implementación de un certificado SSL?

Que todos los datos transmitidos son totalmente accesibles

La comunicación se podrá leer sin restricciones

La autenticación y el cifrado de la información personal (correct)

La conexión a Internet es siempre segura

¿Cuál es la principal diferencia entre HTTP y HTTPS?

HTTPS utiliza certificados SSL para autenticar las solicitudes (correct)

HTTP cifra los datos mientras que HTTPS no lo hace

HTTPS no permite la transmisión de datos confidenciales

HTTP asegura la comunicación entre el navegador y el servidor

¿Qué entidad es responsable de verificar la identidad antes de emitir un certificado SSL?

La Autoridad de Certificación (CA)

¿Qué tipo de certificado SSL se considera el más básico en términos de autenticación?

Certificado con validación de dominio

¿Qué protocolo es la base del certificado HTTPS?

SSL

¿Cuál es la longitud del identificador MAC utilizado para generar los 64 bits del identificador de interfaz en IPv6?

48 bits

¿Qué característica distingue a un certificado SSL de uno común?

Prueba de identidad para una página web

¿Cuál es la función principal del 'resolver' en el proceso de resolución de nombres de dominio?

Enviar peticiones a otros servidores de nombres cuando no hay respuesta local.

¿Qué tipo de software es el más común en los servidores DNS?

BIND

¿Qué se entiende por un 'servidor autorizado' en el contexto de DNS?

Un servidor que no necesita consultar a otros para responder.

¿Cuál es la diferencia clave entre una dirección IP y una dirección MAC?

La dirección MAC identifica un dispositivo en la red, mientras que la dirección IP se utiliza para la comunicación dentro de la red.

¿Qué protocolo se utiliza para la comunicación que permite que todos los dispositivos en la red tengan una dirección única?

TCP/IP

¿Cuál de las siguientes afirmaciones sobre la asignación de direcciones IP es correcta?

La asignación dinámica permite que la IP sea configurada automáticamente por un servidor.

¿Qué sucede si el servidor DNS más cercano no tiene la respuesta a una petición?

Consultará el servidor DNS más cercano a él.

¿Qué representan los primeros 24 bits de una dirección MAC?

La identificación del fabricante.

¿Qué opción describe correctamente el proceso de firma de un certificado digital por una CA?

Ha sido realizada por una CA después de recibir el CSR mediante la clave privada de la CA

¿Cuál de los siguientes protocolos está asociado especialmente con el enrutamiento Anycast?

BGP, que es un protocolo de enrutamiento externo entre sistemas autónomos

¿Qué describe mejor la función de un certificado de CA?

Un certificado que se instala en el navegador del cliente con la clave pública de la CA

Dentro de la arquitectura de red IMI, ¿cuál es una característica principal de la red MPLS?

Es una técnica de enrutamiento que utiliza etiquetas para el transporte de datos

En el contexto de las redes de telecomunicaciones, ¿qué representa la Oficina de Gestión de Servicios Transversales de Telecomunicaciones (OSAT)?

Una entidad encargada de supervisar la calidad de los servicios de telecomunicaciones

¿Cuál es la principal diferencia entre una conexión de tránsito y una conexión de peering?

En la conexión de peering, cada operador publica solo sus propias rutas.

¿Cuál es la principal diferencia entre una dirección IP pública y una privada?

Las IP privadas requieren un dispositivo que proporcione una IP pública para acceder a Internet.

¿Qué caracteriza a las redes Tier 1 en el contexto de conexiones de tránsito?

Son las únicas que no utilizan conexiones de tránsito.

¿Cómo se representan las direcciones IP en IPv4?

Como cuatro octetos en notación decimal, cada uno entre 0 y 255.

¿Cuál de las siguientes opciones describe correctamente la función de un servidor DHCP?

Asigna direcciones IP dinámicas a dispositivos en una red.

¿Cuál es el propósito de un Internet eXchange Point (IXP)?

Facilitar el intercambio de tráfico de Internet entre diferentes ISPs.

¿Qué identifica la parte del prefijo de una dirección IP jerárquica?

La red a la que pertenece el dispositivo.

¿Cuál es la función principal de un RIR como RIPE NCC?

Asignar y registrar direcciones IP y números de sistemas autónomos.

¿Cuál es el rango máximo de valor que puede tener un octeto en una dirección IP?

255

¿Qué tipo de conexión de peering se establece directamente entre dos proveedores?

Privado, sin intermediarios.

¿Cómo suelen compartir sus rutas los operadores en una conexión de peering?

Publicando solo sus rutas al otro operador involucrado.

¿Qué función cumple un servidor NAT en una red?

Gestiona la traducción de direcciones privadas a públicas.

¿Cuántas interfaces puede tener un sistema final en una red?

Puede tener múltiples interfaces diferentes.

¿Qué objetivo persigue ESPANIX dentro del ámbito de peering?

Ofrecer un punto neutro de interconexión para el intercambio de tráfico.

En una conexión de tránsito, ¿qué es lo que el proveedor le ofrece al cliente?

Acceso a sus rutas y otras hacia redes externas.

¿Qué se entiende por 'direcciones IP dinámicas' en el contexto de ISP?

Son direcciones asignadas de manera automática que pueden cambiar con el tiempo.

Quin organisme és responsable de l'assignació d'adreces IP a Catalunya?

RIPE NCC (Réseaux IP Européens Network Coordination Centre)

Què implica un acord de 'peering' entre dues organitzacions?

Un intercanvi de tràfic sense cost entre ISPs.

Quina acció permet a un Local Internet Registry (LIR) encaminat a altres Sistema Autònom (AS)?

Solicitar la creació d'una connexió directa a través de punts neutres.

Què es necessita per establir una interconnexió amb un IXP?

Una línia d'alta velocitat i un backup alternatiu.

Quina és la funció principal d'un Sistema Autònom (AS) en la xarxa d'internet?

Facilitar l'intercanvi de dades entre ISPs.

Quina és la longitud en bits d'una màscara de subred?

32 bits

Quina afirmació sobre les adreces IPv4 de classe A és correcta?

El primer octet del prefix de xarxa és 10.

Quina és la principal raó per la qual es va desenvolupar IPv6?

Augmentar l'espai d'adres disponible.

Quina característica de IPv6 no és intrínseca?

Requirement d'actualització manual de DHCP.

Com es divideixen els 128 bits d'una adreça IPv6?

En 8 grups de 16 bits.

Quina és la diferència principal entre les adreces de xarxa privada de classe B i classe C?

Classe B: 172.16.0.0 a 172.31.255.255; Classe C: 192.168.0.0 a 192.168.240.255.

Quin dels següents és un avantatge de l'IPv6 en comparació amb l'IPv4?

Característiques de seguretat nétes IPsec.

Quina funció cumple la màscara de subred quan s'associa amb una adreça IP?

Delimita la part de prefix de xarxa i l'identificador de dispositiu.

Quina és la funció principal del protocol DNS en el procés de resolució d'adreces?

Convertir noms de domini en adreces IP.

Quina afirmació és correcte sobre la caché dels navegadors en el procés DNS?

Emmagatzema respostes DNS per accelerar futures consultes.

Quina és la diferència principal entre una adreça IP estàtica i una dinàmica?

Les estàtiques són assignades manualment, mentre que les dinàmiques son automàtiques.

Quin és el paper del 'resolver' en la infraestructura DNS?

Realitzar consultes a altres servidors de noms quan no té la resposta.

Quin és l'objectiu del protocol IP en relació a les adreces IP?

Evitar la duplicació d'adreces IP en una única xarxa.

Quin és un exemple de domini de primer nivell genèric?

.org

Quina seria la conseqüència si un servidor DNS autoritzat no pot respondre a una petició?

La petició es trasllada a un servidor DNS superior en la jerarquia.

Quina afirmació sobre els dominis de segon nivell és correcta?

Inclouen codi de país a la seva estructura.

Quins són els components principals del programari DNS?

Servidor de noms i resolver.

Quines són les característiques d'una adreça MAC segons el seu funcionament?

Són úniques per a cada dispositiu independents de la xarxa.

Quina funció principal exerceixen els servidors DNS?

Gestionen les sol·licituds d'informació associades a noms de domini.

Quina és la representació correcta d'una adreça IPv4?

200.200.200.200

Quina és la diferència principal entre un domini de tercer nivell i un de segon nivell?

El domini de tercer nivell es fa servir per especificar màquines determinades.

Quin dels següents dominis es considera territorial?

.fr

Quina de les següents afirmacions sobre les adreces IP és incorrecta?

Les adreces IP es poden compartir entre diversos dominis.

Quin és l'objectiu principal del sistema DNS?

Associar noms de domini amb adreces IP.

Quina és la principal característica de les adreces IP públiques?

Són assignades de forma única per organismes.

Quina afirmació descriu millor la funció d'un servidor DHCP?

Assigna automàticament adreces IP en xarxes locals.

Quina és la diferència principal entre una adreça IP pública i una privada?

Les adreces públiques poden accedir a Internet directament.

Quin component d'una adreça IP identifica l'host dins d'una xarxa?

La porció que identifica el dispositiu.

Com es representen les adreces IP en IPv4?

Com dividir en quatre octets de notació decimal.

Quines característiques tenen les adreces IP jeràrquiques?

Inclouen un component per identificar la xarxa i un per identificar l'usuari.

Quin dispositiu permet que un dispositiu amb adreça IP privada accedeixi a Internet?

Un servidor NAT.

Quants bits té una adreça IP en IPv4?

32 bits.

¿Cuál es el rango de direcciones IP de la Clase A?

1.x.x.x a 126.x.x.x

¿Cuál de las siguientes afirmaciones es cierta sobre las direcciones de Clase B?

El rango es de 128.0.x.x a 191.255.x.x

¿Qué indica el primer bit del primer octeto de una dirección IP de Clase A?

Siempre es 0

¿Qué tipo de dirección IP pertenece a la Clase D?

Se utiliza para multicast

¿Cuál es la principal característica de las direcciones IP de Clase C?

Se utilizan para redes con menos de 254 hosts

¿Cuántas direcciones de host tiene una dirección de Clase B?

65534

¿Qué función cumple el primer IP en una red para direcciones IP?

Es el número de red IP

¿Cuál es la diferencia principal entre las direcciones de Clase C y Clase B?

La Clase B admite más hosts que la Clase C

¿Qué método utilizan los enrutadores de ICMPv6 para anunciar su presencia en la red?

Router Advertisement

¿Cuál es la principal diferencia entre las direcciones IPv6 y las IPv4 en términos de difusión?

IPv6 no tiene direcciones de difusión, solo multidifusión.

¿Qué tecnología se utiliza en DNS para asociar direcciones IPv6 a nombres de host?

Registros AAAA

¿Qué especifica el proceso de configuración automática de direcciones en IPv6?

No requiere ninguna intervención manual ni DHCP.

¿Qué tipo de registros se utilizan en el dominio IP6.INT para asignar direcciones IPv6 a nombres de host?

Registros PTR

¿Cuál es la longitud de las direcciones de origen y de destino en IPv4?

32 bits

¿Qué característica del encabezado de IPv6 lo diferencia de IPv4 en cuanto a la inclusión de una suma de comprobación?

El encabezado no incluye una suma de comprobación.

¿Cuál es la principal diferencia en la forma de manejar la fragmentación entre IPv4 e IPv6?

La fragmentación es solo posible en el host de envío en IPv6.

¿Qué papel tiene el Protocolo de administración de grupos de Internet (IGMP) en IPv4 en comparación con su contraparte en IPv6?

IGMP se reemplaza por MLD en IPv6.

¿Cómo se resuelve una dirección de IPv4 en una dirección de nivel de vínculo?

Por medio de solicitudes de ARP de difusión.

¿Qué función adicional proporciona el campo Flow Label en el encabezado de IPv6?

Identificación de la carga para el control de QoS.

¿Cómo se diferencia la longitud de las direcciones en IPv4 y IPv6?

IPv4 tiene direcciones de 32 bits, mientras que IPv6 tiene 128 bits.

¿Qué método de asignación de direcciones se puede utilizar en IPv4?

Exclusivamente mediante DHCP o configuración manual.

Quin tipus de virus s'activa només quan es compleix una condició específica?

Virus residents

Quins virus afecten directament a arxius sense ocupar memòria permanent?

Virus d'acció directa

Quina afirmació sobre el spyware és correcta?

Transmet informació recopilada a una entitat externa.

Quina és la principal funció d'un keylogger?

Registrar les pulsacions del teclat.

Quin tipus de virus modifica el contingut dels arxius sense canviar la seva mida?

Virus de sobreescriptura

Quin virus infecta el sector d'arrencada dels dispositius d'emmagatzematge?

Virus d'arrencada

Quin dels següents tipus de malware s'encarrega de robar informació privada guardada a l'equip?

Stealers

Quina tècnica de desbordament de pila pot provocar una injecció de codi maliciós?

Buffer Overflow

Quin tipus de virus fa difícil la seva detecció perquè s'encripten diversament cada vegada?

Virus polimòrfics

Quina de les següents opcions descriu millor el phishing?

Un atac que utilitza comunicacions electròniques per robar informació sensible.

Quins virus esperen la seva activació a la memòria fins que un programa és executat?

Virus de companyia

Quin tipus de virus altera les direccions dels fitxers, fent que sigui impossible localitzar els originals?

Virus de directori

Quin tipus de malware manté un sistema operatiu o dades captives fins al pagament?

Ransomware

Quins virus infecten fitxers creats per aplicacions que utilitzen macros?

Virus de macro

Quin dels següents termes es relaciona més directament amb l'atacant recopilant informació sobre un objectiu?

Reconeixement

Quina de les següents tècniques s'utilitza per identificar serveis executats en un host?

Port Scans

Quin percentatge d'infecció defineix una propagació mitjana?

Superior al 1% i inferior al 7,5%

Quines són les característiques d'un antivirus que fa anàlisis heurístiques?

Cerca comportaments anòmals.

Quina funció té un sistema de prevenció d'intrusions basat en el host (HIPS)?

Detectar i evitar atacs al host.

Quin tipus de malwares pot reconèixer un antivirus basat en firma?

Malware amb firma coneguda.

Quina és la característica principal dels antivirus preventors?

Eviten la infecció abans que es produeixi.

Quina tècnica utilitza un IDS per detectar activitat sospitosa?

Comparar tràfic amb signatures.

Quins danys causats per un virus es classifiquen com a 'molt alt'?

Destrucció o formatació de discos durs.

Quina és la funció principal dels sistemes de detecció d'intrusions (IDS)?

Detectar i registrar activitats intrusives.

Quina és la principal característica dels sistemes IPS basats en anomalies?

Comparen tràfic en temps real amb un tràfic considerat normal.

Quina funció específica tenen els Honey Pots en la seguretat de la xarxa?

Desviar l'atenció dels atacants dels sistemes reals.

Quin dels següents mètodes es considera una tècnica de detecció avançada utilitzada pels EDR?

Regles de YARA per identificar malware.

Quina afirmació és correcta sobre els Firewalls personals comparats amb els firewalls tradicionals?

Apliquen polítiques de seguretat específiques per a un únic host.

Quina tècnica utilitza el Sandboxing per detectar el comportament maliciós?

Emular un entorn segur per executar i analitzar fitxers.

Quins atacs comuns protegeix un Web Application Firewall (WAF)?

XSS, CSRF i injecció SQL.

Quina és una de les funcionalitats principals dels sistemes de detecció d'intrusions basats en polítiques?

Comparar el tràfic amb polítiques preconfigurades.

Quina pot ser una desavantatge dels sistemes de detecció d'intrusió basats en firmes?

Pot produir falsos positius.

Quina és la principal finalitat d'un entorn simulat (Padded Cell) quan un IDS detecta un atacant?

Monitoritzar les activitats de l'atacant sense risc.

Quina de les següents accions no forma part dels sistemes de protecció basats en processos?

Generar còpies de seguretat automàtiques.

Quin és l'objectiu principal d'un Centre d'Operacions de Ciberseguretat (SOC)?

Augmentar la vigilància i detecció d'amenaces.

Quina fórmula és adequada per a la quantificació del risc segons l'Avaluació d'Impacte Relativa a la Protecció de Dades?

Risc = Producte P*I [Probabilitat * Impacte].

Quina és una de les dificultats en la implantació de HoneyPots i Padded Cells?

Requereixen un alt coneixement i esforç.

Quina política és crucial per a la seguretat de la informació en un sistema d'accés?

Política de mínim privilegi en l'accés.

Quina de les següents afirmacions és correcta sobre els IDS i el seu funcionament?

Els IDS poden redirigir atacants a un entorn simulat per protegir el sistema.

Quina de les següents opcions descriu millor la funció de la gestió d'identitats en la seguretat informàtica?

Garantir que només les persones autoritzades accedeixen a informació crítica.

Quin tipus de virus s'executa a la memòria de manera permanent i es manté ocult fins que es compleix una condició específica?

Virus residents

Quin tipus de virus modifica el contingut d'un arxiu sense canviar-ne la mida?

Virus de sobreescriptura

Quin tipus de virus utilitza tècniques d'encriptació per evitar detecció?

Virus encriptats

Quin tipus de virus afecta els fitxers creats mitjançant aplicacions amb macros?

Virus de macro

Quin tipus de virus actua alterant les rutes d'accés als fitxers originals?

Virus de directori

Quin tipus de virus és conegut per generar còpies d'ells mateixos i encriptar-se de manera diferent en cadascuna?

Virus polimòrfics

Quina característica defineix els virus d'acció directa?

S'executen quan s'obre un fitxer infectat

Quin virus pot esperar en memòria fins que s'executi un programa o actuar immediatament?

Virus de companyia

Quina de les següents tècniques són exemples d'enginyeria social?

Pharming

Quina és la funció principal dels keyloggers?

Registrar les pulsacions en el teclat per accedir a informació privada.

Quina afirmació sobre les Botnets és correcta?

Es poden utilitzar per realitzar atacs de Denegació de Servei Distribuïts.

Quin tipus d'atac aprofita el tancament incorrecte de sessions web?

Cross-site request forgery (XSRF)

Com funciona el ransomware?

Encripta les dades de la víctima i demana un pagament per alliberar-les.

Quina tècnica de suplantació d’identitat es basa en SMS?

Smishing

Quin és el principal objectiu d'un atac de phishing?

Robar informació sensible a través de la suplantació d'identitat.

Quina de les següents opcions descriu millor un atac volumètric?

Enviament massiu de dades que saturen la xarxa.

Quines tècniques s'utilitzen durant la fase de reconeixement d'un atac?

Ping sweeps, escannejament de ports i escannejament de vulnerabilitats.

Quin tipus d'atac pot permetre que un atacant accedeixi a les cookies d'un usuari?

Cross-site scripting (XSS)

Quina és una característica del spyware?

Recopila informació i la transmet a una entitat externa.

Quina és la principal diferència entre el spyware i l’adware?

L’adware genera ingressos mitjançant publicitat, el spyware no.

Quina opció representa un atac DDoS?

Un atac que prové de múltiples ordinadors coordinats.

Quina és la característica principal d'un atac de suplantació d'adreça IP?

Simula un sistema d'origen diferent per confondre el receptor.

Quina és la conseqüència d'un buffer overflow?

Provoca la corrupció de dades i possibilita la injecció de codi maliciós.

Quin tipus de malware es descriu com 'stealers'?

Malware que roba informació privada emmagatzemada a l'equip.

Quin dels següents atacs implica que un atacant intercepti les comunicacions entre dues parts per robar informació?

Atac Man-in-the-Middle

Quin és l'objectiu principal d'un atac de dia zero?

Explotar vulnerabilitats desconegudes

Com es pot definir el risc en ciberseguretat?

La probabilitat de dany causada per un atac

Quina és una característica de la perillositat molt alta?

Amenaça important i amb danys irreversibles

Quin és el primer pas en la gestió del risc segons el NIST?

Identificar els agents d'amenaça

Quina descripció s'ajusta millor a la perillositat mitjana?

Virus poc estès amb danys greus

En quina situació la ràtio d'infecció indica que s'ha produït una epidèmia?

10% o superior d'infecció

Quina afirmació sobre la vulnerabilitat és correcta?

És una debilitat que pot ser explotada per agents d'amenaça

Quina funció realitza un IPS basat en anàlisis d'anomalies?

Comparar el tràfic en temps real amb el tràfic considerat normal.

Quina és la principal característica d'un Web Application Firewall (WAF)?

Supervisa, filtra o bloqueja tràfic HTTP d'aplicacions web.

Quin paper juguen les regles de YARA en l'EDR?

Identifiquen i classifiquen malware a través de patrons de text.

Quina és la principal diferència entre Honey Pots i Padded Cells?

Honey Pots atreuen atacants, mentre que Padded Cells treballen amb IDS.

Quina funció té el Sandbox en la detecció de malware?

Emula un entorn per executar fitxers de manera segura.

Quina és la finalitat de les polítiques en un IPS basat en polítiques?

Comparar el tràfic amb un conjunt de normes predefinides.

Quina de les següents tecnologies no és un component de l'EDR?

Firewalls de host

Què implica que un IPS pugui produir falsos positius?

Identifica erròniament tràfic benign com a maliciós.

Study Notes

Interconexión de Redes

• Las redes de diferentes operadores pueden conectarse de dos maneras: conexiones de tránsito y conexiones de peering.
• Las conexiones de tránsito se usan entre operadores de diferente jerarquía, donde el operador de mayor jerarquía vende una conexión de tránsito al operador de menor jerarquía.
• El proveedor de tránsito le da acceso al cliente a todas sus rutas, lo que permite al cliente recibir rutas de la red del proveedor y rutas con destino a otras redes.
• Las conexiones de peering se usan para el intercambio de tráfico sin coste entre dos operadores.
• En el peering, cada operador publica solo sus rutas y no otras rutas que pueda tener con otros proveedores u otras rutas de peering.

Tipos de peering

• El peering puede ser privado, una conexión directa entre dos proveedores, o público, utilizando un IXP (Internet eXchange Point).
• Los IXP son infraestructuras físicas que permiten a diferentes ISP intercambiar tráfico de Internet entre sus redes mediante conexiones peering.

DNS (Domain Name System)

• El DNS resuelve los nombres de dominio a direcciones IP.
• El proceso de resolución se lleva a cabo mediante un protocolo de aplicación llamado DNS.
• Cuando se escribe un URL, el navegador envía una petición al servidor DNS más cercano.
• Si el servidor DNS ha resuelto previamente la petición, la dirección IP se obtiene de la cache y se envía al navegador.
• Si el servidor DNS no puede responder, consulta al servidor inmediatamente superior en el árbol del dominio.
• El proceso continúa hasta que se resuelve la dirección IP en cuestión.

Direcciones IP

• Las direcciones IP son identificadores únicos de los dispositivos dentro de una red.
• Las direcciones IP están definidas en el protocolo IP (Internet Protocol).
• No se deben confundir con las direcciones MAC (Media Access Control), que son identificadores físicos de 48 bits únicos por dispositivo.

Tipos de asignación de direcciones IP

• La asignación de direcciones IP puede ser estática, con configuración manual, o dinámica, donde un equipo en la red se encarga de la asignación automática.
• Las IPs públicas son gestionadas por organismos y deben ser únicas en toda la red.
• Las IPs privadas se asignan a dispositivos dentro de una red privada y no son visibles desde Internet.
• Se necesita un NAT (Network Address Translation) o un proxy para que los dispositivos con direcciones privadas puedan acceder a internet.

Direcciones IPv4 e IPv6

• Las direcciones IPv4 se representan como números de notación decimal de 32 bits divididos en cuatro octetos.
• Las direcciones IPv6 se representan como números de 128 bits.
• Las direcciones IP tienen un componente jerárquico, donde una parte identifica la red (prefijo de red) y otra parte identifica al dispositivo (host) dentro de esa red.

Certificados SSL/TLS

• SSL (Secure Socket Layers) se utiliza para el cifrado y la autenticación del tráfico de datos en Internet.
• SSL se utiliza a nivel de transporte (TCP).
• El certificado SSL garantiza que la comunicación no se puede leer ni manipular.
• HTTPS (Hypertext Transport Protocol Secure) se basa en SSL y su versión mejorada, TLS (Transport Layer Security).
• Un certificado HTTPS cifra los datos y autentica las solicitudes.
• Un certificado SSL es una prueba de identidad para una página web.
• La Autoridad de Certificación (CA) verifica la identidad y la veracidad de la información de la web antes de emitir un certificado SSL.

Tipos de certificados SSL

• Los certificados con validación de dominios (Domain Validated Certificate) son los certificados con el nivel más básico de autenticación.
• La Autoridad de Certificación solo verifica que el solicitante es el propietario del dominio.
• La información de la empresa no se comprueba.
• Los certificados con validación de organización (Organization Validated Certificate) requieren una comprobación de la identidad de la empresa.
• Los certificados con validación extendida (Extended Validation Certificate) son el nivel más alto de autenticación y requieren una verificación exhaustiva de la identidad de la empresa.

Anycast

• Anycast se basa en el protocolo BGP (Border Gateway Protocol).

Arquitectura de red IMI

• La red IMI incluye varias componentes, entre ellas: la red corporativa, la red CPD, la red WiFi, la red de servicios Telco, la red MPLS, OSAT (Oficina de gestión de los servicios transversales de Telecomunicacionees) y PMAC (Plataforma Multicanal de Atención Ciutadana).

Categorías de la Red

• Categorías de IP: A, B y C
• Clases A: Usan el primer octeto para definir el prefijo de red, rango X.0.0.0.
• Clases B: Usan los dos primeros octetos para el prefijo de red, rango X.X.0.0.
• Clases C: Usan los tres primeros octetos para el prefijo de red, rango X.X.X.0.
• Rangos de direcciones privadas (sin visibilidad a internet):
  • Clase A: 10.0.0.0 a 10.255.255.255
  • Clase B: 172.16.0.0 a 172.31.255.255
  • Clase C: 192.168.0.0 a 192.168.240.255

IPv6: El Nuevo Protocolo

• IPv6 es el protocolo que sustituirá a IPv4.
• Fue desarrollado para solucionar el agotamiento del espacio de direcciones de IPv4.
• La migración será gradual debido al gran número de equipos que aún no son compatibles con IPv6.
• Se caracteriza por un espacio de direcciones ampliado (dirección IP de 128 bits), mecanismo de opciones mejorado, direcciones de autoconfiguración, aumento de la flexibilidad en el direccionamiento, mayor facilidad en la asignación de recursos y funciones de seguridad.
• El encaminamiento y procesamiento en los routers es más eficiente.

Dominios de Internet

• Dominiio de primer nivel: Se refiere a la parte final o extensión del nombre de dominio.
• Dominiio de segundo nivel: Corresponde a la parte que precede al dominio de primer nivel en un nombre de dominio.
• Dominiio de tercer nivel: Generalmente se utiliza para dirigir una petición a un equipo en particular.

Dominios de primer nivel genéricos

• .com - Organizaciones comerciales.
• .net - Estructuras de la red Internet
• .org - Organizaciones de diversa índole, sin ánimo de lucro o religiosas.
• .edu - Educación.
• .info - Agencias de información.
• .biz - Negocios.
• .mil - Militar.

Dominios de primer nivel territoriales:

• .cat - Para la lengua y la cultura catalanes.
• .ad - Andorra.
• .au - Australia.
• .de - Alemania.
• .es - España.
• .fr - Francia.
• .it - Italia.
• .jp - Japón.
• .int - Organizaciones internacionales (ej. ONU).
• .lu - Luxemburgo.
• .nl - Países Bajos.
• .tr - Turquía.

Sistema de nombres de dominio (DNS)

• El DNS traduce los nombres de dominio a direcciones IP que se utilizan para la comunicación en Internet.
• Este sistema jerárquico actúa como una base de datos distribuida con múltiples servidores organizados para almacenar y atender las solicitudes de información.
• Funciona como un directorio que permite al navegador web encontrar la ubicación de un recurso en la red.
• El sistema DNS se utiliza para traducir los nombres de dominio legibles por humanos a direcciones IP legibles por la máquina.
• El servidor DNS almacena una lista de nombres de dominio y sus correspondientes direcciones IP.
• Cuando se busca un sitio web, la solicitud se envía al servidor DNS del usuario, y este a su vez contacta con un servidor DNS más cercano hasta que encuentra la dirección IP correspondiente al nombre del dominio.
• Una vez encontrada la dirección IP, el navegador puede establecer la conexión con el servidor web y acceder al contenido solicitado.
• Este proceso se acelera gracias a la caché de los navegadores, que almacena las recientes búsquedas de direcciones IP.

Servidores DNS

• Un servidor DNS es un ordenador o equipo que ejecuta un software DNS.
• El software más usado en los servidores que, en su mayoría, son UNIX, es BIND.
• El software DNS está dividido en dos partes:
  • El servidor de nombres: es una tabla que convierte nombres en IP.
  • El resolver: es un programa que realiza las solicitudes a otros servidores DNS si no dispone de la respuesta a la petición.

Proceso de Resolución DNS

• Cuando se introduce un URL en un navegador, una consulta se envía al servidor DNS más cercano.
• Si el servidor ya ha resuelto una consulta anterior para el mismo dominio, la dirección IP se encuentra en la caché y se envía al navegador.
• Si no, el servidor DNS consulta al servidor DNS siguiente en su jerarquía hasta que encuentre la dirección IP.
• Cuando un servidor DNS tiene la información sin necesidad de consultar otros servidores, se le conoce como Servidor Autorizado.

Dirección IP

• Es un identificador único que identifica un dispositivo dentro de una red.
• Está regido por el protocolo IP (Internet Protocol).
• No se debe confundir con la dirección MAC (Media Access Control), que es una dirección física única.
• Todos los dispositivos que se conectan a una red que utiliza los protocolos TCP/IP deben tener una dirección IP asignada ya sea de forma estática (manual) o dinámica (automática).
• Se pueden distinguir dos tipos de direcciones IP:
  • Direcciones públicas: Asginadas a dispositivos conectados a internet, son únicas para toda la red.
  • Direcciones privadas: Se asignan a dispositivos dentro de una red que no tiene visibilidad con Internet.
• NAT (Network Address Translation): realiza las traducciones de direcciones, permitiendo a los dispositivos de una red privada acceder a Internet con una dirección IP pública.
• Una dirección IP se representa mediante un número binario de 32 (IPv4) o 128 bits (IPv6).
• En IPv4, las direcciones IP se pueden expresar como números decimales, divididos en cuatro octetos, con valores de 0 a 255.
• Las direcciones IP tienen una estructura jerárquica donde una parte identifica la red (prefijo de red) y otra parte identifica el dispositivo (host) dentro de la red.

Clases de Direcciones IP

• El protocolo de Internet (IP) utiliza varias clases de direcciones IP para optimizar el uso en diferentes situaciones, como la necesidad de hosts por red.
• El sistema de direccionamiento IPv4 se divide en cinco clases, identificadas por el primer octeto de la dirección IP (el octeto más a la izquierda).

Clase A

• El primer bit del primer octeto siempre es 0.
• El primer octeto varía de 1 a 127 (1.x.x.x a 126.x.x.x).
• El rango de IP 127.x.x.x es para direcciones IP de loopback (prueba de conexión local).
• Formato de dirección IP de Clase A: 0NNNNNNN.HHHHHHHH.HHHHHHHH.HHHHHHHH
• Incluye 126 redes y 16,777,214 (2^24-2) direcciones de host por red.

Clase B

• Los dos primeros bits del primer octeto son 10.
• Rango de direcciones IP: 128.0.x.x a 191.255.x.x.
• Máscara de subred predeterminada: 255.255.x.x.
• Tiene 16,384 (2^14) redes y 65,534 (2^16-2) direcciones de host por red.

Clase C

• Los primeros 3 bits del primer octeto son 110.
• Rango de direcciones IP: 192.0.0.x a 223.255.255.x.
• Máscara de subred predeterminada: 255.255.255.x.
• Tiene 2,097,152 (2^21) redes y 254 (2^8-2) direcciones de host por red.

Clase D

• Los primeros 4 bits del primer octeto son 1110.
• Rango de direcciones IP: 224.0.0.0 a 239.255.255.255.
• Destinado para la multidifusión (envío de datos a múltiples hosts).
• No se extraen direcciones de host de la dirección IP, no tiene máscara de subred.

Clase E

• Reservado para fines experimentales (R&D).
• Rango de direcciones IP: 240.0.0.0 a 255.255.255.254.
• No está equipado con máscara de subred.

IPv4

• Las direcciones de origen y destino tienen una longitud de 32 bits (4 bytes).
• La compatibilidad con IPSec es opcional.
• El encabezado no incluye una identificación de carga para el control de QoS por parte de los enrutadores.
• La fragmentación es posible tanto en los enrutadores como en el host de envío.
• El encabezado incluye una suma de comprobación.
• El encabezado incluye opciones.
• El Protocolo de resolución de direcciones (ARP) utiliza tramas de solicitud de ARP de difusión para resolver una dirección de IPv4 en una dirección de nivel de vínculo.
• Se utiliza el Protocolo de administración de grupos de Internet (IGMP) para administrar la pertenencia a grupos de subredes locales.
• El descubrimiento de enrutadores de ICMP, que es opcional, se utiliza para determinar la dirección IPv4 de la mejor puerta de enlace predeterminada.
• Las direcciones de difusión se utilizan para enviar tráfico a todos los nodos de una subred.
• La configuración debe efectuarse manualmente o a través de DHCP.
• Utiliza registros de recursos (A) de dirección de host en el Sistema de nombres de dominio (DNS) para asignar nombres de host a direcciones IPv4.
• Utiliza registros del recurso Puntero (PTR) en el dominio DNS IN-ADDR.ARPA para asignar direcciones de IPv4 a nombres de host.

IPv6

• Las direcciones de origen y destino tienen una longitud de 128 bits (16 bytes).
• La compatibilidad con IPSec es obligatoria.
• El encabezado incluye una identificación de carga para el control de QoS por parte de los enrutadores mediante el campo Flow Label (Etiqueta de flujo).
• La fragmentación solo es posible en el host de envío.
• El encabezado no incluye una suma de comprobación.
• Todos los datos opcionales se mueven a extensiones de encabezado IPv6.
• Las tramas de solicitud de ARP se reemplazan por mensajes Neighbor Solicitation (Solicitud de vecino) de multidifusión.
• El protocolo IGMP se reemplaza por mensajes Multicast Listener Discovery (MLD o Descubrimiento de escucha de multidifusión).
• El descubrimiento de enrutadores de ICMPv4 se reemplaza por los mensajes Router Solicitation (Solicitud de enrutador) y Router Advertisement (Anuncio de enrutador) de ICMPv6, que son necesarios.
• No hay direcciones de difusión de IPv6. Se utiliza una dirección de multidifusión para todos los nodos de ámbito local de vínculo.
• No se necesita configuración manual ni DHCP.
• Utiliza registros de recursos (AAAA) de dirección de host en el Sistema de nombres de dominio (DNS) para asignar nombres de host a direcciones IPv6.
• Utiliza registros del recurso Puntero (PTR) en el dominio DNS IP6.INT para asignar direcciones de IPv6 a nombres de host.

Tipos de Virus

• La capacidad de replicación necesita intervención humana para propagarse
• Los virus pueden ser inofensivos o destructivos (modificando o borrando datos)
• Los virus residentes se ejecutan cada vez que se enciende el ordenador, permaneciendo ocultos en la RAM
• Los virus de acción directa se reproducen cuando se ejecutan, no permaneciendo en la memoria
• Los virus de sobreescritura cambian el contenido de un archivo, dejándolo inservible
• Los virus de compañía permanecen en la memoria cuando se inicia un programa (virus residentes) o realizan copias de sí mismos
• Los virus de arranque o boot infectan el sector de arranque de unidades USB, CD o DVD
• Los virus de macro infectan archivos creados por aplicaciones con macros: Word (.doc), Excel (.xls), bases de datos (.mdb), PowerPoint (.pps), etc.
• Los virus de directorio o de enlazce alteran las direcciones que indican dónde se encuentran los archivos
• Los virus encriptados se encriptan para evitar su detección por programas antivirus
• Los virus polimórficos se encriptan de manera diferente en cada infección, dificultando su detección
• Hay varios ejemplos de cada tipo de virus

Spyware / Programa Espía

• Recopila información de un ordenador y la transmite a una entidad externa
• Se autoinstala y se activa cada vez que se inicia el ordenador
• Incorporan keyloggers, grabadores de escritorio y software para activar la webcam
• Controla el uso que se hace de Internet

Adware

• Muestra elementos emergentes para generar ingresos
• Analiza los intereses del usuario rastreando los sitios web visitados
• Algunas versiones de software instalan automáticamente el adware
• Puede incluir spyware

Keyloggers

• Registra las pulsaciones del teclado, permitiendo el acceso a contraseñas e información privada

Stealers

• Roba información privada almacenada en el equipo
• Comprueba los programas instalados y, si tiene contraseñas o credenciales almacenadas, las descifra y envía al atacante

Ransomware

• Mantiene cautivo el sistema o los datos de la víctima hasta que se realiza un pago
• Normalmente cifra los datos con una llave desconocida para el usuario

Buffer Overflow

• Técnica que sobreescribe la pila de memoria
• La sobreescritura puede causar corrupción de datos y del sistema, denegación del servicio e inyección de código malicioso

Reconocimiento

• El atacante recopila información sobre el objetivo deseado
• Ataque de solo lectura, no se modifican datos
• Se usan técnicas como:
  • Ping Sweeps: rastrean direcciones IP para saber cuáles responden
  • Port Scans: identifican servicios disponibles en el host
  • Vulnerability scans: descubren vulnerabilidades en el sistema

Ganar Acceso y Control

• El atacante obtiene las credenciales del usuario mediante:
  • Phishing: suplanta la identidad de una entidad de confianza para obtener información sensible
  • Ataque de diccionario: se prueba combinaciones de nombres de usuario y contraseñas hasta encontrar la correcta
• Propagación:
  • Alta > 7,5% a 10%
  • Media > 1% a 7,5%
  • Baja < 1%
• Daños causados:
  • Muy alto: daños severos (destrucción de archivos, envío de información a terceros, degradación del rendimiento, etc.)
  • Alto: cualquier programa malicioso

Soluciones de Antivirus/Antimalware

• Programas instalados en PCs, servidores o dispositivos móviles
• Realizan escaneos de archivos y detectan malware
• Eliminan el malware siempre que sea posible
• Técnicas:
  • Por firma: compara el código del archivo con el código de malware conocido
  • Analisis heurístico: detecta comportamientos anómalos para bloquear virus no catalogados
  • Basado en comportamiento: controla el comportamiento del proceso
• Tipos de antivirus:
  • Preventors: avisan antes de la infección
  • Identificadores: identifican pero no descontaminan
  • Descontaminadores: identifican y limpian la infección

HIPS (Host Intrusion Prevention System)

• Software que detecta y previene ataques en el host donde está instalado
• Combina las capacidades de antivirus, antispyware y firewall personal
• Protege el host de ataques conocidos y desconocidos
• Controla procesos y recursos del sistema
• Analiza el tráfico encriptado después de ser desencriptado
• Los IDS (Instruction Detection System) solo detectan

Firewall de Host

• Protege un solo host
• Aplicaciones de políticas basadas en protocolos y puertos
• Permite o deniega aplicaciones (independientemente de los puertos o protocolos usados)
• Avisa de actividad sospechosa

EDR (Endpoint Detection and Response)

• Tecnologia que ofrece una visión completa de la actividad de cada equipo de la infraestructura corporativa
• Objetivo: detección proactiva de nuevas o conocidas amenazas
• Los EDR complementan las funciones de los EPP
• Utiliza tecnologías de detección avanzada como:
  • Regles de YARA
  • Sandboxing
  • Escaneo de IoCs
  • Análisis retrospectivo
• Permiten reaccionar ante los incidentes de seguridad

Sandboxing

• Ayuda a resolver debilidades de la detección basada en firmas
• Emula un entorno, ejecuta un archivo de forma segura y analiza su comportamiento

WAF (Web Application Firewall)

• Tipo de firewall para aplicaciones web
• Supervisa, filtra o bloquea el tráfico HTTP de entrada y salida de la aplicación
• Protege las aplicaciones de los ataques XSS, CSRF y SQL injection

Sistemas de Protección Basados en Distracción

• Honey Pots: sistemas para atraer atacantes y distreerlos de los sistemas reales
• Padded Cells: similares a Honey Pots pero trabajan en conjunto con IDS
• No son fáciles de implementar, requieren conocimiento y esfuerzo

Sistemas de Protección Basados en Procesos

• Analizar logs de eventos con SIEM
• Establecer procedimientos de actualización y parcheo de SO
• Diseñar políticas y procedimientos relacionados con la seguridad física y perimetral
• Establecer políticas de mínimo privilegio en el acceso y uso de la información
• Realizar una gestión de identidades y control adecuado de acceso

SOC (Centro de Operaciones de Ciberseguridad)

• Aumenta la capacidad de vigilancia y detección de amenazas
• Mejora la respuesta ante cualquier ataque

Tipos de Virus

• Los virus necesitan intervención humana para propagarse.
• Virus residentes: Se ejecutan cada vez que se enciende el ordenador y se ocultan en la RAM.
  • Controlan las operaciones y pueden infectar todos los archivos.
  • Se activan al cumplirse una condición (por ejemplo, una fecha).
  • Ejemplos: Randex, CMJ, Meve y MrKlunky.
• Virus de acción directa: Se reproducen y actúan al ejecutarse.
  • No están en la memoria.
  • Suelen afectar los archivos de la carpeta/directorio donde se encuentran.
  • Más fáciles de eliminar.
• Virus de sobreescritura: Sobrescriben un archivo.
  • El archivo infectado no cambia de tamaño.
  • Los archivos infectados quedan inservibles.
• Virus de compañía: Se pueden esperar en la memoria hasta que se ejecute algún programa (virus residentes) o actuar directamente haciendo copias de ellos mismos (virus de acción directa).
  • Ejemplos: Way, Trj.ReBoot y Trivial.88.D.
  • Se crean sobre los archivos .com que acompañan a los .exe.
• Virus de arranque o boot: No infecta archivos, sino los discos que los contienen.
  • Infectan el sector de arranque de USB, CD o DVD.
  • Cuando se arranca el ordenador con un USB, CD o DVD infectado, el virus de boot infecta el disco duro.
  • Ejemplos: Polyboot.B y AntiEXE.
• Virus de macro: Infectan los archivos creados con aplicaciones que contienen macros (Word (.doc), Excel (.xls), bases de datos (.mdb), PowerPoint (.pps), Corel Draw, OpenOffice Writer(.odt), OpenOffice Calc (.ods), OpenOffice Base, etc.).
  • Ejemplos: Relax, Melissa.A, Bablas o O97M/Y2K.
• Virus de directorio o de enlace: Alteran las direcciones que indican donde están almacenados los ficheros.
  • Hacen imposible la localización y trabajo con los archivos originales.
• Virus encriptados: Se encriptan para que los antivirus no los detecten.
  • Se desencriptan para actuar y se vuelven a encriptar al terminar.
  • Ejemplos: Elvira y Trile.
• Virus polimórficos: Se encriptan de forma diferente cada vez que infectan.
  • Generan muchas copias de sí mismos, dificultando su detección.
  • Ejemplos: ZMist, Marburg, Satan Bug y Tuareg.

Spyware / Programa espia

• Recopila información de un ordenador y la envía a un tercero.
  • Se autoinstala afectando el ordenador cada vez que se enciende.
  • Incorporan keyloggers, grabadores de escritorio y software para activar la webcam.
  • Controlan el uso de Internet.
  • Ejemplos: Gator, Bonzo Buddy y CoolWebSearch.

Adware

• Muestra elementos emergentes molestos con fines de lucro.
  • Analiza los intereses del usuario rastreando los sitios web visitados.
  • Algunas versiones de software instalan automáticamente adware.
  • Puede incluir spyware.

Keyloggers

• Malware que registra las pulsaciones del teclado para acceder a contraseñas u otra información privada.

Stealers

• Malware que roba información privada almacenada en el equipo.
  • Busca programas instalados con contraseñas o credenciales almacenadas y las descifra.
  • Envía la información robada al atacante.

Ransomware

• Mantiene secuestrado un sistema o las datos/archivos de la víctima hasta que se realiza un pago.
  • Encripta las datos con una clave desconocida para el usuario.
  • Ejemplos: Wannacry, Petya y Bad Rabbit.

Buffer Overflow

• Técnica de desbordamiento de pila de memoria.
  • La sobreescritura puede provocar: corrupción de datos y sistema, denegación de servicio e inyección de código malicioso por parte del atacante.

Reconocimiento

• El atacante recopila información sobre el objetivo deseado.
  • Un ataque de solo lectura.
  • Utiliza técnicas como:
    • Ping Sweeps: herramientas automatizadas que envían pings a direcciones IP para saber cuáles responden.
    • Port Scans: para identificar qué servicios se están ejecutando o están disponibles en el host.
    • Vulnerability Scans: para descubrir las vulnerabilidades que tiene un sistema.

Ganar acceso y control

• El atacante puede obtener las credenciales de un usuario a través de:
  • Phishing: obtener información sensible (nombres de usuario, contraseñas o tarjetas de crédito) al suplantar la identidad de una entidad de confianza a través de una comunicación electrónica (correo/SMS).
  • Ataques de diccionario: por método de prueba y error intenta combinaciones de nombres de usuario y contraseñas en un diccionario predeterminado del software para intentar acceder a un sistema.
• Cuando el atacante ha obtenido las credenciales de los hosts, puede crear Botnets: grupo de ordenadores "zombies" controlados por un "maestro", para realizar un ataque de denegación de servicio distribuido (DDoS).

Ganar acceso vía Ingeniería social

• Prácticas de suplantación de identidad:
  • Vishing: llamadas de suplantación de fuentes legítimas mediante voz sobre IP. Objetivo: tarjeta de crédito.
  • Smishing: suplantación mediante los SMS de los móviles.
  • Pharming: redireccionar al usuario a un portal que parece legítimo, pero está controlado por el atacante.
  • Whaling: apuntan a objetivos de alto nivel dentro de una organización (políticos, gerentes, directores...).

Ataques a nivel de aplicación

• SQL injection: permite al atacante realizar una consulta SQL para conseguir sus objetivos.
• Cross-site scripting (XSS): permite inyectar scripts en las páginas web que visitan los usuarios, que pueden contener código malicioso y acceder a:
  • Cookies (pueden suplantar la identidad del usuario)
  • Tokens de sesión
  • Información confidencial.
• Cross-site request forgery (XSRF): aprovecha el cierre incorrecto de las sesiones web (banco, correo...), por lo que la sesión continúa activa mientras se está visitando otras páginas donde pueden haber insertado código malicioso que ejecute alguna instrucción.

Denegación de servicio (DoS)

• Ataque a la red que provoca interrupción de los servicios de la red de usuarios, dispositivo o las aplicaciones. Dos tipos:
  • Volumétrics: envía una gran cantidad de datos a una velocidad que la red / host / app no puede manejar.
  • Paquetes maliciosos formateados: el receptor no es capaz de interpretarlos ni manejarlos, ralentizándolo.
• Un ataque de DoS distribuido (DDoS) proviene de múltiples fuentes coordinadas.
• Los ataques distribuidos provienen de Botnets: redes de equipos infectados con un malware que permite a los atacantes controlarlos remotamente.

Falsificación de identidad (spoofing)

• El atacante inyecta tráfico que parece provenir de un sistema que no es el suyo.
  • El servidor responde a lo que cree que es el sistema de origen.
  • Tipos de spoofing:
    • De dirección IP: El más común.
    • De dirección MAC (Media Access Control): para identificar la interfaz de hardware.
    • DHCP: El atacante realiza la suplantación de un servidor DHCP, dando a la víctima la IP que él quiere.

Man-in-the-Middle (MITM)

• El atacante intercepta las comunicaciones entre origen y destino para robar información que transita por la red.
  • El atacante puede manipular mensajes y retransmitir información falsa entre los hosts, sin que se den cuenta.

Ataques de día cero (Zero-day)

• Ataques a los hosts que intentan explotar las vulnerabilidades del software que son desconocidas o no reveladas por el proveedor de software.
  • Hasta que el proveedor no desarrolla y lanza el parche, la red es vulnerable.

Niveles de riesgo

• En ciberseguridad, el riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad determinada, lo que genera un impacto en la organización.
• El NIST (National Institute of Standards Technology) define el riesgo de seguridad como:
  • Amenaza: Posibilidad de que un método pueda provocar un resultado no deseado.
  • Vulnerabilidad: Debilidad que hace que el recurso sea susceptible de amenaza.
  • Impacto: Daño causado a la organización por la amenaza. Si no hay amenaza, vulnerabilidades o impacto, tampoco hay riesgo.

Gestión del riesgo

• Identificar el riesgo:
  • Identificar los agentes de amenaza.
  • Identificar las vulnerabilidades que pueden ser explotadas por los agentes de amenaza.
  • Estimar el impacto (técnico y de negocio).
• Evaluar el riesgo:
  • De manera cuantitativa: asignar un valor € a cada riesgo específico.
  • De manera cualitativa: asignar nivel de riesgo (bajo, medio o alto) según la probabilidad y el impacto.
• Tomar medidas para reducir el riesgo a un nivel aceptable.

Grau de perillosidad

• Indica el riesgo que corre el sistema de ser infectado.
• Tipos de peligro:
  • Peligro bajo: Amenaza pequeña y poco extendida.
  • Peligro medio: El virus está extendido y la infección causa daños leves, o es poco extendido pero causa daños graves.
  • Peligro alto: Amenaza importante, el malware está muy extendido y la infección causa daños perjudiciales.
  • Peligro muy alto: Amenaza muy importante, muy extendida y la infección causa daños irreversibles.

Grau de propagación

• Indica cómo de extendido está el virus.
• Se determina por la ratio de infección (% de ordenadores infectados vs el total de equipos explorados).
• Valores que puede adoptar:
  • Epidèmia: % de infección del 10% o superior.

IPS (Sistema de prevención de intrusiones)

• IPS basado en firmas:
  • Si el tráfico coincide con una firma, el IPS puede: descartar los paquetes, registrar el evento y enviar una alerta.
  • La detección de intrusiones basada en firmas puede generar falsos positivos.
• IPS basado en anomalías:
  • Detecta actividad intrusiva comparando el tráfico en tiempo real con el tráfico considerado "normal".
  • Se debe establecer una línea base de lo que se considera tráfico normal.
• IPS basado en políticas:
  • Detecta actividad intrusiva comparando el tráfico con políticas preconfiguradas.

Firewall de host

• Protege un único host, a diferencia de los firewalls tradicionales (que se aplican a las políticas de tráfico de la red corporativa).
• Funciones:
  • Aplicación de políticas basadas en protocolos y puertos.
  • Permitir/denegar apps (independientemente de los puertos o protocolos utilizados) mediante listas blancas y negras de aplicaciones.
  • Avisar de actividad sospechosa.

Detecció i Resposta als Endpoints (EDR)

• Tecnología que ofrece una visibilidad completa de extremo a extremo de la actividad de cada equipo de la infraestructura corporativa, administrado en una consola centralizada.
• Objetivo: Detección proactiva de nuevas o conocidas amenazas.
• Los EDR complementan las funciones de los EPP (Plataforma de protección de Endponits).
• Utiliza tecnologías de detección avanzada:
  • Reglas de YARA (herramienta para identificar y clasificar malware mediante reglas que detectan cadenas de texto - patrones - dentro de los archivos maliciosos)
  • Sandboxing
  • Escaneo de IoCs (indicadores de compromiso)
  • Análisis retrospectivo con correlación de eventos basados en aprendizaje dinámico, investigación y contención del incidente y automatización de la respuesta.
• Permite reaccionar ante incidentes de seguridad y añade herramientas de resolución y respuesta.

Sandboxing

• Ayuda a resolver las debilidades de la detección basada en firmas (por ejemplo, detectar malware polimórfico).
• Función: Emula un entorno, ejecuta de forma segura el archivo y analiza el comportamiento, determinando si es malicioso.

Web Application Firewall (WAF)

• Tipo de firewall que se utiliza específicamente para las aplicaciones web.
• Supervisa, filtra o bloquea el tráfico HTTP tanto de entrada como de salida de la aplicación.
• Protege las aplicaciones de los ataques más comunes como el XSS, el CSRF y la inyección SQL.

Sistemas de protección basados en distracción

• Honey Pots: Sistemas para atraer a los atacantes y distraerlos de los sistemas de red reales.
• Padded Cells: Sistemas similares a los HoneyPots, con la diferencia de que trabajan en conjunto con los IDS.

Description

Este cuestionario explora la interconexión de redes, incluyendo conexiones de tránsito y peering. Aprende cómo operan los diferentes tipos de conexiones entre proveedores y su importancia en la infraestructura de Internet. También se abordarán los conceptos de peering privado y público.