Seguridad en Redes - Tema de Firewall

Questions and Answers

¿Cuál de las siguientes opciones permite el tráfico SMTP entre los sistemas 10.1.1.2 y 172.16.1.1?

deny tcp host 10.1.1.2 host 172.16.1.1 eq smtp

permit udp host 10.1.1.2 host 172.16.1.1

permit icmp host 10.1.1.2 host 172.16.1.1

permit tcp host 10.1.1.2 host 172.16.1.1 eq smtp (correct)

La filtración de tráfico saliente se llama filtración de ingreso.

False

¿Qué tipo de filtración se utiliza para evitar que el tráfico ICMP entre a través de una interfaz?

Filtración de ICMP

Para permitir el tráfico web estándar en el puerto 80, se puede usar la regla: permit tcp host 1.1.1.1 host 5.5.5.5 eq ______.

www

¿Qué sucede si un paquete no coincide con ninguna regla en la lista de ACL?

El tráfico es denegado.

Empareja los tipos de filtración con sus descripciones:

Filtración de ingreso = Filtración de tráfico que entra a través de una interfaz Filtración de egreso = Filtración de tráfico que sale a través de una interfaz Filtración de estado = Mantiene el contexto de las sesiones de comunicación Filtración sin estado = Decisiones basadas solo en los paquetes individuales

¿Qué es un firewall sin estado?

Un dispositivo que toma decisiones únicamente en base a características individuales de los paquetes.

Un dispositivo de filtrado de paquetes entiende el contexto completo de la comunicación entre dos sistemas.

False

¿Qué significa mantener el estado de una conexión en el contexto de un firewall?

Mantener un registro de los valores de encabezado de protocolo.

Es posible que todos los valores de bandera TCP estén activados en una conexión legítima.

False

¿Cuál es el propósito de los valores CRC en la transmisión de datos?

Identificar errores de transmisión.

El valor que indica que la conexión TCP ha finalizado se representa con la bandera ________.

Fin

Empareja los siguientes campos del encabezado TCP con su descripción:

ECN = Control de Congestión ACK = Confirmación de recepción SYN = Establecimiento de conexión FIN = Finalización de conexión

¿Qué representa el valor 0x02 en el encabezado TCP?

SYN

Es un comportamiento normal que un firewall reciba paquetes con todos los valores TCP configurados en 1.

False

¿Qué valores deben estar correctos y en el orden correcto en una conexión TCP legítima?

Los valores de encabezado de protocolo

¿Cuál de las siguientes características tienen los NGFWs?

Pueden conectarse a Active Directory, listas blancas y negras

Los NGFWs son la mejor opción para todas las organizaciones sin excepción.

False

¿Qué permiten las conexiones de los NGFWs a fuentes de datos externas?

Definir controles en un solo lugar.

Los firewalls de _____ generación solo podían monitorizar el tráfico de red.

primera

Empareja los tipos de firewall con sus características:

Packet filtering = Mira direcciones y puertos Stateful = Mantiene estado de las conversaciones Application-level proxy = Controla decisiones de acceso granular Circuit-level = Mira solo la información del encabezado

¿Cuál es una limitación común de los NGFWs en el contexto organizacional?

Su coste de propiedad es alto

Los firewalls han evolucionado para abordar tipos de ataques más sofisticados.

True

¿Qué tipo de attacs se volvieron más comunes que llevaron a la evolución de firewalls más avanzados?

Attacs basados en software, como inyecciones y malware.

¿Cuál de las siguientes es una fuente de datos bajo el control directo de la organización?

DNS Server

La caza de ciberamenazas implica esperar alertas antes de investigar un incidente.

False

¿Qué se puede obtener de las listas de URLs recopiladas por los analistas de inteligencia?

Dominios observados recientemente o dominios con una pequeña comunidad de interés.

La práctica de buscar proactivamente actores de amenazas en las redes se conoce como ______.

caza de ciberamenazas

Relaciona los términos con su explicación correspondiente:

NODs = Dominios observados recientemente COI = Comunidad de interés RDP = Protocolo de escritorio remoto SIEM = Sistema de gestión de eventos e información de seguridad

¿Cuál es un indicador temprano de un ataque?

Dominios observados recientemente

El protocolo RDP está habilitado por defecto en todas las organizaciones.

False

¿Cuál es una ventaja de un proxy de nivel de circuito?

Puede manejar una variedad más amplia de protocolos y servicios

¿Qué suele incluir un programa de inteligencia de amenazas?

Datos sobre adversarios y sus tácticas.

Un proxy de nivel de circuito requiere un proxy por cada protocolo que maneja.

False

¿Cuál de las siguientes afirmaciones describe mejor a un proxy de nivel de transporte?

Protege un rango más amplio de protocolos y servicios.

¿Qué capacidad adicional tienen los firewalls de proxy de nivel de aplicación en comparación con los firewalls de filtrado de paquetes?

Tienen capacidades extensas de registro y pueden autenticar a los usuarios directamente.

El proxy de nivel de aplicación se dedica a un protocolo o servicio específico, mientras que el proxy de nivel de _________ trabaja a un nivel más bajo del modelo OSI.

circuito

Los dispositivos de firewall de hardware dedicados generalmente son menos seguros que los firewalls basados en software.

False

Relaciona las siguientes características con el tipo de firewall correspondiente:

Extensas capacidades de registro = Proxy de nivel de aplicación Manejo de variedad de protocolos = Proxy de nivel de circuito Autenticación directa de usuarios = Proxy de nivel de aplicación Decisiones basadas en encabezados de paquetes = Proxy de nivel de circuito

¿Qué es un 'appliance' en el contexto de firewalls?

Un dispositivo dedicado que tiene un sistema operativo reducido y funcionalidades enfocadas, diseñado para ser un firewall.

¿Cuál es un inconveniente de los proxies de nivel de circuito?

No proporcionan un control granular

Un firewall de forma de hardware dedicado con un sistema operativo ____ es generalmente más seguro.

reducido

El proxy de nivel de circuito examina el contenido dentro de los paquetes para determinar si son seguros o no.

False

Relaciona el tipo de firewall con su característica principal:

Proxy de aplicación = Control detallado sobre aplicaciones Firewall de hardware = Mayor seguridad y enfoque específico Firewall basado en software = Funcionalidad más general Proxy de nivel de transporte = Rango más amplio de protocolos

¿Qué tipo de ataques pueden abordar los firewalls de proxy de nivel de aplicación?

Ataques de suplantación y otros ataques sofisticados.

¿Cuál es una característica clave del firewall de próxima generación?

Es muy rápido y admite un alto ancho de banda.

Los firewalls basados en software deben tener cuentas de usuario innecesarias habilitadas.

False

Menciona una ventaja de usar un appliance como firewall.

Mayor seguridad debido a un sistema operativo limitado

Study Notes

Security Operations

• This chapter covers security operations centers (SOCs), preventive and detective measures, and logging and monitoring.
• There are two types of companies: those that know they've been hacked and those that don't.
• Security operations encompass all activities to keep networks, systems, applications, and environments up and running securely.
• Detection, containment, eradication, and recovery are essential for business continuity.
• Many operational security issues are addressed in prior chapters.
• The security operations center (SOC) is the nerve center for organizations with a mature information security management system (ISMS).
• The SOC includes people, processes, and technology for logging, monitoring, and incident response.
• Integrating these aspects into the SOC streamlines detection and response to minimize organization losses.
• Post-incident lessons learned help better mitigate future threats.
• The SOC operates with a coordinated approach.

Elements of a Mature SOC

• Figure 21-1 illustrates a mature SOC's core elements.
• Endpoint Detection and Response (EDR) tools monitor user behaviors and processes on endpoints, reporting to a central management system (usually SIEM).
• Network Detection and Response (NDR) systems monitor network activities for suspicious behavior, reporting to the SIEM.
• Security Information and Event Management (SIEM) tools aggregate various data feeds for a holistic security overview.
• Tier 1 analysts triage alerts, handling routine issues and escalating severe events to Tier 2 analysts.
• Tier 2 analysts investigate security incidents, coordinating with incident responders and intelligence analysts.
• Policies, procedures, and a comprehension of the organization's business context are key aspects of a good SOC.

Threat Intelligence

• Threat intelligence is critical for a SOC.
• It provides knowledge about adversaries' past, present, and future actions.
• Good intelligence is complete, accurate, relevant, and timely (CART).
• Intelligence is geared towards helping decision-makers choose how to respond to a threat.
• Intelligence needs to be tailored to the individual requesting it – some may need technical detail while others need a summary.

Threat Data Sources

• Third-party data feeds provide indicators of compromise (IOCs).
• Open-source intelligence (OSINT) encompasses data freely available online.
• Internal sources are crucial and under direct organizational control.

Cyberthreat Hunting

• Proactive searching for adversaries is called cyberthreat hunting.
• Threat intelligence informs the development of adversary hypotheses.
• The goal is to prove or disprove hypotheses with evidence.
• A hunt team frequently includes members with relevant expertise – intelligence analysts, cybersecurity analysts (Tier 2), and incident responders.

Preventive and Detective Measures

• Risk management is essential: eliminate the most dangerous risks.
• The right controls will mitigate risks; multiple controls may be needed for a single risk.
• Ensure correct configuration of tools; the tools' location in the network can impact their effectiveness.
• Configuration management is crucial for continuous security; it ensures that tools stay up-to-date and secure
• Regular assessment is essential to identify vulnerabilities.

Firewalls

• Firewalls restrict network access.
• Most organizations use firewalls to control internet access.
• Communications flow through the firewall, allowing controlled and inspected traffic.
• Firewalls can isolate network segments and enforce access controls.

Firewall Types

• Packet filtering operates at the network level, based on header information.
• This means they are not as thorough in their analysis and generally lack logging capability, supporting only basic filtering criteria: source and destination IP addresses, port numbers, protocols types, and inbound/outbound traffic directions.
• Stateful firewalls remember and track connections, improving decision-making by maintaining session state information (i.e. memory of previous interactions).
• Application-level proxies inspect packets at the application layer, allowing greater control and more scrutiny than simpler firewalls.
• Circuit-level proxies monitor conversations but not the packet content, thus providing broader protocol support.
• Next-generation firewalls (NGFWs) combine various features and capabilities including intrusion prevention and threat intelligence integration.

Firewall Architectures

• Dual-homed firewalls have two network interfaces, isolating networks to enhance security.
• Screened host firewalls sit between perimeter routers and internal networks for a layer of protection.
• Screened subnet architectures create a demilitarized zone (DMZ) between firewalls to shield internal networks.

Virtual Firewalls

• Virtual firewalls offer flexibility by controlling traffic within virtualized environments rather than just physical networks.
• Typically incorporated into a hypervisor, they help manage networking behavior across virtual machines.

Bastion Hosts

• A bastion host is a security-focused system that is placed in a high-risk zone of the network, directly exposed to external threat actors.
• Crucial for bolstering overall security by reducing attack surface.

The “Shoulds” of Firewalls

• The firewall should implicitly deny packets not explicitly allowed.
• Any packet coming from an external source with an internal network address should be blocked.
• Fragmented packets should be assembled and inspected, as attackers often send fragmented packets that may carry attacks.

Intrusion Detection and Prevention Systems

• Intrusion Detection Systems (IDSs) monitor network traffic.
• Intrusion Prevention Systems (IPSs) take further action and block suspicious activity.
• Rule-based systems identify attacks using specific signatures.
• Anomaly-based systems identify events that don't fit typical behavior patterns.
• Continuous monitoring should involve clear, specific questions in order to know what to log and how to measure events.

Endpoint Detection and Response (EDR)

• A next generation intrusion detection system combining rule-based and anomaly detection capabilities.
• Integrates features of HIDSs and NIDSs.
• Provides correlation of events across multiple sensors (both cloud and premises) for greater security insight.

Security Orchestration, Automation, and Response (SOAR)

• SOAR systems integrate and automate security processes.
• SOARs automate workflows for security operations – orchestration, automation, and response phases.
• The use of SOAR tools can greatly improve efficiency.

Egress Monitoring

• Monitoring outgoing network traffic is a crucial security practice to identify information leaks or malicious communication.
• Egress monitoring often relies on a web gateway or other proxy devices to inspect, filter, and control outgoing traffic.

User and Entity Behavior Analytics (UEBA)

• UEBA is a set of processes to determine typical user and entity behaviors in order to spot unusual activity.

Continuous Monitoring

• Continuous monitoring systematically measures and evaluates security controls' effectiveness.
• This systematic process is essential in risk management.
• Establish metrics that allow for measuring and analysis to understand if the controls are still effective or need to be modified and updated.

Antimalware Software

• Traditional antimalware uses signatures to detect existing threats; signatures are unique code segments from malware samples.
• Heuristic detection analyzes code structure, searching for dangerous code patterns or behavior.

Outsourced Security Services

• Outsourced security services are provided by security providers.

Honeypots and Honeynets

• The goal of a honeypot is to trap attackers, gathering information about their tactics, techniques, and procedures (TTP).
• A honeynet is a complete network set up to be targeted, allowing better observation and deeper insight.

Artificial Intelligence (AI) Tools

• AI is a multi-disciplinary field with symbolic (rules-based that humans set) and non-symbolic (machine learning) approaches.
• Non-symbolic AI or machine learning is used to detect patterns from large datasets.
• Symbolic AI is effective at explaining the results of actions to humans.
• Understanding how these different AI types work is essential for optimal security system design.

Description

Este cuestionario evalúa tus conocimientos sobre la filtración de tráfico y firewalls en redes. Responde preguntas sobre SMTP, ICMP, y el funcionamiento de las listas de control de acceso (ACL). A través de este examen, puedes comprobar tu comprensión de los conceptos clave en la seguridad de redes.