Protecció i seguretat en les xarxes d'ordinadors PDF
Document Details
Uploaded by FeasibleHydrangea
UPC
Tags
Summary
Aquest document presenta un resum sobre la protecció i seguretat en les xarxes d'ordinadors, incloent temes com sistemes firewall, sistemes de xifratge i antivirus. L'objectiu és proporcionar una comprensió general dels elements clau per a la seguretat de les xarxes informàtiques.
Full Transcript
70. Proteccio i seguretat en les xarxes d'ordinadors: elements de disseny d'una xarxa protegida (sistemes firewall, sistemes de xifratge, antivíric). Solucions de mercat. 1 Introducció En un sistema de comunicacions, la seguretat s'ha de donar en tots els punts del sistema. La seguretat s'ha d'enfoc...
70. Proteccio i seguretat en les xarxes d'ordinadors: elements de disseny d'una xarxa protegida (sistemes firewall, sistemes de xifratge, antivíric). Solucions de mercat. 1 Introducció En un sistema de comunicacions, la seguretat s'ha de donar en tots els punts del sistema. La seguretat s'ha d'enfocar com un valor global estès a tots els seus components (punt de vista holístic). La seguretat és una cadena: l'atacant (hacker) té prou amb trencar una part, el defensor ho protegeix tot: (1) Seguretat al Host (2) Seguretat a la xarxa local (3) Seguretat Perimetral (4) Seguretat al canal de comms (5) Seguretat d’Accés (6) Seguretat transversal Accions a cada part de la cadena: Seguretat al host (tots els de la xarxa) Seguretat a la xarxa local (tots els equips de xarxa) Fer servir antivirus actualitzat, configuració del SO, Configuració del HW de xarxa en mode no promiscuo, a utilització de FW personal, actualitzacions periòdiques, la vegada que es fan servir eines anti-sniffers, utilització instal·lació només d’apps i serveis que s'utilitzin, de tecnologies com VLAN i IDS, disseny d’un bon pla de implantació de bona política de permisos i contrasenyes direccionalment, afegir seguretat als dispositius de xarxa (blindatge de routers, switches...), etc. Seguretat perimetral Seguretat al canal de comunicacions Separar la xarxa de l'entitat de la xarxa exterior i Control dels accessos remots a la companyia, així com controlar què pot i què no pot passar. Fer servir les comunicacions entre empreses. En l’actualitat es fa Firewalls, amb política de control d’accés entre xarxes. servir de forma majoritària la tecnologia VPN. Seguretat d’accés Seguretat transversal Les VPNs poden establir-se entre diferents empreses o seguretat corporativa: seguretat física (control sota demanda per un usuari per accedir a la xarxa de la accessos, subministrament elèctric,...), còpies de companyia. Mètodes d’autorització i autenticació són seguretat, sistemes d’emmagatzematge, qüestions imprescindibles. organitzatives (pla de contingència...), etc. 2 Elements de disseny d’una xarxa protegida Los problemas de seguridad se plantean en 3 áreas principales: 1. La seguridad de perímetro: protección frente ataques del exterior basada en cortafuegos (firewalls). 2. La seguridad en el canal: proteger datos frente a escuchas con criptografía y sistemas de cifrado. 3. La seguridad de acceso: identificación de usuario, autorización del acceso y auditoria de operaciones 1 No olvidar seguridad interna: uso de técnicas como la compartimentalización de la red mediante conmutadores (switches) y repetidores (hubs) con características de seguridad, sistemas de monitorización de la red y la seguridad en servidores. (Tema 64 – Riscos i males pràctiques. Sistemes de protecció.) 2.1 Sistemes Firewall El punt on s’enllacen dues xarxes és un punt dèbil, que cal assegurar. Establiment de seguretat perimètrica: Rebutjar connexions a serveis crítics. Permetre només determinat trànsit (ex, el correu electrònic) o només entre determinats nodes. Proveir la xarxa d’un únic punt d’interconnexió amb l’exterior. Tenir un control i dirigir el trànsit amb sistemes adients dins de la intranet. Ocultar sistemes o serveis vulnerables que poden ser complicats de protegir dels atacs de l’exterior. Auditar el trànsit entre l’exterior i l’interior. Dificultar l’accés a informació sobre la xarxa (noms de sistemes, topologia, tipus de dispositius...) Els elements bàsics que configuren la seguretat perimètrica, són els següents: Equip bastió (host bastion): directament connectat a altres xarxes, com Internet. És el més vulnerable i la primera línia de defensa de la xarxa Zona de risc o xarxa externa. part que pot posar en risc el sistema informàtic (Internet) Zona segura o xarxa interna o protegida o de confiança. part que volem protegir: els usuaris finals, servidors amb dades privades i sistemes propis. Perímetre de xarxa o tallafoc. part que separa la zona segura de la de risc. El tallafoc és un sistema que aïlla una xarxa d’una altra. Tallafoc (Firewall): element de seguretat perimetral hardware o software utilitzat en una xarxa per controlar les comunicacions, permetent-les o denegant-les segons les polítiques de seguretat definides. Les polítiques de seguretat poden basar-se en característiques dels paquets, p.ex.: adreces IP d’origen i de destí, números de ports, protocol TCP o UDP, aplicacions i paquets maliciosos. 2.1.1 Principals característiques dels Firewalls Filtrat de trànsit d’entrada i sortida. Proveeixen protecció del tràfic que passa a través d’ell. Son capaços d’amagar l’estructura i l’esquema d’adreçament d’una xarxa privada vist de de l’exterior fent us de la traducció d’adreces IP de xarxa (NAT) Ofereixen un logging extens, auditories del tràfic, monitorització i alarmes i funcions bàsiques de sistema de detecció d’intrusos (IDS) Se’ls hi pot afegir mòduls especials per: antivirus, antibots, filtrats de contingut de URL, etc... Són només una part d’una solució de seguretat global 2.1.2 Arquitectures de Seguretat Single Tier: opció comú en entorns petits. El Firewall es col·loca entre Internet i el segment de xarxa Intern. Tot el tràfic que entri o surti de la xarxa passa pel Firewall. Ofereix mínima protecció i s’utilitza quan no hi ha servidors exposats a internet. Two Tier: tallafocs que preserva la flexibilitat i, alhora, nivells de seguretat adequats per molts entorns. 2 El Firewall té almenys 3 interfícies de comunicació: un per Internet, un per la LAN (Local Area Network) i un per la zona Neutral (DMZ, demilitarized zone). La DMZ és una xarxa privada situada entre la LAN i Internet on s’ubiquen els dispositius que han de ser accessibles des d’Internet, pel que tenen un major risc. Si un atacant compromet l'accés a un servidor, no tindrà accés directe a les xarxes protegides perquè el tallafoc s'interposa. Multitier o dual-homed: desplegament de múltiples subxarxes entre la xarxa privada i Internet separades pels firewalls. Cada firewall posterior té regles de filtratge més estrictes per limitar el tràfic a només fonts de confiança. És l'arquitectura més segura de les 3, però la més complexa de dissenyar, implementar i gestionar. La complexitat darquitectura comporta problemes com la gestió, el cost o el rendiment del trànsit amb la xarxa externa. Avantatges: elevada modularització i l’augment de seguretat. 2.1.3 Tipus de Firewall Static packet-filtering Firewall firewalls de 1ª generació Operen a la capa 3 (capa de xarxa) del model OSI Filtren el tràfic examinant les dades de la capçalera del missatge Chekeja regles en base a l’adreça IP origen, IP destí, protocol i nº de port destí. Si fa match, permet el trafic, sinó, el denega. És Stateless (sense estat de connexió) = avalua cada paquet que passa pel FW independentment, sense tenir en compte si es tracta d’una connexió ja existent o nova, per tant, s’han de crear regles per cada direcció de tràfic (sortint i entrant). Al no tenir estat de connexió, es pot enganyar fàcilment amb paquets falsos, bypassejant la seguretat. Application-level gateway Firewalls o Proxy Firewalls Son coneguts com els firewalls de 2ª generació Operen a la capa 7 (capa d’aplicació) del model OSI 3 actuen d’intermediaris en les connexions (proxy), interceptant peticions i respostes dels usuaris cap a internet. Evita connexions directes i transferències entre usuaris i Internet, als “atacants” els hi és difícil saber la xarxa origen. afecta negativament el rendiment, ja que cada paquet ha de ser examinat i processat. Circuit-level gateways firewalls Considerats firewalls de 2ª generació modificació del concepte de application-level gateway Firewall Operen a la capa 5 (capa de sessió) del model OSI Monitoritza les sessions TCP/IP Gestiona els circuits, no el contingut del tràfic. Permeten/rebutgen reenviament basant-se en els elements extrems dels circuits (direcció origen i destí i nº de port del servei) Stateful inspection firewalls Coneguts com a firewalls de 3ª generació Operen a la capa de Xarxa i de transport (capa 3 i 4) del model OSI Mantenen registre de l’estat de les connexions, com els fluxos TCP o UDP en memòria. Monitoritzen tota l’activitat des de l’apertura d’una connexió fins que es tanca Avaluen l’estat del context del tràfic de xarxa, examinant: origen i destí de les adreces IP, ports i protocols, números de seqüència dels paquets i relació entre els paquets actuals i els previs en la sessió Next-Generation Firewalls (NGFW) Firewalls evolucionats Operen a la capa de xarxa, transport i aplicació dispositiu multifunció amb diverses funcions de seguretat, a més de Firewall. Pot incloure components de: o IDS (Intrusion Detection System) o IPS (Intrusion Prevention Sytem) o TLS/SSL Proxy o Inspecció de tràfic SSL o SandBox (entorn aïllat on es pot executar programes i fitxers compromesos sense risc) o Filtratge web / url, a nivell d’aplicació i per usuari o Gestió de QoS (Quality of Service) o VPN, NAT o Antivirus, Antibots, etc... Segons la classificació també hi ha aquest dos firewalls: UTM (Unified threat management): Firewall d’administració unificada d’amenaces. Combina les funcions d’un Firewall tradicional (stateful) amb la prevenció d’intrusions i antivirus. Són simples i fàcils d’ús. Típiques per pymes. WAF: Web Application Firewall. o Funció ppal: controlar les connexions entrants abans de consumir els recursos web. o Inspecciona el tràfic HTTP per protegir les apps web contra atacs d'injecció SQL, XSS i CSRF (T64) 4 o permet mode proxy invers: el tràfic del client s’envia al WAF, que a la vegada l'envia filtrat a les apps web. 1.1.1 Topologies de Firewalls Es situa al mig, entre Internet i el segment de xarxa interna. Bastion-Host El FW posseeix almenys 3 interfícies de comunicació, per aïllar Internet, xarxes protegides i DMZ o zona desmilitaritzada. Topologia de subxarxa amb classificació (screened subnet) Arquitectura composta per diverses connexions per segmentar xarxes. Solen treballar amb dos equips, incrementant la seguretat de l'entorn, ja que la caiguda d'un d'ells no permet l'accés a les xarxes protegides. Topologia Multi-homed (o dual Firewall) 2.2 DMZ (Zona desmilitaritzada) Red aislada que se encuentra dentro de la red interna de la organización. En ella se encuentran ubicados exclusivamente los recursos de la empresa que deben ser accesibles desde Internet (servidor web o de correo). DMZ permite las conexiones a Internet y a la red local, pero las conexiones que van desde la DMZ a la red local no están permitidas. Si un ciberdelincuente comprometiera un servidor de la zona desmilitarizada, tendría complicado acceder a la red local, ya que las conexiones de la DMZ están bloqueadas. 2.2.1 Configuració bàsica de un firewall con DMZ Para configurar una zona desmilitarizada en la red de la organización (LAN), se necesita un cortafuegos o firewall, que segmentar la red permitiendo o denegando conexiones. El firewall permitiría todas las conexiones excepto las de Internet hacia la LAN y las de la zona DMZ a la LAN. Si se quiere aumentar más la seguridad de la red interna proveniente de la DMZ, se 5 pueden ubicar dos firewall. 2.3 Sistemes de xifratge S'usen algoritmes criptogràfics per proporcionar serveis de xarxa segurs. Hi ha 2 tipus de tècniques de xifrat per protegir les dades que viatgen per les xarxes: Xifratge d’enllaços protegeix els circuits de comunicacions sencers creant un túnel segur entre dos punts (VPN) mitjançant una solució amb hardware o software que xifra el tràfic que entra en un extrem i desxifra el tràfic que entra a l’altre extrem del túnel. Xifratge extrem a extrem protegeix les comunicacions entre dues parts (ex: entre client i servidor), independentment del xifratge d'enllaços. Ex: ús de TLS (Transport Layer Security, predecessor del SSL) per protegir les comunicacions entre un usuari i un servidor web o de Secure Shell (SSH) Secure Shell (SSH): protocol que permet als equips establir una connexió segura, de manera que un client (usuari o equip) pot obrir una sessió interactiva en una màquina remota (servidor) per enviar ordres/fitxers per canal segur. 2.3.1 Criptografia i Sistemes d’autenticació T 27 Serveis d’autenticació electrònica i T65 Criptografia 2.3.2 IPSec IPSecurity (IPSec): arquitectura o conjunt de funcionalitats que ofereix serveis de seguretat per a les xarxes, configurant un canal segur per intercanviar informació entre dues entitats. Hi ha 2 modes bàsics d’operació: Mode Transport: o S’utilitza per comunicacions host-to-host o Només xifren o autentiquen les dades del paquet transferit (No es xifra la capçalera IP) o Las capes de transport i aplicació estan assegurades per un hash Mode Túnel: o S’utilitza per crear xarxes privades virtuals (VPNs) o Tot el paquet IP (dades + capçaleres del missatge) es xifra o s’autentica IPsec és un conjunt de funcions (ex. per autenticació i encriptació) i permet utilitzar varies opcions diferents de protocols segons VPNs. Es basa en associacions de seguretat i hi ha 2 components ppals: Authentication Header (AH): proporciona integritat, autenticació i no repudi amb els algoritmes criptogràfics apropiats Encapsulating Security Payload (ESP): proporciona confidencialitat i integritat dels continguts dels paquets. Proporciona xifratge i autenticació limitada. Comparació d’algoritmes d’encriptació (xifrat simètric) per una VPN: Algoritmes de xifrat Longitud dela Comentaris clau (bits) Estàndard de xifrat de dades (DES) 56 Més antic i menys segur Triple DES (3DES) 56 x 3 Aplica 3 claus DES de 56 bits en successió millorant la potencia d’encriptació del DES 6 Estàndard avançat de xifrat (AES) 128 i 256 El millor actualment. Ofereix encriptació forta i menys exigències de càlcul que 3DES Opcions d’autenticació i de comprovació de la integritat en missatges IPSec: Funció Mètode Descripció Integritat del missatge HMAC-MD5 HMAC-MD5 usa clau compartida de 128 bits, i genera un valor dispers de 128 bits. Integritat del missatge HMAC-SHA Algoritme de dispersió segura HMAC que defineix diferents mides de la clau (p.ex. SHA-1 , SHA-256 i SHA-512) per admetre diferents mides de claus d’encriptació Autenticació Claus Els 2 dispositius VPN han de configurar-se prèviament amb precompartides la mateixa clau secreta Autenticació Firmes digitals L’emissor encripta amb la seva clau privada. El receptor RSA desencripta amb la clau pública del emissor i ho compara (asimètriques) amb el valor que ha posat l’emissor a la capçalera. 2.3.3 VPNs Tecnologia que garanteix confidencialitat i integritat a través d’una xarxa no fiable (Internet) de forma que els ordinadors es poden comportar com si estiguessin connectats directament a la xarxa corporativa. Característiques de seguretat de xarxes VPN: - Autenticació i Autorització d'usuaris. - Auditoria i registre d'activitats. - Integritat (mitjançant hash). - Confidencialitat i privacitat (amb xifrat). - Control d'accés (usuaris autenticats tenen accés nomes a les dades autoritzades). Trobem 2 mecanismes d’implementació d'VPNs: VPN site-to-site o Lan-to-Lan: proporciona infraestructura WAN basada en Internet per connectar oficines remotes o algunes xarxes de la corporació mantenint comunicació segura i privada entre elles. Els hosts envien i reben el tràfic a traves d’un gateway de VPNs (dispositiu de terminació de VPNs) que encapsula i xifra el tràfic, enviar-lo a traves d’un túnel cap al gateway remot. Una VPN d'accés remot: proporciona comunicacions segures a dispositius (portàtils, tables, smartphones) per accedir de forma remota a xarxes i aplicacions corporatives des de fora de la pròpia xarxa. Els dispositius poden establir VPN d'accés remot utilitzant software de client VPN (que s’ha 7 d’instal·lar i configurar a cada dispositiu) o utilitzant un navegador web habilitat per SSL/TLS (ara tots els navegadors web ja venen amb SSL/TLS integrat). Aquest dos tipus de VPN normalment es despleguen/configuren en routers o en firewalls. 2.3.3.1 VPN SSL Tipus d'VPN que utilitza el protocol Secure Sockets Layer (SSL) en els navegadors web per proporcionar una connexió remota VPN segura. Com SSL es desaconsella i s'ha estat substituït per TLS, les VPN SSL que s’executen en els navegadors ja utilitzen TLS per xifrar i autenticar les dades transmeses. el protocol SSL s'utilitza entre la capa d'aplicació i la capa de transport del model OSI. Ús: junt amb el protocol HTTP, donant lloc al HTTPS o versió segura d'HTTP. Permet als dispositius connectats a Internet establir una connexió VPN d’accés remot segur amb un navegador web (les empreses l’utilitzen per permetre als usuaris remots accedir amb seguretat als recursos web organitzatius). Son fàcils d’implementar. No necessiten instal·lació software client Funciona via un portal VPN que permet la connexió als llocs webs remots. Els usuaris han d’autenticar- se amb certificat, usuari/password o amb doble factor d’autenticació. Per implementar una VPN SSL es pot utilitzar: o Hardware dedicat o virtual que s’utilitzi com a servidor VPN SSL o Un NGFW o un UTM amb la funcionalitat concreta Ex VPN a l’ajuntament: quan fem servir el recurs https://vssl.bcn.cat 2.3.3.2 Avantatges i Inconvenients VPN en vers línies dedicades Avantatges: Seguretat: és possible assegurar diversos serveis amb aquest mecanisme. Mobilitat: tenim una connexió segura entre usuaris mòbils i la nostra xarxa fixa Transparència: permet la interconnexió d’ordenadors i de xarxes, de forma transparent al usuari. Simplicitat: l’equip es vist per tota la xarxa, incloent servidors, simplificant l’administració d’equips remots. Estalvi econòmic: trànsit segur de paquets per xarxes públiques té un cost menor que la xarxa dedicada Inconvenients: Fiabilitat: la dependència del proveïdor de xarxa (ISP) pot produir fallades en la xarxa deixant incomunicats recursos de la VPN. Confiança: si la seguretat d’un node o subxarxa que forma part d’una VPN queda compromesa es veurà afectada la seguretat de tots els components de la xarxa. 2.3.3.3 Tipus de connexió remota de l'Ajuntament PULSE: S’utilitza per establir una connexió segura (VPN) amb la xarxa corporativa des d’un portàtil corporatiu. Una vegada connectat (usuari i contrasenya), a tots els efectes l’estació disposa d’accés a la xarxa corporativa i pot fer servir pràcticament tots els serveis que ja té instal·lats al portàtil. PULSE Cert: Pulse per proveïdors, és a dir, per portàtils no corporatius amb un certificat de confiança. VSSL: Servei alternatiu que funciona sobre la plataforma Pulse. Facilita l’accés a una aplicació o servei corporatiu des de qualsevol navegador web extern (VPN SSL). POVI: S’utilitza per recrear l’entorn de treball de l’usuari en un ordinador personal no corporatiu (estació de treball virtualitzada, no s'executa en el teu dispositiu es treballa en el servidor). L’usuari per connectar-se requereix de les seves credencials , el certificat arrel de l'IMI (s'instal·len 2 certificats al dispositiu) i actualment doble factor d'autenticació amb Google Authenticator. Amb la povi es disposa 8 d’una rèplica de tots els programes que usa a la seva estació corporativa, sense pràcticament canvis, inclòs l’escriptori. Remote APP: Servei alternatiu que funciona sobre plataforma POVI. S’utilitza per facilitar l’accés a una aplicació o servei, lleugera (perquè si és de carga elevada, val més obrir una POVI directament, que crear una nova virtualització complexa), des de qualsevol estació personal no corporativa. Aquest accés està securitzat mitjançant certificat digital, com la POVI. GET Acces: Accés amb autenticació (usuari i contrasenya) per aplicacions publicades a Internet, com a mesura de seguretat extra. 2.4 Antivirics Tema 64 – Riscos i males pràctiques. Sistemes de protecció. El programes d’antivirus o anti-malware són programes informàtics per prevenir, detectar i eliminar malware o proporcionar protecció contra altres amenaces, en concret (qualsevol malware del tema 64): Segrestadors de navegador, Ransomware, Keyloggers , Backdoor, Rootkits, Cavalls de troia, Cucs, Dialers, Adware i spyware. Alguns productes també inclouen protecció d’altres amenaces com: URL infectades i malicioses, SPAM, Atacs d’estafa, Tècniques d’enginyeria social, Atacs avançats d’amenaça persistent (APT) i Botnets i atacs DDos. Mètodes d’identificació No hi ha cap algoritme que pugui detectar bé tots els virus possibles, per tant, utilitzant diferents capes de defensa es pot aconseguir una bona taxa de detecció. Hi ha diferents mètodes de detecció: Sandbox: executa els programes en un entorn virtual aïllat. Depenent les accions registrades que realitza el programa, el motor antivirus determinar si és maliciós o no. Tècnica de mineria de dades: malware modern. Els algoritmes de mineria de dades i aprenentatge automàtic s’utilitzen per intentar classificar el comportament d’un fitxer (com a maliciós o benigne). Detecció basada en la signatura: una cop ratificat que és malware, s’extreu una signatura del fitxer i s’afegeix a la bbdd de signatures dels programes antivirus. Els virus oligomòrfics, polimòrfics i metamòrfics, com es modifiquen, fa que les seves signatures no coincideixin amb les del diccionari. Heurístics: mètode proactiu, analitzar el comportament de la possible infecció per saber si és perillós o no. Pot emetre més falsos positius i incidir en el rendiment de l’equip que el basat en signatura. Els programes d’antivirus normalment s’executen en els endpoints (estacions de treball d’una organització) per protegir contra el malware. Les organitzacions també utilitzen altres solucions com els UTM, els antivirus al núvol, els escàners en línia, els EPP. EPP (Endpoint Protection Platform): solucions integrals per evitar que els endpoints s’infectin per codi maliciós. Unifiquen diverses funcions, com: Antivirus / Antimalware Firewall personal Protecció de dades / xifrat de dades Avaluació de vulnerabilitats Filtrat de URLs 9 3 SOLUCIONS DE MERCAT 3.1 Sistemes de Firewall fabricants líders segons Gartner al 2018 pels 2 tipus de FW més rellevants: els NGFW i els WAFs 3.1.1 NGFW (New Firewall Generation) Aquests fabricants inclouen funcionalitats avançades per protegir als clients d’amenaces emergents. Els 3 líders a octubre de 2020 van ser: Palo Alto Networks, Fortinet i Check Point 3.1.2 WAF (Web App Firewall) Ppals diferencies WAFs: relacionades amb interfícies d’usuari, opcions d’implementació o requisits per entorns específics. En aquest cas, enumerarem els fabricants líders i els challengers: Imperva: disposa de solució hardware i en cloud Akamai: solució basada en cloud F5: disposa de solució hardware i en cloud Fortinet Cloudfare: solució basada en cloud Barracuda 3.2 Sistemes de xifratge Productes que proporcionin desplegament d'VPNs en l’entorn empresarial (propietaris i open source). 3.2.1 Solucions propietàries Fabricant Cisco (Producte Anyconnect) Fabricant Fortinet (Producte Forticlient) Fabricant Citrix (Producte Netscaler Unified Gateway) Fabricant Pulse Secure (2 solucions de l’Aj per donar servei de VPN) o Producte Pulse Client (client VPN) o Producte Pulse Connect Secure (VPN SSL) 3.2.2 Solucions open source OpenVPN (per usuaris Windows, Linux, iOS i MacOS) Openswan: implementació de IPsec per Linux Openconnect (Linux) 3.3 Sistemes Antivíric Gartner va definir al 2018 un EPP com solució desplegada en els endpoints per: Prevenir de malware basat en fitxers Detectar i bloquejar activitat maliciosa de les aplicacions de confiança i no confiables Proporcionar capacitats d’investigació i reparació per respondre a incidències i alertes de seguretat. Tal i com es pot veure a la imatge, segons Gartner els líders al 2021 de solucions EPP van ser: Microsoft CrowdStrike Trendmicro SentinelOne 10 McAfee Sophos 4 Preguntes 4.1 Examen 2019 4.1.1 Cas pràctic 3 21. Es planteja la necessitat de facilitar una VPN d’accés remot a determinats treballadors/es municipals, de manera que es pugui accedir al seu entorn de treball des de fora de la Xarxa Corporativa. Quin d’aquests protocols no és un protocol de Xarxa Privada Virtual (VPN)? A. Internet Prevention Security (IPS). B. Secure Sockets Layer (SSL). C. IP-Security (IPSec). D. Open Source Virtual Private Network (OpenVPN). 22. En la construcció del punt d’interconnexió a internet està prevista la instal·lació de servidors web que proporcionin informació municipal als ciutadans i facilitin la realització de tràmits. És per això, que s’ha considerat la creació d’una zona desmilitaritzada (DMZ), que té com a característiques principals: (Assenyala dues respostes) A. Es tracta d’una xarxa perimetral que s’ubica entre la intranet i la internet. B. Les connexions a la DMZ estan permeses tant des de la internet com des de la intranet i es controlen i supervisen mitjançant firewalls. C. Els servidors webs s’instal·len en una xarxa a continuació de la DMZ, quedant d’aquesta manera protegits de possibles atacs per part de tercers. D. L’accés a la DMZ des de la intranet queda protegit via tècniques de tunelització. 4.2 Altres 1. La definició de “Element de seguretat perimetral hardware o software utilitzat en una xarxa per controlar les comunicacions, permetent-les o denegant-les segons les polítiques de seguretat que hagi definit la organització” correspon a: a) NAC (Network Acces Control: tecnología que permite controlar de forma muy granular qué dispositivos pueden acceder a la red, permitiendo establecer políticas de gestión de los dispositivos, tanto fijos como móviles) b) DMZ c) Firewall d) Switch 2. Quina de les següents opcions és un dispositiu o una funció on la seva característica més notable és xifrar els paquets abans de que surtin a Internet? a) VPN b) Firewall c) IDS (sistema de detecció d'intrusos) 11 d) NAC 3. Quin element de la zona perimetral d’administració unificada acostuma a combinar de forma flexible les funcions d’un FW stateful, prevenció d’intrusions i antivirus? a) NGFW b) PROXY c) UTM d) VPN 4. Quina de les següents es considera el millor protocol d’encriptació per proporcionar privacitat en una VPN IPsec en comparació amb les altres respostes? a) AES b) HMAC-MD5 c) HMAC-SHA1 d) 3DES 5. Quina frase descriu millor una VPN? a) La tecnologia de VPN securitza les comunicacions a traves d’una xarxa confiable b) Tecnologia utilitzada per securitzar comunicacions a traves d’una xarxa no fiable c) Les VPNs es pleguen millor en el mòbils i en dispositius BYOD d) Les VPNs son xarxes lògiques que depenen de l’arquitectura física 6. Una xarxa privada situada entre la LAN i la zona de risc, on s’ubiquen els dispositius que han de ser accessibles des de Internet, correspon a la definició de: a) Multitier b) WAN c) DMZ d) MTZ 7. Quina de les següents afirmacions relatives als stateful inspection firewalls NO és correcta? a) Operen a la capa de xarxa i de transport del model OSI b) Mantenen un registre de l’estat de les connexions, com els fluxes TCP o UDP en memòria c) No poden determinar si un paquet forma part o no d’una sessió existent d) Monitoritzen tota l’activitat des de l’apertura d’una connexió fins que es tanca 8. Quina de les següents afirmacions relatives als Web Aplication Firewalls és correcta? a) La seva principal funció és controlar les connexions entrants abans de consumir els recursos web b) Inspecciona el tràfic HTTP per protegir les aplicacions web contra atacs tipus injecció SQL, XSS i CSRF c) Els fabricants Imperva i Akamai ofereixen solucions de WAF d) Totes les anteriors són correctes 9. Quin dels següents NO correspon a un mètode de detecció de malware? a) Sandbox b) Mineria de dades c) Signatura (detecció basada en signatura) d) DDoS 10. Quina de les següents afirmacions és CORRECTA? 12 a) Fortinet és un fabricant de NGFW b) Pulse Secure proveeix solucions de VPN opensource c) Trendmicro no proporciona solucions de EPP d) Totes les anteriors son incorrectes 1) No és un tipus de Firewall: a) Packet filtering FW b) Circuit-level Gateway c) Next Generation IntSec d) Stateful Inspection FW 2) Un WAF (Web Application Firewall): a) Pot actuar com un Firewall de xarxa b) No por evitar atacs derivats de defectes de seguretat de les aplicacions web, com ara la Injecció SQL o Cross-Site Scripting (XSS) c) És un tipus de Next Generation Firewall d) Analitza el tràfic HTTP cap a i des d’una aplicació web 3) Considerant el model OSI, el protocol SSL es situa: a) A la capa física b) Entre la capa de xarxa i transport c) Entre la capa de transport i d’aplicació d) A la capa d’enllaç 4) Quina d’aquestes característiques de seguretat no correspon a les xarxes VPN? a) Integritat b) Control d’accés c) Publicitat d) Autorització i autenticació d’usuaris 5) Respecte els diferents tipus de VPN, podem afirmar que: a) El tipus “accés remot” és una connexió estàtica on ambdós extrems coneixen amb anterioritat la configuració VPN. b) El tipus “LAN-to-LAN” (o Site-to-Site) és un túnel IP però que no inclou el xifrat de les dades. c) En un “Accés remot” tot el tràfic és enrutat mitjançant un gateway o concentrador VPN. d) L’accés remot VPN via SSL/TLS es basa en una connexió on el navegador web funciona com a client. 6) És fals que el xifratge de les dades pretén garantir les següents propietats: a) Repudi b) Confidencialitat c) Integritat d) Autenticació 7) No és un mecanisme que fan servir els antivirus per detectar virus: a) Detecció per signatura digital b) Detecció per parentiu c) Detecció heurística d) Detecció per sandboxing. 8) En referència a les opinions de Gartner sobre les solucions de mercat dels Firewalls, afirmen que: a) Els fabricants ofereixen una millor aplicació de polítiques i una major protecció amb l'ús de sandboxing. b) El FW és un element dispensable per a la ciberseguretat. 13 c) Recentment, tot i que les solucions ofereixen millor aplicació de polítiques, la protecció que proveeixen s’ha vist estancada. d) Per a finals del 2020 les versions virtualitzades del Firewall arribaran al 50% del mercat en lloc del 10% actual. 14
