ELECTIVA I Seguridad en Redes. Cuestionario Final.

CAP 2: Cifrado simtrico y confidencialidad de mensajes 1-Cules son los componentes esenciales de un cifrador simtrico? -Texto claro: datos originales, entrada del algoritmo. -Algoritmo de cifrado: realiza varias sustituciones y transformaciones en el texto claro. -Clave secreta: entrada del algoritmo, las sustituciones y transformaciones realizadas por el algoritmo dependen de ella. -Texto cifrado: mensaje ilegible que se produce como salida. Depende del texto claro y de la clave secreta. Para un mensaje, 2 claves diferentes producen 2 textos diferentes. -Algoritmo de descifrado: algoritmo de cifrado ejecutado a la inversa. 2- Cules son las dos funciones bsicas usadas en los algoritmos de cifrado? -Sustitucin: cada elemento del texto claro se sustituye por otro diferente. -Transposicin: los elementos del texto claro se reordenan. Lo fundamental es que no se pierda informacin (todas las operaciones deben ser reversibles). 3-Cuntas claves se necesitan para que dos personas se comuniquen usando un cifrador simtrico? Tanto emisor como receptor utilizan la misma clave (clave nica/convencional). 4-Cul es la diferencia entre un cifrador de bloque y un cifrador de flujo? -Cifrador de bloque: procesa la entrada de texto claro en bloques de tamao fijo y genera un bloque de texto cifrado del mismo tamao para cada texto claro. -Cifrador de flujo: elimina la necesidad de completar el ltimo bloque de un mensaje para que tenga la longitud requerida. 5- Cules son los dos enfoques generales para atacar a un cifrador? Segn la actitud del atacante Los ataques se pueden clasificar segn la forma de actuar del atacante Ataques pasivos En los ataques pasivos el atacante no altera la comunicacin, slo la escucha o monitoriza, para obtener informacin. Por tanto este tipo de ataques suelen usar tcnicas de escucha de paquetes (sniffing) y de anlisis de trfico. Son difciles de detectar ya que no implican alteracin de los datos. En algunos casos este tipo de ataques se pueden dificultar cifrando la informacin posible objetivo de escuchas. Ataques activos Suponen alguna modificacin del flujo de datos o la creacin de flujos falsos. Hay muchas tcnicas que se usan en este tipo de ataques. Ejemplos: 1. Suplantacin 2. Modificacin de mensajes: Capturar paquetes para luego ser borrados (dropping attacks), manipulados, modificados (tagging attack) o reordenados 3. Reactuacin: Captura de paquetes y retransmisiones 4. Degradacin: Tcnicas para que el servicio se degrade Segn el conocimiento previo

Ataque con slo texto cifrado disponible: el criptoanalista slo tiene acceso a una coleccin de textos cifrados o codificados. Ataque con texto plano conocido: el atacante tiene un conjunto de textos cifrados de los que conoce el correspondiente texto plano o descifrado. Ataque con texto plano escogido (ataque con texto cifrado elegido): el atacante puede obtener los

textos cifrados (planos) correspondientes a un conjunto arbitrario de textos planos (cifrados) de su propia eleccin.

Ataque adaptativo de texto plano escogido: como un ataque de texto plano escogido, pero el atacante puede elegir textos planos subsiguientes basndose en la informacin obtenida de los descifrados anteriormente. Ataque de clave relacionada: como un ataque de texto plano escogido, pero el atacante puede obtener texto cifrado utilizando dos claves diferentes. Las claves son desconocidas, pero la relacin entre ambas es conocida; por ejemplo, dos claves que difieren en un bit.

6-Por qu algunos modos de operacin de cifrado de bloque usan solamente cifrado, mientras otros utilizan tanto cifrado como descifrado? 7-Qu es triple cifrado? Es un algoritmo que cifra 3 veces utilizando 3 claves. (?) 3DES usa 3 claves y 3 ejecuciones del algoritmo DES (cifrar-descifrar-cifrar) 8-Por qu la parte intermedia del 3DES es un descifrado en vez de un cifrado? Para poder permitir a usuarios del 3DES descifrar datos cifrados por usuarios del DES. 9-Cul es la diferencia entre cifrado de enlace y cifrado extremo a extremo? -Cifrado de enlace: cada enlace de comunicaciones vulnerables es equipado con un dispositivo de cifrado en ambos extremos. Todo el trfico sobre los enlaces de comunicaciones es seguro. El mensaje debe descifrarse cada vez que introduce un conmutador de paquetes para leer la direccin de la ruta. (vulnerable en cada conmutador) -Cifrado extremo a extremo: el proceso se realiza en los dos sistemas finales. El host fuente cifra los datos (solo la porcin del dato, dejando la cabecera en claro) y se transmite hasta el host destino sin ser alterados. El destino y fuente comparten una clave. De esta forma los datos estn seguros pero el patrn de trfico no. 10-Formas en que se pueden distribuir las claves secretas a dos participantes en una comunicacin -Una clave podra ser elegida por A y entregada fsicamente a B. -Una tercera parte podra elegir la clave y entregarla fsicamente a A y a B. -Si con anterioridad ay B han estado usando una clave, una parte podra transmitir la nueva clave a la otra cifrada usando la antigua. -Si a y B disponen de una conexin cifrada a una tercera parte C, c podra distribuir mediante los enlaces cifrados una clave a A y a B. 11-En qu se diferencian la clave de sesin y la clave maestra? -Clave de sesin: clave (para cifrar datos) valida durante una conexin lgica. Al finalizar la conexin, la clave es destruida. -Clave maestra: clave usada entre entidades con el propsito de distribuir claves de sesin. 12-Qu es un centro de distribucin de claves? El centro de distribucin de claves determina a que sistemas se les permite comunicarse entre si. Cuando se obtiene permiso para que dos sistemas establezcan una conexin, el KDC proporciona una clave de sesin valida solamente para esa conexin. CAP3: Criptografa de clave pblica y autenticacin de mensajes. 1-Menciona 3 enfoques para la autenticacin de mensajes. -Autenticacin mediante cifrado convencional -Autenticacin de mensajes sin cifrado -Cdigo de autenticacin de mensajes 2-Qu es un cdigo de autenticacin de mensaje? MAC (Message autentication code) Un bloque de datos pequeo, generado por una clave secreta, que se aade al mensaje que se desea enviar. Ambas partes tienen una clave secreta comn KAB, cuando A desea enviar un mensaje a B, calcula el MAC como una funcin del mensaje y la clave MACM = F(KAB, M), el mensaje y el cdigo se transmiten a B, quien realiza los mismos clculos con el mensaje recibido, usando la misma clave para generar un nuevo MAC y compararlo con el MAC recibido. 3-Qu propiedades debe cumplir una funcin hash para qu sea til a la autenticacin de mensajes?

- H puede aplicarse a un bloque de datos de cualquier tamao -H produce una salida de tamao fijo -H(x) es relativamente fcil de computar para cualquier x dado -Para cualquier valor h dado, es imposible desde el punto de vista computacional encontrar x tal que H(x) = h, lo cual se conoce como propiedad unidireccional -Para cualquier bloque dado x, es imposible desde el punto de vista computacional encontrar y <> x con H(y) = H(x), lo que se conoce como resistencia dbil a la colisin. -Es imposible desde el punto de vista computacional encontrar un par (x, y) tal que H(x)=H(y) lo que se conoce como resistencia fuerte a la colisin. 4-En el contexto de las funciones hash, qu es una funcin de compresin? Una funcin hash comprime datos si puede mapear un dominio con datos de longitud muy grande a datos con longitud ms pequea 5-Cules son los componentes principales de un criptosistema de clave pblica? -Texto claro: -Algoritmo de cifrado: -Calve pblica y privada: -Texto cifrado: -Algoritmo de descifrado: 6-Tres usos de un criptosistema de clave pblica. Cifrado/descifrado: el emisor cifra un mensaje con la clave pblica del receptor. Firma digital: el emisor firma un mensaje con su clave privada Intercambio de claves: dos partes cooperan para intercambiar una clave de sesin. 7-Cul es la diferencia entre una clave privada y una clave secreta? -Clave secreta: es la clave utilizada en el cifrado convencional. -Clave privada: es la clave que se mantiene en secreto de las claves empleadas en el cifrado asimtrico o de clave pblica. 8-Qu es una firma digital? Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje est encriptado, es decir, que este no pueda ser ledo por otras personas. El procedimiento utilizado para firmar digitalmente un mensaje es el siguiente: el firmante genera mediante una funcin matemtica una huella digital del mensaje. Esta huella digital se encripta con la clave privada del firmante, y el resultado es lo que se denomina firma digital la cual se enviar adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al documento una marca que es nica para ese documento y que slo l es capaz de producir. El receptor del mensaje podr comprobar que el mensaje no fue modificado desde su creacin y que el firmante es quin dice serlo a travs del siguiente procedimiento: en primer trmino generar la huella digital del mensaje recibido, luego desencriptar la firma digital del mensaje utilizando la clave pblica del firmante y obtendr de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo. 9-Qu es un certificado de clave pblica? Un certificado consiste en una clave pblica y un identificador del dueo de la clave, con todo el bloque firmado por una tercera parte confiable (comnmente es la autoridad de certificacin, en la que confa la comunidad de usuarios). 10-Cmo se puede usar el cifrado de clave pblica para distribuir una clave secreta? Cuando A quiere comunicarse con B, realiza lo siguiente: 1-Preparar un mensaje 2-cifrar el mensaje usando cifrado convencional con una clave de sesin convencional. 3-Cifrar la clave de sesin utilizando el cifrado de clave pblica con la clave pblica de B. 4-Aadir la clave de sesin cifrada al mensaje y enviarlo a B. Slo B puede decifrar la clave s

CAP 4: Aplicaciones de autentificacin. 1) Kerberos se diseo para resolver un problemacul?. Restringir accesos a usuarios no autorizados y autentificar solicitudes de servicios en ambientes distribuidos. 2) Cuales son las tres amenazas asociadas a la autentificacin de usuario en un ared o en Internet? Un usuario podra obtener acceso a una estacin de trabajo concreta y fingir ser otro usuario que opera desde esa estacion de trabajo. Un usuario podra alterar la direccin de red de una estacion de trabajo para que las solicitudes enviadas desde dicha estacion parezcan proceder de la estacion que ha sido suplantada. Un usuario podra realizar escsuchas en intercambios y usar un ataque de repeticion para conseguir entrar en un servidor o interrumpir las operaciones. 3) Enumera los tres enfoques que aseguran la autentificacion de usuario en un entorno distribuido. -Autenticar slo el usuario. -Autenticar slo el cliente. -Autenticar clientea y servidor. 4) Que cuatro requisitos se definieron para Kerberos? -Seguridad: Kerberos deberia ser lo suficientemente robusto par aque un posible oponente no lo considere un punto dbil. -Fiabilidad: Debera ser muy fiable y emplear una arquitectura de servidores distribuida en la que un sistema pudiera disponer de copias de otro. -Transparencia: Es preferible que el usuario no sea consciente de que est teniendo lugar la autentificacin. -Escalabilidad: El sistema debera poder dar cabida a un gran nmero de clientes y servgidores, lo cual sugiere una arquitectura distribuida modular. 5) Que entidades constituyen un entorno de servicio completo de Kerberos? -Cliente/Usuario -Servidor de autentificacion (AS) -Servudor que concede tickets (TGS) -Servidor de servicio. 6) En el contexto de Kerberos. Que es un dominio?. Es un entorno de Kerberos con todo tipo de srevicios formado por un servidor Kerberos, una serie de clientes y un grupo de servidores de aplicaciones. Las redes de clientes y servidores pertenecientes a diferentes organizaciones administrativas constituyen distintos dominios. 7) Cuales son las diferencias principales entra la version 4 y la version 5 de Kerberos? Deficiencias de entorno. -Dependencia del sistema de cifrado: La version 4 usa DES. En la version 5, al texto cifrado se le aade un identificador del tipo de cifrado para que pueda usarse cualquier tcnica de cifrado. -Dependencia del protocolo de Internet: La version 4 requiere el uso de direcciones IP. En la version 5 las direcciones de red estan marcadas con tipo y longitud, permitiendo el uso de cualquier tipo de direccin. -Ordenacion de bytes del mensaje: En la version 4 el emisor del mensaje emplea un orden de bytes de su eleccin (no estandarizado). En la version 5, todas las estructuras de mensaje se definen usando ASN.1 (Abstract Syntax Notation One) y B.E.R. (Basic Encoding Rules), que proporcionan una ordenacion de bytes sin ambigedad. -Tiempo de vida del ticket: En la version 4 los valores se codifican en cantidades de 8 bits en unidades de 5 minutos. En la version 5, los tickets incluyen una fecha explicita de comienzo y de fin, permitiendo tiempos de vida arbitrarios. -Envio de autentificacion: La version 4 no permite que las cerdenciales emitidas a un cliente sean enviadas a otro host y usadas por otro cliente.

La version 5 s permite que un cliente tenga acceso a un servidor y que ese servidor tenga acceso a otro servidor en nombre del cliente. -Autentificacion entre dominios: En la version 4, la interoperatibilidad entre N dominios necesita del orden N^2 relaciones Kerberos a Kerberos. En la version 5 se requieren menos relaciones. Deficiencias tcnicas: -Cifrado doble. -Cifrado PCBC: el cifrado en la version 4 utiliza un modo no estandar del DES conocido como PCBC (Propagating Cipher Block Chaining). La version 5 proporciona mecanismos explicitos de integridad, permitiendo el uso del modo estndar CBC para el cifrado. -Claves de sesin: En la version 5 es posible que un cliente y un servidor negocien una clave de subsesin, que ha de usarse slo para esa conexin. -Ataques de contrasea: La version 5 ofrece un mecanismo conocido como preautentificacion, que deberia dificultar los ataques de contrasea, aunque no los evita. 8) Cual es la finalidad del estndar X.509? El estandar X.509 define un servicio de directorios. El directorio es un servidor o un grupo distribuido de servidor4es que mantiene una base de datos con informacin sobre los usuarios. Puede serviro como deposito de certificados de clave publica. Cada certificado contiene la clave publica de un usuario y esta firmado con la clave privada de una autoridad de certificacion confiable. 9) Que es una cadena de certificados? La base del esquema X.509 es el certificado de clave publica asociado a cada usuario. Estos certificados los crea alguna autoridad de certificacion confiable (AC), y dicha autoridad o los usuarios lo colocan en el directorio. Un certificado consta de los siguientes elementos: -Version -Numero de serie -Identificador del algoritmo de la firma -Nombre del emisor del certificado -Periodo de validez -Nombre del sujeto -Informacion de la clave publica del sujeto -Identificador unico del emisor del certificado -Identificador unico del sujeto -Extensiones -Firma 10) Como se revoca un certificado X.509? Cada CA mantiene una lista de certificados emitidos por ella que han sido revocados. Cada lista de revocacion de certificados agregada al directorio es firmada por el emisor del certificado e incluye el nombre del emisor, la fecha de creacion de la lista, la fecha en que se va a emitir la nueva lista y una entrada para cada certificado revocado. Cuando un usuario recibe un certificado en un mensaje debe determinar si este ha sido revocado comprobando el directorio o manteniendo una cach local de certificados y listas de certificados revocados.

Capitulo 5: Seguridad en el correo electrnico.

1) Cuales son los 5 servicios principales que ofrece PGP? - Autenticacin - Confidencialidad - Compresin - Compatibilidad con correo electrnico - Segmentacin 2) Cual es la utilidad de una firma separada? -Mantener un log con todas las firmas separadas de todos los mensajes enviados y recibidos. -La firma separada en un prog. Ejecutable puede detectar un virus. -Cuando mas de una parte deben firmar un documento (ej. contrato legal) 3) Por qu PGP genera una firma antes de aplicar la compresion? La firma se genera antes de la compresin debido a dos razones fundamentales: - Es preferible firmar un mensaje descomprimido para poder almacenar solamente el mensaje descomprimido junto con la firma para su verificacin posterior. Si se firma un documento comprimido, sera necesario almacenar una versin comprimida del mensaje para su posterior verificacin o volver a comprimir el mensaje cuando se requiera verificacin. - Incluso si se estuviese dispuesto a generar de forma dinmica un mensaje que se ha vuelto a comprimir para su verificacin, el algoritmo de compresin del PGP presenta una dificultad. El algoritmo no es determinista: distintas implementaciones del algoritmo producen distintas formas comprimidas. Sin embargo, los distintos algoritmos de compresin pueden operar entre s, ya que cualquier versin del algoritmo puede descomprimir correctamente la salida de cualquier otra versin. 4) Que es la conversin R64? Es una tcnica de codificacin que convierte entradas binarias arbitrarias en salidas de caracteres imprimibles. 5) Por qu es la conversin R64 til para una aplicacin de correo electrnico? Para convertir un mensaje cifrado en una ristra ASCII usando Radix 64. 6) Por qu es necesaria la funcin de segmentacin y reensamblado en PGP? PGP subdivide automticamente los mensajes demasiado largos en segmentos lo suficientemente cortos para ser enviados por correo electrnico. La segmentacin se lleva a cabo despus de todo el procesamiento, incluida la conversin de radix 64. 7) Como usa PGP el concepto de confianza? PGP no incluye ninguna especificacin para establecer autoridades de certificacin o para establecer la confianza, s que proporciona un medio conveniente de usarla, asocindola a las claves publicas y explotando la informacin de confianza.

Capitulo 9: Intrusos.
1) Enumera y define brevemente 3 clases de intrusos. -Suplantador: un individuo que no est autorizado a usar el computador y que penetra hasta los controles de acceso del sistema para obtener provecho de la cuenta de un usuario legitimo.(usuario externo) -Usuario fraudulento: un usuario legtimo que accede a datos, programas o recursos para los que el acceso no est autorizado.(usuario interno) -Usuario clandestino: un individuo que toma el control de supervisin del sistema y lo usa para evadir los controles de auditoria y de acceso. 2) Cuales son las dos tcnicas comunes que se usan para proteger un archivo de contraseas? -Cifrado unidireccional: el sistema almacena slo una forma cifrada de la contrasea del usuario. Cuando el usuario presenta una contrasea, el sistema la cifra y la compara con el valor almacenado. -Control de acceso: el acceso al archivo de contraseas est limitado a una o muy pocas cuentas. 3) Cuales son los tres beneficios que puede proporcionar un sistema de deteccin de intrusos? - Si se detecta una intrusin, el intruso puede ser identificado y expulsado del sistema antes de producir daos o comprometer datos. Cuanto antes se detecte menor ser la gravedad de los daos y mas rpidamente se podr lograr la recuperacin. - Un sistema efectivo de deteccin de la intrusin puede servir como elemento disuasivo - La deteccin de intrusos facilita la recopilacin de informacin sobre tcnicas de intrusin. 4) Cual es la diferencia entre deteccin estadstica de anomalas y la deteccin de intrusos basada en reglas? Deteccin estadstica de anomalas: implica la recopilacin de datos relacionados con el comportamiento de los usuarios legtimos en un periodo de tiempo.(Deteccin de umbrales/Basado en perfiles) Intentan definir el comportamiento normal. Efectiva contra suplantadores. Deteccin basada en reglas: implica un intento de definir un conjunto de reglas que se pueden usar para determinar si un comportamiento dado es el de un intruso.(Deteccin de anomalas/Identificacin de la penetracin) Intentan definir el comportamiento correcto. Efectiva contra usuarios fraudulentos. 5) Que mtricas son tiles para la deteccin de intrusos basada en perfiles? -Contador: Se guarda una cuenta de ciertos tipos de acontecimientos durante un periodo de tiempo concreto. Ej: El numero de accesos realizados por un usuario, el numero de veces que se ejecuta un comando, el numero de fallos en la contrasea. -Calibre: mide el valor actual de alguna entidad. Ej: El numero de conexiones lgicas asignadas a una aplicacin de usuario y el numero de mensajes salientes en espera para un proceso de usuario. -Intervalo de tiempo: periodo de tiempo entre dos acontecimientos relacionados. Ej: Espacio de tiempo entre entradas sucesivas a una cuenta. -Utilizacin de recursos: Cantidad de recursos consumidos durante un periodo especifico. Ej: nro de paginas impresas durante una sesin de usuario y el tiempo total consumido por la ejecucin de un programa. 6) Cual es la diferencia entre la deteccin de anomalas basada en reglas y la identificacin de penetracin basada en reglas? La deteccin de anomalas basada en reglas analiza los registros de auditoria histricos para identificar los patrones de uso y generar automticamente reglas que describan aquellos modelos. El esquema se basa en la observacin del comportamiento pasado y asumir que el futuro ser como el pasado.

La identificacin de la penetracin basada en reglas define reglas que identifiquen comportamientos sospechosos, incluso cuando el comportamiento est dentro de los lmites de patrones de uso establecidos. 7) Qu es un honeypot? Son sistemas de reclamo diseados para alejar a un atacante potencial de los sistemas crticos. Estn diseados para: - Desviar a un atacante del acceso a sistemas crticos - Recoger informacion sobre la actividad del atacante - Favorecer que el atacante permaneza en el sistema el tiempo suficiente para que los administradores puedan responder Estos sistemas estan llenos de informacion inventada, valiosa en apariencia, pero a la que un usuario legitimo del sistema no accederia. Asi, cualquier acceso al honeypot es sospechoso. 8) Qu es salt en el contexto de la gestion de contraseas UNIX? Es un valor de 12 bits usado para modificar el algoritmo DES, este valor esta relacionado con el tiempo en el cual la contrasea es asignada al usuario. Sirve con tres propsitos: -Evitar que las contraseas duplicadas estn visibles en el archivo de contraseas. -Incrementa de manera efectiva la longitud de la contrasea sin requerir al usuario que recuerde dos caracteres adicionales -Evita el uso de una implementacion hardware de DES. 9) Enumera y define brevemente cuatro tcnicas que se usan para evitar las contraseas faciles de adivinar. a) Educacion del usuario: Explicarles la importancia de usar contraseas dificiles de adivinar y proporcionarles recomendaciones para la seleccin de contraseas fuertes. b)Contraseas generadas por computador: Si las contraseas son bastante aleatorias, los usuarios no podran recordarlas y asi estaran tentados a escribirla en papel. Es de poca aceptacion entre los usuarios. c)Comprobacion reactiva de contraseas: Es aquella en la que el sistema ejecuta periodicamente su propio pirata de contraseas para encontrar contraseas adiviniables. El sistema cancela cualquier contrasea averiguada y lo notifica al usuario. d)Comprobacion proactiva de contraseas: A un usuario se le permite seleccionar su propia contrasea. Sin embargo, en el momento de la seleccin, el sistema comprueba si la contrasea esta permitida y, si no, la rechaza.

Capitulo 10: Software daino.

1) Define brevemente cada tipo de malware de la figura 10.1 Trampas. Es una entrada secreta a un programa que permite que alguien que es consciente de la trampa acceda sin pasar por los procedimientos de acceso de seguridad habituales. Consiste en un cdigo que reconoce secuencias especiales de entrada o que se activa cuando se ejecuta desde un identificador de usuario en particular o a partir de una secuencia improbable de acontecimientos. Bomba Lgica. Es un cdigo introducido en algn programa legitimo que esta preparado para explotar cuando convergen ciertas condiciones,por ejemplo, la presencia o ausencia de ciertos archivos, un dia concreto de la semana o fecha, o un usuario concreto ejecutando la aplicacin. Una vez activada una bomba puede alterar o borrar datos o archivos completos, causar una interrupcin de la mquina o provocar otros daos. Caballos de troya. Es un programa o procedimiento de comando til que contiene cdigo oculto que al invocarse lleva a cabo funciones no deseadas o perjudiciales. Zombi. Un zombi es un programa que, sin ser percibido, toma el control de otro computador conectado a Internet y, luego, utiliza ese computador para lanzar ataques que hacen dificil seguir la pista al creador del zombi. Se usan en ataques de denegacion de servicio Virus. Un virus informtico es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos. Gusanos. Un gusano es un malware que tiene la propiedad de duplicarse a s mismo. Los gusanos utilizan las partes automticas de un sistema operativo que generalmente son invisibles al usuario. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a s mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan. 2) Cual es el papel que desempea la compresin en el funcionamiento de un virus? Un virus es fcil de detectar porque una versin infectada de un programa es mayor que la correspondiente no infectada. Una forma de impedir este medio de localizacin de un virus es comprimir el archivo ejecutable para que tanto las versiones infectadas como las no infectadas tengan idntica longitud. 3) Cual es el papel que desempea el cifrado en el funcionamiento de un virus? El papel que desempea es el de permitir que un virus polimorfico modifique su estructura para evitar ser detectado. El generador de mutaciones del virus crea una clave de cifrado aleatoria para cifrar el resto del virus. La clave se almacena con el virus, y el propio generador de mutaciones se ve alterado. Cuando se activa un programa infectado, el virus utiliza la clave aleatoria almacenada para descifrarlo. Cuando el virus se replica, se selecciona una clave aleatoria distinta. 4) En trminos generales. Como se propaga un gusano?. Los programas de gusanos en la red usan conexiones de red para extenderse de sistema en sistema. Para replicarse a si mismo, un gusano usa algun tipo de vehiculo de la red. Ej: -Correo electrnico: un gusano envia por correo una copia de si mismo a otros sistemas -Capacidad de ejecucin remota: un gusano ejecuta una copia de s mismo en otro sistema. -Capacidad de acceso remoto: un gusano entra en la sesin de un sistema remoto como usuario y luego usa los comandos para copiarse de un sistema a otro 5) Que es un sistema de inmunidad digital? Este sistema se extiende en el uso de la emulacin de programas y proporciona una emulacin de propsito general y un sistema de deteccin de virus. Su objetivo es suministrar un tiempo de

respuesta rpido para que los virus se puedan erradicar casi tan pronto como sean introducidos. Cuando un nuevo virus entra en una organizacin, el sistema de inmunidad lo captura automticamente, lo analiza, aade los procedimientos de deteccin y de proteccin, lo elimina, y pasa la informacin sobre ese virus a sistemas que ejecutan antivirus de IBM para que pueda ser detectado antes de que pueda ejecutarse en otro lugar. 6) Como funciona el software de bloqueo de acciones? Se integra con el sistema operativo de un computador y controla el funcionamiento del programa en tiempo real en busca de acciones dainas. As, el software bloquea las posibles acciones perjudiciales antes de que tengan la oportunidad de afectar al sistema.

7) 4) Cuales son las fases habituales de la operacin de un virus o un gusano? Fases del tiempo de vida de un Virus: - Fase inactiva: el virus est inactivo. No todos los virus tienen esta fase. - Fase de propagacin: se coloca una copia idntica de s mismo en otros programas o reas del disco, tales copias entrarn a su vez en una fase de propagacin. - Fase de activacin: se activa para llevar a cabo la funcin para la cual se cre. - Fase de ejecucin: la funcin est ejecutada, y puede ser inofensiva, como un mensaje en la pantalla, o perjudicial, como la destruccin de programas y archivos.

Capitulo 11: Cortafuegos.

Enumera tres objetivos de diseo de los cortafuegos. Todo el trfico desde el interior hacia el exterior y viceversa debe pasar a travs del cortafuegos. Se permitir pasar solamente el trfico autorizado. El propio cortafuegos es inmune a la penetracin. Enumera cuatro tcnicas utilizadas por los cortafuegos para controlar el acceso y reforzar la poltica de seguridad. - Control de servicio: determina los tipos de servicios de Internet a los que se puede acceder, interna o externamente. - Control de direccin: determina en qu direccin se pueden iniciar las solicitudes de servicios particulares y en qu direccin se les permite el paso a travs del cortafuegos. - Control de usuario: controla el acceso a un servicio en funcin de qu usuario est intentando acceder a l. - Control de comportamiento: controla cmo se utilizan los servicios particulares.

Que informacin utiliza un router de filtrado de paquetes tpico?

Direccin IP de origen. Direccin IP de destino. Direcciones del nivel de transporte de origen y destino(puertos TCP/UDP). Campo de protocolo IP. Interfaz. Cuales son algunas debilidades de un router de filtrado de paquetes? No pueden evitar ataques que emplean vulnerabilidades de una aplicacin. Capacidad de registro limitada. No admiten esquemas avanzados de autentificacion de usuarios. Vulnerables ante ataques de suplantacion de IP (Spoofing). Agujeros de seguridad debido a la mala configuracion. Cuales son las diferencias entre un router de filtrado de paquetes y un cortafuegos de inspeccin de estado? El router de filtrado de paquetes aplica un conjunto de reglas a cada paquete IP y entonces retransmite o descarta dicho paquete. El cortafuegos de inspeccin de estado admite trafico entrante solamente a paquetes cuyos puertos figuren en su tabla de conexiones. Que es una pasarela de nivel de aplicacin?. Una pasarela del nivel de aplicacin, tambin llamada servidor proxy, acta como un repetidor del trfico del nivel de aplicacin. El usuario contacta con la pasarela utilizando una aplicacin TCP/IP como, por ejemplo, Telnet o FTP, y la pasarela solicita al usuario el nombre del computador remoto al que desea acceder. Cuando el usuario responde y proporciona un identificador de usuario e informacin de autentificacin vlidos, la pasarela contacta con la aplicacin en el computador remoto y retransmite los segmentos TCP que contienen los datos de aplicacin entre los dos puntos finales. Que es una pasarela de nivel de circuito?. Una pasarela del nivel de circuito no permite una conexin TCP extremo a extremo; en vez de eso, la pasarela establece dos conexiones TCP, una entre ella y un usuario TCP en un computador interno, y otra entre ella y un usuario TCP en un computador externo. Una vez se han establecido las dos conexiones, la pasarela normalmente retrasmite segmentos TCP desde una conexin hacia la otra sin examinar los contenidos. La funcin de seguridad consiste en determinar qu conexions sern permitidas. Cuales son las diferencias entre las configuraciones de cortafuegos? 1. Cortafuegos de computador protegido, bastin de interfaz nica: el cortafuegos se compone de un router de filtrado de paquetes y un computador bastin. Normalmente el router se configura de manera que: - Para el trfico desde Internet, slo se permite la entrada de paquetes IP destinados al computador

bastin. - Para el trfico desde la red interna, slo se permite la salida de paquetes IP procedentes del computador bastin. 2. Cortafuegos de computador protegido, bastin de interfaz dual: previene fsicamente la brecha de seguridad del cortafuegos de interfaz nica de que si se sabotea el router de filtrado de paquetes, el trfico podra fluir directamente entre Internet y los computadores de la red privada. 3. Cortafuegos de subred protegida: es la ms segura. Se usan dos routers de filtrado de paquetes, uno entre el bastin e Internet y otro entre el bastin y la red interna. Cual es la diferencia entre un sujeto y un objeto, en el contexto del control de acceso?. - Sujeto: entidad capaz de acceder a objetos (usuarios y aplicaciones, representados mediante un proceso) - Objeto: cualquier cosa cuyo acceso se controle, por ejemplo, ficheros. Cual es la diferencia entre una lista de control de acceso y un ticket de capacidad?. * Listas de control de acceso: es una matriz de acceso por columnas. Para cada objeto, una lista de control de acceso enumera usuarios y sus derechos de acceso permitidos. * Tickets de capacidad: es una matriz de acceso por columnas. Objetos y operaciones autorizados para cada usuario. Cuales son las dos reglas que impone un monitor de referencia? El monitor de seguridad impone las reglas de no leer hacia arriba y no escribir hacia abajo Que propiedades se requieren de un monitor de referencia? - Mediacin completa: las reglas de seguridad se aplican en cada acceso a datos de memoria, disco o cinta magntica. - Aislamiento: el monitor de referencia y la base de datos estn protegidos de modificaciones no autorizadas. - Verificabilidad: debe ser posible demostrar matemticamente que el monitor de referencia impone las reglas de seguridad y proporciona mediacin completa y aislamiento. A un sistema que puede proporcionar estos requisitos se le denomina SISTEMA DE CONFIANZA.