Módulos 24 – 25: Examen del Grupo, Protocolos y Archivos de registro Respuestas

Última actualización: marzo 24, 2022

CyberOps Associate (Versión 1.0) – Módulos 24 – 25: Examen del Grupo, Protocolos y Archivos de registro Respuestas Español

1. ¿Cuáles son los dos protocolos de la capa de aplicación que administran el intercambio de mensajes entre un cliente con un navegador web y un servidor web remoto? (Elija dos opciones).

  • HTML
  • DNS
  • HTTPS
  • DHCP
  • HTTP
Explique: Hypertext Transfer Protocol (HTTP) y HTTP Secure (HTTPS) son dos protocolos de la capa de aplicación que administran las solicitudes de contenido de los clientes y las respuestas dadas por el servidor web. HTML (Hypertext Mark-up Language) es el lenguaje de codificación que describe el contenido y las características de visualización de una página web. DNS es para la resolución de nombres de dominio en direcciones IP. DHCP administra y proporciona configuraciones de IP dinámicas a los clientes.

2. ¿Qué protocolo aprovechan los ciberdelincuentes para crear iFrames maliciosos?

  • HTTP
  • ARP
  • DHCP
  • DNS
Explique: Un elemento HTML conocido como trama en línea o iFrame permite que el navegador cargue una página web diferente de otra fuente.

3. ¿Qué enfoque se debe adoptar para evitar ataques dirigidos a Syslog?

  • Usar una VPN entre un cliente Syslog y el servidor Syslog.
  • Usar un servidor basado en Linux.
  • Crear una ACL que permite solo el tráfico TCP hacia el servidor Syslog.
  • Usar syslog-ng.
Explique: Los hackers pueden intentar bloquear a clientes para que no puedan enviar datos al servidor Syslog, manipular o borrar los datos registrados, o manipular el software utilizado para transmitir mensajes entre los clientes y el servidor. Syslog-ng es la última generación de Syslog y contiene mejoras para evitar algunos de los ataques.

4. ¿Qué tecnología se usaría para crear los registros (logs) del servidor generados por los dispositivos de red, que además serán revisados por un técnico en redes de nivel básico que trabaja el turno nocturno en un centro de datos (data center)?

  • SysLog
  • VPN
  • NAT
  • ACL
Explique: Syslog es una programa daemon o servicio que se ejecuta en un servidor que acepta mensajes enviados por dispositivos de red. Estos registros (logs) son frecuentemente examinados para detectar inconsistencias y problemas en la red.

5. ¿Qué técnica utilizaría un atacante para disfrazar rastros de un ataque en curso?

  • Crearía un iFrame invisible en una página web.
  • Alterar la información de fecha y hora (time information) atacando la infraestructura NTP.
  • Encapsularía otros protocolos dentro de DNS para evadir las medidas de seguridad.
  • Utilizaría SSL para encapsular malware.
Explique: El protocolo Network Time Protocol (NTP) utiliza una jerarquía de fuentes horarias para proporcionar un reloj de hora coherente a los dispositivos de infraestructura de red. Los atacantes pueden intentar atacar la infraestructura de NTP para dañar la información horaria utilizada en los registros de red (network logs).

6. ¿Cuál de los siguientes protocolos es un protocolo de resolución de nombres que a menudo utiliza el malware para comunicarse con los servidores de comando y control (CnC)?

  • IMAP
  • DNS
  • ICMP
  • HTTPS
Explique: El Servicio de nombres de dominio (DNS) se utiliza para convertir nombres de dominio en direcciones IP. Algunas organizaciones tienen implementadas políticas menos rigurosas para protegerse contra amenazas basadas en DNS, en comparación con las políticas que tienen implementadas para otros ataques.

7. ¿Qué método es utilizado por algunos tipos de malware para transferir archivos de hosts infectados a un host atacante?

  • iFrame injection (Inyección de iFrame)
  • UDP infiltration (Infiltración UDP)
  • ICMP tunneling (Tunelización ICMP)
  • HTTPS traffic encryption (Encriptación de tráfico HTTPS)
Explique: El tráfico ICMP desde el interior de la empresa también es una amenaza. Algunos tipos de malware utilizan paquetes ICMP para transferir archivos desde hosts infectados a los atacantes mediante tunelización ICMP

8. ¿Por qué la tecnología HTTPS añade complejidad al monitoreo de la seguridad de la red?

  • HTTPS utiliza tecnología de tunelización para fines de confidencialidad.
  • HTTPS utiliza NAT/PAT para ocultar la dirección IP de origen real.
  • HTTPS utiliza cifrado integral para ocultar el tráfico de datos.
  • HTTPS cambia dinámicamente el número de puerto en el servidor web.
Explique: Con HTTPS, el cliente genera una clave simétrica después de que verifica la confiabilidad del servidor web. La clave simétrica se cifra con la clave pública del servidor web y luego se envía al servidor web. El servidor web utiliza su clave pública para descifrar la clave. La clave se usa, posteriormente, para cifrar los datos solicitados por el cliente y los datos se envían al cliente. Este cifrado integral complica el monitoreo de la seguridad de la red en línea. El número de puerto HTTPS, que suele ser 443, se configura estáticamente en el servidor web.

9. ¿Qué tipo de mensaje ICMP entrante debe ser detenido?

  • Echo-reply (respuesta echo)
  • Source quench (alivio de fuente)
  • Echo
  • Unreachable (inalcanzable)
Explique: Al paquete ICMP «echo» no se le debe permitir entrar a una interfaz. La respuesta de echo (echo-reply) debe permitirse para que cuando un dispositivo interno haga ping a un dispositivo externo, se permita que la respuesta vuelva.

10. ¿Qué técnica es necesaria para garantizar una transferencia de datos privada mediante una VPN?

  • Cifrado
  • Autorización
  • Virtualización
  • Escalabilidad
Explique: Las transferencias de datos confidenciales y seguras mediante VPN requieren cifrado de datos.

11. ¿Qué dos tecnologías se utilizan principalmente en redes entre pares? (Elija dos opciones).

  • Snort
  • Wireshark
  • BitTorrent
  • Darknet
  • Bitcoin
Explique: Bitcoin se utiliza para compartir un libro mayor o una base de datos distribuida. BitTorrent se emplea para el uso compartido de archivos.

12. ¿Qué es Tor?

  • Una regla creada con el fin de establecer la correspondencia con la firma de un ataque conocido
  • Una forma de compartir procesadores entre dispositivos de red a través de Internet
  • Un tipo de software de mensajería instantánea (IM) utilizado en la darknet (red oscura)
  • Una plataforma de software y una red de hosts P2P que funcionan como routers de Internet
Explique: Se utiliza un navegador especial para acceder a la red Tor. Este navegador permite que los usuarios naveguen por Internet de forma anónima.

13. ¿Qué tipo de ataque llevan a cabo los actores de amenazas contra una red para determinar qué direcciones IP, protocolos y puertos están permitidos por las ACL?

  • Denegación de servicio
  • Ingeniería social
  • Suplantación de identidad
  • Reconocimiento
Explique: Las ACL de filtrado de paquetes utilizan reglas para filtrar el tráfico entrante y el tráfico saliente. Estas reglas se definen mediante la especificación de direcciones IP, números de puertos y protocolos que se vincularán entre sí. Los actores de amenazas pueden utilizar un ataque de reconocimiento que implique escaneo de puertos o pruebas de penetración para determinar qué direcciones IP, protocolos y puertos permiten las ACL.

14. ¿Cuál de las siguientes afirmaciones describe los datos de sesiones en los registros de seguridad?

  • Detallan las actividades de la red entre los hosts de la red.
  • Pueden utilizarse para describir o predecir el comportamiento de la red.
  • Son el registro de una conversación entre los hosts de la red.
  • Muestran el resultado de las sesiones de red.
Explique: Los datos de sesiones son el registro de una conversación entre terminales de red.

15. ¿Cuál de las siguientes afirmaciones describe los datos estadísticos en los procesos de monitoreo de la seguridad de la red?

  • Se obtienen mediante el análisis de otros tipos de datos de red.
  • Contienen las conversaciones entre los hosts de la red.
  • Enumeran los mensajes de alerta junto con información estadística.
  • Muestran los resultados de las actividades de la red entre los hosts de la red.
Explique: Al igual que los datos de sesiones, los datos estadísticos están relacionados con el tráfico de red. Los datos estadísticos se crean a través del análisis de otras formas de datos de red.

16. ¿Cuáles dos herramientas tienen una interfaz gráfica de usuario (Graphical User Interface GUI) y se pueden usar para ver y analizar capturas de paquetes completas (full packet captures)? (Escoja dos opciones).

  • tcpdump
  • Módulo de análisis de red Cisco Prime (Cisco Prime Network Analysis Module)
  • nfdump
  • Wireshark
  • Splunk
Explique: El módulo de análisis de red (Network Analysis Module NAM) del sistema Cisco Prime Infrastructure, y Wireshark tienen interfaces GUI y pueden mostrar capturas de paquetes completas (full packet captures). La herramienta tcpdump es un analizador de paquetes en la línea de comandos.

17. Una el registro de host de Windows con los mensajes incluidos en él. (No se utilizan todas las opciones).

Respuestas:

18. Un administrador del sistema ejecuta una utilidad de análisis de archivos en una PC con Windows y observa el archivo lsass.exe en el directorio de archivos de programa. ¿Qué debe hacer el administrador?

  • Desinstalar la aplicación lsass porque es una aplicación heredada y ya no es necesaria por Windows.
  • Abrir el Administrador de tareas, hacer clic con el derecho en el proceso lsass y seleccionar Finalizar tarea .
  • Eliminar el archivo porque es probable que sea malware.
  • Moverlo a Archivos de programa (x86) porque es una aplicación de 32 bits.
Explique: En computadoras con Windows, el Servicio de subsistema de autoridad de seguridad local (LSASS), que funciona como lsass.exe, lleva a cabo el registro de la seguridad y la aplicación de políticas de seguridad. Debe ejecutarse desde el directorio Windows\System32. Si un archivo con este nombre, o uno camuflado como 1sass.exe, se está ejecutando o se está corriendo desde otro directorio, podría ser malware.

19. ¿Qué registro de Windows contiene información sobre instalaciones de software, incluidas las actualizaciones de Windows?

  • Archivos de registro de seguridad
  • Archivos de registro de aplicaciones
  • Archivos de registro del sistema
  • Archivos de registro de configuración
Explique: En un host de Windows, los registros de configuración registran información sobre la instalación del software, incluidas las actualizaciones de Windows.

20. Una la función SIEM con su respectiva descripción.

Respuestas:

21. ¿Qué información puede proporcionar la utilidad Cisco NetFlow?

  • Horarios pico y enrutamiento del tráfico
  • Restricciones en cuentas de usuarios y seguridad
  • Asignación de puertos UDP (Protocolo de datagramas de usuario) de origen y destino
  • Capacidades de IPS (Sistema de prevención de intrusión) e IDS
Explique: NetFlow proporciona de manera eficiente un importante conjunto de servicios para aplicaciones IP, en el que se incluye auditoría de tráfico de red, facturación de redes basada en el uso, planificación de la red, seguridad, funcionalidades de monitoreo de denegación de servicio y monitoreo de la red. NetFlow brinda información valiosa acerca de los usuarios y las aplicaciones de la red, horarios pico de uso y routing de tráfico.

22. ¿Cuál enunciado describe correctamente a un dispositivo de seguridad web de Cisco (Cisco Web Security Appliance WSA)?

  • Actúa como un servidor VPN basado en SSL (SSL-based) para una empresa.
  • Proporciona servicios web de alto rendimiento.
  • Protege un servidor web al evitar que las amenazas de seguridad accedan al servidor.
  • Funciona como un proxy web.
Explique: El dispositivo de seguridad web de Cisco (Cisco Web Security Appliance WSA) brinda una amplia gama de funcionalidades para el monitoreo de seguridad. WSA actúa de manera efectiva como un proxy web. Registra toda la información de transacciones entrantes y salientes para el tráfico HTTP.

23. ¿De qué manera un dispositivo proxy web proporciona prevención de pérdida de datos (DLP) para una empresa?

  • Al comprobar la reputación de servidores web externos
  • Al funcionar como un firewall
  • Al inspeccionar el tráfico entrante en busca de ataques potenciales
  • Al analizar y registrar el tráfico saliente
Explique: Un dispositivo proxy web puede inspeccionar el tráfico saliente como una forma de prevenir la pérdida de datos (DLP). DLP implica analizar el tráfico saliente para detectar si los datos que salen de la red empresarial contienen información confidencial o secreta.

24. ¿Qué dispositivo de Cisco puede utilizarse para filtrar contenido del tráfico de red e informar y denegar el tráfico en función de la reputación del servidor web?

  • ASA
  • WSA
  • AVC
  • ESA
Explique: Cisco Web Security Appliance (WSA) actúa como un proxy web para una red empresarial. WSA puede proporcionar muchos tipos de registros relacionados con la seguridad del tráfico web, como registros de decisiones de ACL, registros de análisis de malware, reputación web y registros de filtrado de reputación de sitios web. El dispositivo de seguridad de correo electrónico (ESA) de Cisco es una herramienta para controlar la mayoría de los aspectos de la entrega de correos electrónicos, el funcionamiento del sistema, los antivirus, las operaciones antispam y las decisiones relativas a listas negras y listas blancas. El Cisco ASA es un dispositivo de firewall. El sistema Cisco Application Visibility and Control (AVC) combina varias tecnologías para reconocer, analizar y controlar más de 1000 aplicaciones.

25. Consulte la ilustración. Un administrador de red está mirando una salida arrojada por el recopilador Netflow. ¿Qué se puede determinar a partir de la salida con respecto al flujo de tráfico que se muestra?

  • Esta es una respuesta DNS de UDP a una máquina cliente.
  • Esta es una respuesta DNS de TCP a una máquina cliente.
  • Esta es una solicitud DNS de UDP a un servidor DNS.
  • Esta es una solicitud DNS de TCP a un servidor DNS.
Explique: El flujo de tráfico que se muestra tiene un puerto de origen de 53 y un puerto de destino de 1025. El puerto 53 se utiliza para DNS y, puesto que es el puerto de origen, el tráfico responde a una máquina desde un servidor DNS. El protocolo IP es 17 y especifica que se utiliza UDP y que el TCP indica 0.

26. ¿Qué función provee la aplicación Sguil?

  • Hace que las alertas generadas por Snort se puedan leer y buscar
  • Evita que un malware ataque un host.
  • Informa las conversaciones entre los hosts de la red.
  • Detecta posibles intrusiones en la red.
Explique: Las aplicaciones como Snorby y Sguil pueden utilizarse para leer y buscar mensajes de alerta generados por NIDS/NIPS.

27. De las siguientes opciones, indique las dos que hacen referencia a enfoques para el monitoreo de seguridad de la red que utilizan técnicas analíticas avanzadas para analizar los datos de telemetría de la red. (Elija dos opciones).

  • NetFlow
  • Snorby
  • NBAD
  • IPFIX
  • NBA
  • Sguil
Explique: Los sistemas de Análisis de comportamiento de la red (NBA) y de Detección de anomalías en el comportamiento de red (NBAD) son enfoques para el monitoreo de la seguridad de la red que utilizan técnicas analíticas avanzadas para analizar los datos de telemetría de la red NetFlow o IPFIX.

28. ¿Qué significa si la marca de hora en la sección de encabezado de un mensaje de syslog está precedida de un punto o un asterisco?

  • El mensaje de syslog indica la hora en que se recibe un correo electrónico.
  • Existe un problema asociado con NTP.
  • El mensaje de syslog debe tratarse con prioridad alta.
  • La marca de hora representa el valor de duración ida y vuelta.
Explique: La sección de encabezado del mensaje contiene la marca de hora. Si la marca de hora está precedida por los símbolos de punto (.) o de asterisco(*), se indica que hay un problema con NTP.

29. En un sistema Cisco AVC, ¿en qué módulo se implementa NetFlow?

  • Control
  • Recopilación de métricas
  • Administración y elaboración de informes
  • Reconocimiento de aplicaciones
Explique: La tecnología NetFlow se implementa en el módulo de recopilación de métricas de un sistema Cisco AVC para recopilar métricas de flujo de red y exportarlas a herramientas de administración.

30. ¿En cuál de las siguientes situaciones puede IMAP representar una amenaza de seguridad para una compañía?

  • Un correo electrónico puede utilizarse para introducir malware en un host.
  • Los datos cifrados se descifran.
  • Una persona hace clic sin querer en un iFrame oculto.
  • Puede ser utilizado para codificar datos robados y enviárselos al actor de una amenaza.
Explique: IMAP, SMTP y POP3 son protocolos de correo electrónico. SMTP se utiliza para enviar datos desde un host a un servidor o entre servidores. IMAP y POP3 se utilizan para descargar mensajes de correo electrónico y pueden ser responsables de introducir malware en el host de recepción.

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax