¿Cual de estos programas no se puede usar para comprobar si un puerto de un ordenador remoto tiene un servidor escuchando?
Respuesta:      
    a. ping
    b. telnet
    c. nc
    d. nmap

el ping es el unico que no se puede usar para eso


Si intentamos estblecer una conexión al puerto 110 de una maquina remota y no obtenemos respuesta....

$ telnet 66.102.9.99 110
Trying 66.102.9.99...
telnet: connect to address 66.102.9.99: Operation timed out

¿Qué podemos concluir sobre el puerto 110?
Respuesta:      
    a. Que ningún programa escuchando en el puerto 110
    b. Que hay un programa escuchando en el puerto 110 pero que ha rechazado la conexión
    c. Que hay un programa escuchando en el puerto 110
    d. Que hay algun filtro entre nuestra máquina y la máquina remota

Que hay algun filtro entre nuestra maquina y la destino. Si la maquina existe al recibir el intento de conexion o bien la aceptara o bien enviara un reset y el telnet se cerrara rapidamente y no por timeout



¿Cual de estos escaneos con nmap es menos discreto? (=cual genera más tráfico)
Respuesta:      
    a. nmap -sS 130.206.160.215
    b. nmap -sX 130.206.160.215
    c. nmap -sT 130.206.160.215
    d. nmap -sF 130.206.160.215

El menos discreto en trafico es el que usa -sT porque establece la conexion y por tanto envia más paquetes que los otros
Algunos habeis contestado que el -sS supongo que porque en la transparencia decia que era el mas agresivo porque no sigue el protocolo, pero genera menos trafico porque no manda el ack ni cierra la conexion, simplemente se olida

¿Qué comando usaría para averiguar a que empresa pertenece un dominio?
Respuesta:      
    a. whois
    b. nslookup
    c. telnet
    d. host

El whois nos permite conseguir la empresa a la que pertenece un dominio de internet

Cual de estas técnicas de denegación de servicio NO usa ICMP?
Respuesta:      
    a. Inundacion simple con ping -f
    b. Smurf
    c. Ping of death
    d. Fraggle


El fraggle que es DoS con paquetes de UDP
El resto usan ICMP


A que llamamos IP spoofing?
Respuesta:      
    a. A falsificar la dirección IP destino de un paquete que enviamos
    b. A falsificar la dirección IP origen de un paquete que enviamos
    c. A emviar paquetes IP a gran velocidad para saturar a un receptor
    d. A falsificar el tipo de protocolo de un paquete que enviamos de forma que sea transportado por routers IP aunque el protocolo original no era IP

A falsificar la direccion origen de un paquete que enviamos o sea la b


Cual de estos programas no es un sniffer?
Respuesta:      
    a. ettercap
    b. snort
    c. tcpdump
    d. nmap    <<<<< este no es un sniffer
    e. dsniff


En general el uso de sistemas de cortafuegos (firewalls) es una buena protección contra ataques de denegación de servicio por la red
Respuesta:      Verdadero    Falso

Falso, en si mismos los cortafuegos no protegen contra DoS.
Si que protegen contra los clasicos, pero el DoS se hara normalmente sobre los servicios que pasen por el cortafuegos



Las VLANs limitan el efecto del ARP poissoning, solo puedo hacer man-in-the-middle a ordenadores en mi misma VLAN
Respuesta:      Verdadero    Falso

Verdadero


Hay técnicas para detectar sniffers
Respuesta:      Verdadero    Falso


Verdadero, aunque aun no hemos dicho ninguna en clase


¿Que se puede hacer contra ataques man-in-the-middle a nivel de enlace?
Respuesta:      
    a. Nada
    b. Usar solo conmutadores ethernet y ningun hub
    c. Borrar los programas sniffers (tcpdump, ethereal...) de los ordenadores de nuestra red
    d. Usar aplicaciones con protocolos criptograficos resistentes a man-in-the-middle


Lo unico que podemos hacer es la d. Usar aplicaciones que garanticen que son resistentes aunque el nivel de enlace se pueda interceptar


El protocolo de enrutamiento dinamico RIPversion1 usa autentificación fuerte para protegerse del engaño y no ser vulnerable a generar situaciones de man-in-the-middle
Respuesta:      Verdadero    Falso

Falso, de hecho en clase pusimos un ejemplo de lo contrario

Poner conmutadores en lugar de hubs ethernet me garantiza que unos ordenadores no puedan ver el trafico de otros
Respuesta:      Verdadero    Falso


Falso, se puede sniffar en conmutadores usando ARP poissoning y similares


El ARP poissoning permite sniffar trafico de otros ordenadores a pesar de que la ethernet este construida con conmutadores
Respuesta:      Verdadero    Falso

Verdadero

   

¿Con que comando listaria las reglas de la cadena FORWARD en un ordenador con netfilter?
Respuesta:     
    a. netstat -L FORWARD
    b. iptables -L FORWARD     <<<<<<<<<<<<<<< esta es la correcta
    c. show iptables chain forward
    d. iptables -A FORWARD *


Los elementos de seguridad perimetral como los firewalls protegen contra ataques de man-in-the-middle usando envenenamiento ARP
Respuesta:      Verdadero    Falso

Falso, los firewalls estan en la entrada de la red y no protegen contra ataques en la red interna

Al final si uso el comando iptables con la cadena FORWARD en mi ordenador para no dejar pasar los paquetes que vayan o vengan al puerto 80 puedo de todas formas navegar por la web desde ese ordenador
Respuesta:      Verdadero    Falso

Verdadero, porque la cadena FORWARD no afecta al trafico que entra o salga de ese ordenador


Cual de estos sistemas funciona a nivel de aplicacion?
Respuesta:     
    a. un cortafuegos
    b. un proxy       <<<<<<<<<<<<<<<< esta es la correcta
    c. un router con NAT
    d. un cortafuegos basado en inspección de estados


En una arquitectura de entrada de screened network con red desmilitarizada y red interior. ¿Que es mas peligroso?
Respuesta:     
    a. Tener dos firewalls entre la red exterior y la desmilitarizada
    b. Tener dos bastion hosts en la red desmilitarizada
    c. Tener dos redes desmilitarizadas separadas
    d. Tener dos firewalls enre la red desmilitarizada y la red interior  <<<<< esta
   

Si uso en iptables la opcion --state ESTABLISHED es que estoy intentando configurar un cortafuegos...
Respuesta:     
    a. Con politica de denegar por defecto (de ahi lo de ESTABLISHED services)
    b. Con insepccion de estados   <<<<<<< esta es la correcta
    c. Con configuracion por web
    d. Con direcciones staticas


¿Por qué no es bueno que el bastion host sea el servidor local de DNS?
Respuesta:     
    a. Porque atacantes externos podrian usar paquetes falsos de DNS para reconfigurar el cortafuegos
    b. Porque el eso permitiria hacer IP spoofing desde la red interna
    c. Porque si el bastion host es comprometido por un ataque externo puede cambiar el servidor DNS y engañar a los usuarios internos dandoles direcciones falsas
    d. Por el principio de minimo acceso, si el DNS no necesita ser el bastion host, mejor que no lo sea

La correcta es la c
Pensaba decirlo en clase al llegar a esa transparencia pero al final no lo dije porque ibamos muy justos de tiempo
De todas maneras con la filosofia que habiamos dicho ya se sabia que el problema de el bastion host es que tiene que ser diseñado para soportar que sea comprometido y si un atacante llega a controlar el bastion host y ser root puede hacer lo de la respuesta c
La a y la b son respuestas totalmente al azar que no significan nada
De todas maneras la d tambien seria mas o menos correcta, aunque el principio de minimo acceso no se si lo habia mencionado aun esa semana y tanto la c como la d se corregian como 1 punto


Las redes privadas virtuales (VPN) corresponden en la cadena de seguridad...
Respuesta:     
    a. A la seguridad de host porque se pueden hacer VPNs host a red
    b. A la seguridad del canal porque protegen el canal de comunicacion entre redes   <<<<<<<<<<<<   esta es la correcta
    c. A la seguridad perimetral porque permiten salir del perimetro
    d. A la seguridad de la LAN


Cual de estas NO es una tecnología de filtrado de paquetes
Respuesta:     
    a. ipfw de BSD
    b. Netfilter
    c. libpcap/tcpdump   <<<<< este es el correcto
    d. Cisco Access Control Lists


libpcap/tcpdump no son tecnologias de filtrado de paquetes solo de capturaº


La seguridad perimetral consiste en que si configuro bien el cortafuegos de mi empresa no tengo que preocuparme más de ningún ataque desde el exterior del perimetro de mi red
Respuesta:      Verdadero    Falso


Falso
La seguridad perimetral tiene que ver con proteger el perimetro con cortafuegos pero como se ha insitido mucho no vale con hacer eso y olvidarse


A que eslabón de la cadena de seguridad protegen los antivirus
Respuesta:     
    a. A la seguridad en la subred
    b. A la seguridad en el acceso (de virus)
    c. A la seguridad en el host   <<<<<<<<  del host
    d. A la seguridad perimetral


Si os empeñais mucho se podria considerar tambien que perimetral porque hay antivirus que escanean el trafico de entrada a la red buscando virus. Pero los antivirus clasicos sond e host

Un bastion host es...
Respuesta:     
    a. Un ordenador al que se puede acceder a traves de un cortafuegos por lo que tiene que estar bien configurado porque sera visible
    b. Un ordenador que realiza las funciones del cortafuegos
    c. Todo ordenador conectado a nuestra red interna
    d. Un ordenador al que no se puede llegar porque esta protegido por un cortafuegos   
   
La respuesta correcta es la a
Esta pregunta no la habia configurado bien y en los primeros que hicisteis el test no os salia la pregunta solo las respuestas... asi que en principio no se contara (eso si, no voy a intentar averiguar como influir en el corrector automatico del moodle para que os salga la nota correctamente en la pagina web, lo tendre en cuenta en mis notas internas)


 

Estas serían las respuestas al cuestionario del tema de los gusanos y virus


¿Qué tipo de malware es StormWorm según lo que se ha visto en clase?
Respuesta:
a. Un man-in-the-middle
b. Un virus
c. Un gusano
d. Un sniffer


Segun lo visto en clase (y su nombre) es un gusano


¿Qué tipo de malware es StormWorm segun el articulo?
Respuesta:
a. Un bot (que en clase llamamos tambien zombie)
b. Un gusano
c. Un sniffer
d. Un virus


El articulo lo llama bot (que sería lo mismo que zombie) porque no considera que algo que necesite intervencion humana para propagarse sea un gusano. Nosotros vimos en clase que si la intervencion humana se limita a leer un mail y pinchar en un enlace se podria aceptar como gusano. Todo es cuestion de como quieras llamarlo


StormWorm necesita intervención humana para propagarse
Respuesta: Verdadero Falso

Verdadero, necesita que el usuario al que le llega el mail pinche en el enlace conectandose a una pagina maliciosa


¿Qué tamaño aproximado tenia la red de zombies cuando se escribió el artículo?
Respuesta:
a. Unos 100000 ordenadores infectados
b. Unos 3000 ordenadores infectados
c. Mas de un millon de ordenadores infectados
d. Mas de 10 millones de ordenadores infectados

Dice 1.7 millones de nodos asi que mas de un millon


¿Qué hace normalmente los nodos de StormWorm (aparte de propagarse e infectar nuevos nodos)?
Respuesta:
a. Crackear contraseñas de forma distribuida
b. Hacer denegacion de servicio contra google
c. Enviar SPAM
d. Atacar los servidores raiz de DNS

El articulo menciona que envian SPAM y que de hecho una gran parte del SPAM que circula ultimamente sobre avisos de acciones viene de este gusano ( The program, which is responsible for sending a significant portion of the stock pump-and-dump spam seen on the Internet,)


¿Qué consiguen los investigadores de seguridad al escanear los nodos de control de la red de stormworm?
Respuesta:
a. Las direcciones de correo de los creadores de StormWorm
b. Que los nodos de la red de bots les ataquen con denegacion de servicio por inundación
c. Controlar la red de bots y ordenar que realice lo que ellos quieren
d. Parar el envío de SPAM

El articulo dice que los sistemas que escanean al gusano son atacados por DoS desde el gusano (The Storm Worm's distributed denial-of-service (DDoS) attacks appear to strike back at the network of any computer that scans an infected system) al final lo dice otra vez (, the ability to automatically attack any site that scans one of the botnet's nodes for vulnerabilities appears to be a recent development.)


Ahora que has leido la descripción de este malware
Crees que has recibido algun intento de ataque StormWorm en los ultimos meses?
(esta pregunta no tiene puntuación)
Respuesta:
a. No, no he visto nada que pueda ser un intento de ataque de StormWorm
b. Si, he visto intentos de ataques a mi ordenador que ahora creo que podrían ser de StormWorm

Esta no tiene respuesta correcta oficial. La gran mayoria habeis puesto que no. No se si es que vuestros filtros anti-spam son muy buenos o que no habeis caido en que este tipo de correos simples que intentan que pinches en un enlace, en los ultimos tiempos son este gusano intentando propagarse. Yo desde luego he recibido unos cuantos ultimamente...
Aqui hay uno de ejemplo que probablemente sea de StormWorm

--Ejempo-de-mail-de-propagacion-de-stormworm------------------------------------------
De: *******@*********
Asunto: *SPAM*: Man this is funny
Fecha: 6 de noviembre de 2007 21:14:21 GMT+01:00
Para: mikel

I know you hate junk mail, but this is just plane old fun.
http://98.234.138.252/
--------------------------------------------------------------------------------------