AGE GSI Bloque IV Tema 12: Seguridad en redes, control de acceso y criptografía

La confidencialidad busca que la información sea conocida solo por: Los usuarios autorizados. Cualquier usuario de la red. Solo los administradores del sistema. Los nodos intermedios.

La integridad en una comunicación segura implica que: Los datos no se modifiquen en el trayecto. La información esté siempre cifrada con AES. El sistema tenga doble fuente de alimentación. La conexión use UDP.

La disponibilidad significa que la información o el servicio: Puedan usarse cuando se necesiten. Se almacenen únicamente en local. No requieran autenticación. Se transmitan siempre por fibra.

Una amenaza de interrupción consiste en que: Se impide acceder a un recurso o servicio. Alguien observa el tráfico sin modificarlo. El atacante altera el contenido del mensaje. Se fabrica información falsa.

Una amenaza de intercepción consiste en que: Alguien no autorizado accede a la información. Se corta el servicio. Se destruye la clave pública. Se altera el TTL de un paquete.

La modificación como amenaza implica que el atacante: Accede y altera la información. Solo escucha el tráfico. Únicamente interrumpe el servicio. Se limita a emitir beacons.

La fabricación como amenaza implica que el atacante: Genera información o comunicaciones falsas. Obtiene el hash del mensaje. Solo provoca ruido eléctrico. Amplía el ancho de banda.

Un ataque pasivo se caracteriza porque: No modifica nada y se limita a observar. Siempre usa malware destructivo. Impide el acceso al servicio. Necesariamente cifra los datos.

Los ataques pasivos suelen ser difíciles de detectar porque: No dejan señales claras. Siempre usan TLS 1.3. No necesitan red. Se ejecutan solo en local.

Un ataque activo se caracteriza porque: Modifica o crea información falsa. Nunca deja rastro. Solo consiste en escuchar. Siempre se limita a ARP.

Según el tema, uno de los requisitos añadidos a la seguridad es: No repudio. Compresión obligatoria. Uso exclusivo de IPv6. Transcodificación.

La certificación de fechas se menciona como: Un requisito adicional de seguridad. Un tipo de algoritmo hash. Un mecanismo exclusivo de VPN. Una técnica de modulación.

La gestión de riesgos es una medida de seguridad de tipo: General/organizativa dentro de la protección del sistema. Exclusivamente criptográfica. Exclusivamente física. Solo orientada a WLAN.

Señala objetivos básicos de una comunicación segura citados en el tema. Confidencialidad. Integridad. Disponibilidad. Atenuación. Modulación.

Señala tipos de amenazas citadas en la introducción. Interrupción. Intercepción. Modificación. Fabricación. Jitter.

Señala requisitos adicionales de seguridad mencionados además del triángulo clásico. No repudio. Reclamación de propiedad. Accesibilidad. Certificación de fechas. BGP.

Une cada tipo de amenaza con su significado. Impide acceder al recurso o servicio. Acceso no autorizado a la información. Alteración de la información. Generación de información falsa.

¿Qué propiedad busca que el sistema pueda usarse cuando se necesita?.

¿Qué tipo de ataque se limita a observar sin modificar?.

¿Qué amenaza consiste en generar información falsa?.

El control de accesos resuelve principalmente: Identificación, autenticación y autorización. Solo cifrado y firma. Solo auditoría y backups. ARP y DHCP.

Algo que el usuario sabe es un factor de autenticación del tipo: Contraseña o PIN. Tarjeta o token. Huella o retina. Certificado X.509 del servidor.

Algo que el usuario tiene como factor de autenticación sería: Tarjeta, llave o token. Firma manuscrita. Voz. Ritmo de pulsación.

Algo que el usuario es hace referencia a: Biometría física. PIN. Password. Código OTP impreso.

Una posible clasificación de la información citada en el tema es: Libre, restringida, protegida y confidencial. Pública, privada y hash. Cableada, inalámbrica y óptica. Directa, inversa y transversal.

Una buena práctica de contraseñas indicada en el tema es: No compartirlas. Publicarlas en un directorio común. Usar siempre la fecha de nacimiento. No pedir confirmación al crearla.

Según el tema, debe impedirse en las contraseñas el uso de: Fechas, direcciones o matrículas. Letras mayúsculas. Más de 8 caracteres. Símbolos.

Una constante biométrica física citada es: Huella. Voz. Firma manuscrita. Ritmo de pulsación.

Un ejemplo de biometría de conducta citado es: Ritmo de pulsación del teclado. Retina. ADN. Geometría de la mano.

En biometría, para reducir el tiempo de respuesta se suele combinar con: PIN o contraseña. DHCP. NAT. CRC.

En un sistema de retrollamada (callback), tras la identificación el sistema: Corta la llamada y vuelve a llamar al origen autorizado. Entrega una IP por DHCP. Envía un beacon. Lanza un trap SNMP.

Las tarjetas de banda magnética se definen en la norma: ISO 7811. ISO 7816. X.509. PKCS 7.

Las tarjetas inteligentes o con chip se definen en la norma: ISO 7816. ISO 7811. X.500. PKCS 11.

Las tarjetas criptográficas incorporan: Un coprocesador para operaciones matemáticas. Solo una pista regrabable. Un único LED. Un puerto Ethernet.

El MAC (Message Authentication Code) se usa para: Comprobar autenticidad e integridad. Asignar direcciones Ethernet. Hacer routing en MPLS. Medir throughput.

Las tarjetas ópticas usan el modelo: WORM. RAID 5. FIFO. LIFO.

La ventaja principal de las tarjetas ópticas citada en el tema es: Gran capacidad de almacenamiento. Autenticación biométrica nativa. Cifrado cuántico. Soporte de IPv6.

Señala factores de autenticación citados en el tema. Algo que el usuario tiene. Algo que el usuario sabe. Algo que el usuario es. Algo que el usuario desea.

Señala constantes biométricas físicas citadas. Rostro. Huella. Geometría de la mano. Retina. ADN.

Señala biometrías de conducta citadas. Ritmo de pulsación. Voz. Firma manuscrita. Olor.

Señala buenas prácticas de contraseñas indicadas. No compartir. Pedir confirmación. Cambiar periódicamente. Guardar historial para no reutilizar. Usar fechas personales.

Señala datos o elementos que puede almacenar una tarjeta según el tema. Identidad cifrada. Hash del identificador, PIN y contraseña. Claves cifradas para comunicaciones. Dirección MAC del switch.

Une cada factor de autenticación con un ejemplo. Tarjeta o token. Contraseña o PIN. Huella o retina.

Une cada tipo de tarjeta con su característica. ISO 7811 y pistas magnéticas. ISO 7816 y CPU/memoria. Coprocesador criptográfico. Modelo WORM.

¿Qué siglas tiene el Message Authentication Code?.

¿Qué norma define las tarjetas inteligentes?.

¿Qué mecanismo vuelve a llamar al origen autorizado?.

La criptografía sirve para: Proteger la información transformándola para que solo la entienda quien tenga la clave adecuada. Comprimir ficheros grandes. Asignar direcciones IP privadas. Reducir el jitter en redes de voz.

En la expresión C = E(P), C representa: El texto cifrado. La clave pública. El texto claro. El hash del mensaje.

En la criptografía simétrica se usa: La misma clave para cifrar y descifrar. Una clave pública y otra privada. Solo funciones hash. Únicamente certificados digitales.

La criptografía simétrica destaca por ser: Rápida y adecuada para grandes volúmenes. Muy lenta y solo útil para firmas. Inversible sin clave. Exclusiva de PKI.

El gran inconveniente de la criptografía simétrica es: El reparto seguro de la clave. Que no puede cifrar mucho volumen. Que no existe hardware para acelerarla. Que no permite descifrar.

Un ejemplo de algoritmo simétrico citado es: 3DES. RSA. Diffie-Hellman. OCSP.

En criptografía asimétrica cada usuario dispone de: Una clave pública y una privada. Dos claves privadas. Una única clave compartida por toda la red. Un hash y una sal.

Para confidencialidad con criptografía asimétrica, el emisor cifra con: La clave pública del receptor. Su clave privada. La clave privada del receptor. El hash del mensaje.

Para firma o autenticación con criptografía asimétrica, el emisor usa: Su clave privada. La clave pública del receptor. La clave pública del emisor. Una community SNMP.

La criptografía asimétrica es especialmente útil para: Firma e intercambio seguro de claves. Cifrar de forma eficiente grandes volúmenes de datos. Calcular checksums Ethernet. Hacer NAT.

En la práctica, lo habitual es que: La clave de sesión simétrica se proteja con criptografía asimétrica. Todo se cifre siempre con RSA directamente. Solo se usen hashes. No se usen claves de sesión.

En una red de N usuarios, con cifrado simétrico hacen falta: n(n-1)/2 claves compartidas. 2n claves. n claves exactas. 4n claves.

En una red de N usuarios, con cifrado asimétrico hacen falta: 2n claves. n(n-1)/2 claves. Una clave global. Solo una CA.

Diffie-Hellman se usa sobre todo para: Intercambio de claves. Hashing. Compresión de mensajes. Cifrado por bloques en CBC.

Una función hash es: Unidireccional. Un sistema de cifrado reversible con clave pública. Un método de multiplexación. Un protocolo de routing.

En una función hash, la salida tiene: Longitud fija. Longitud igual a la del mensaje original. Longitud variable según la clave. Siempre 48 bytes.

Una colisión en un hash ocurre cuando: Dos mensajes distintos tienen el mismo resumen. Un mensaje no puede cifrarse. La clave pública y la privada coinciden. El MAC falla en Ethernet.

Un algoritmo hash citado en el tema es: RIPEMD. AES. DES. IDEA.

La utilidad principal del hash es: Verificar la integridad de los datos. Distribuir claves públicas. Hacer tunneling. Gestionar certificados.

Señala algoritmos simétricos citados en el tema. DES. 3DES. IDEA. RC4. Skipjack.

Señala propiedades de una función hash citadas. Es unidireccional. No usa clave. La salida tiene longitud fija. Un pequeño cambio altera mucho el resumen. Debe ser difícil encontrar colisiones.

Señala ventajas o usos típicos de la criptografía asimétrica. No hay que compartir una clave secreta previa. Facilita la gestión de claves en redes grandes. Permite montar protocolos de seguridad. Permite firma digital.

Une cada tipo de criptosistema con su rasgo principal. Una sola clave y gran rapidez. Par clave pública/privada. Resumen no reversible.

Une cada operación con la clave utilizada en asimétrica. Clave pública de B. Clave privada de A. Clave pública de A. Clave privada de B.

¿Algoritmo asimétrico clásico para cifrado y firma citado en el tema?.

¿Algoritmo citado sobre todo para intercambio de claves?.

¿Qué fórmula expresa el número de claves en simétrico para N usuarios?.

¿Qué tipo de criptografía usa una sola clave secreta?.

La firma digital garantiza principalmente: Autenticidad e integridad. Solo disponibilidad. Solo compresión. Solo anonimato.

Desde el punto de vista jurídico, la firma digital aporta: No repudio. Solo trazabilidad de red. QoS. Conmutación de etiquetas.

La firma digital se basa en: Criptografía asimétrica. CSMA/CA. Conmutación de circuitos. NAT.

La firma digital segura se realiza normalmente sobre: El hash o resumen del mensaje. Todo el mensaje completo cifrado siempre. La dirección MAC. La cabecera IP.

Al verificar una firma digital, el receptor usa: La clave pública del firmante. La clave privada del firmante. La clave pública del receptor. La contraseña del usuario.

Si A quiere enviar a B un mensaje firmado y además confidencial: Primero firma con su privada y luego cifra con la pública de B. Primero cifra con su privada y luego firma con la pública de B. Solo debe firmarlo. Solo debe calcular un hash.

Una CA es: Una entidad de confianza que certifica la relación entre identidad y clave pública. Un algoritmo hash. Un tipo de VPN. Un protocolo de routing interior.

Un certificado digital es: Un documento electrónico firmado por una CA que vincula clave pública e identidad. Una lista de contraseñas robustas. Un túnel IPsec. Un fichero de log del firewall.

El estándar de certificados digitales citado es: X.509. X.25. XDR. 802.1X.

X.509 se enmarca dentro del entorno de directorios: X.500. X.400. ASN.0. TLS Record.

Los DN (Distinguished Name) se usan para: Identificar a los usuarios en directorio/certificados. Asignar etiquetas MPLS. Firmar hashes HMAC. Definir tramas Ethernet.

Un certificado puede revocarse si: La clave privada ha sido comprometida. Se usa AES en vez de DES. El usuario emplea IPv6. Hay demasiados AP en la WLAN.

La lista de certificados revocados se denomina: CRL. MIB. FIB. SAD.

El protocolo para consultar en línea la revocación de un certificado es: OCSP. OSPF. OCPP. OCX.

PKI significa: Public Key Infrastructure. Private Key Index. Protected Key Internet. Packet Key Interface.

En la PKI, la ORA se encarga de: Identificar y registrar correctamente al usuario antes de emitir el certificado. Calcular hashes SHA-256. Hacer el routing de paquetes. Cifrar el canal TLS.

La PAA en una PKI es la autoridad que: Aprueba políticas generales de toda la infraestructura. Emite certificados a usuarios finales. Consulta CRL en línea. Transporta datagramas.

PKCS 10 define: El formato de solicitud de certificado. El uso de RSA para cifrar y firmar. La interfaz para tokens. El formato de claves privadas.

PKCS 11 define: La interfaz para usar dispositivos criptográficos. La derivación de claves a partir de contraseñas. El formato extendido de certificados. OCSP.

Señala campos típicos de un certificado X.509 citados. Versión. Número de serie. Emisor. Periodo de validez. Clave pública del sujeto.

Señala motivos de revocación de certificados citados. Pérdida de la clave privada. Compromiso de la clave privada. Datos del certificado ya no válidos. Caducidad.

Señala niveles o elementos de la PKI citados. PAA. PCA. CA. ORA.

Señala estándares PKCS citados en el tema. PKCS 1. PKCS 5. PKCS 7. PKCS 10. PKCS 11.

Une cada componente PKI con su función. Aprueba políticas generales. Establece políticas dentro de su dominio. Emite certificados. Registra e identifica al usuario.

Une cada estándar PKCS con lo que define. Uso de RSA. Derivación de claves a partir de contraseñas. Formato de claves privadas. Solicitud de certificado. Interfaz para dispositivos criptográficos.

¿Qué protocolo consulta en línea el estado de revocación de un certificado X.509?.

¿Cómo se llama la lista de certificados revocados?.

¿Qué recomendación define el estándar de certificados digitales citado?.

¿Cómo se llama la infraestructura de clave pública?.

TLS significa: Transport Layer Security. Trusted Link Security. Transfer Layer System. Tunnel Link Service.

Actualmente TLS se usa en lugar de: SSL. SSH. S/MIME. IPsec.

TLS protege principalmente: Confidencialidad, integridad y autenticación. Solo disponibilidad. Solo direccionamiento IP. Solo multicast.

TLS usa criptografía simétrica para: Cifrar la comunicación porque es rápida. Firmar certificados X.509. Resolver OID de MIB. Hacer routing.

TLS usa criptografía asimétrica para: Intercambiar de forma segura las claves de sesión. Cifrar todo el tráfico de datos masivos. Evitar broadcast. Conmutar tramas.

TLS Record Protocol se apoya sobre un protocolo fiable como: TCP. UDP. ICMP. ARP.

El protocolo de saludo inicial de TLS es: Handshake Protocol. RMON. AH. ESP.

Una ventaja de TLS citada es que: No depende del protocolo de aplicación. Solo funciona con HTTP. No usa certificados. No requiere sockets.

HMAC en TLS sirve para: Detectar cambios de datos y apoyar integridad. Asignar VLAN. Comprimir registros. Resolver DNS.

El estado de sesión TLS guarda: El contexto general de seguridad acordado. Solo la dirección IP del cliente. El contenido completo de la aplicación. La tabla de rutas del servidor.

La clave maestra de una sesión TLS tiene según el tema: 48 bytes. 16 bytes. 32 bytes. 64 bytes.

El estado de conexión TLS se asocia a: Una comunicación concreta que usa la sesión. La política general de certificación. La MIB del equipo. Una VLAN.

En el handshake, el cliente empieza enviando: Client Hello. Finished. Alert. Certificate.

Client Hello incluye entre otras cosas: Versión de TLS, número aleatorio y suites criptográficas soportadas. La clave privada del cliente. La CRL completa. La FIB del router.

Si el servidor no acepta ninguna suite criptográfica propuesta: El handshake falla y se rechaza la conexión. Se negocia automáticamente RC4. Se cae TCP pero sigue TLS. Se usa UDP.

El servidor responde inicialmente con: Server Hello. ChangeCipherSpec. Client Key Exchange. close_notify.

El certificado del servidor suele ser: X.509 v3. X.25. PKCS 11. ASN.0.

Cuando el servidor termina su parte inicial del handshake envía: Server Hello Done. Client Hello Done. Key Finished. RST.

El cliente envía el pre-master secret protegido mediante: La clave pública del servidor. Su propia clave pública. La clave privada del servidor. Un hash sin clave.

La master secret se obtiene a partir del pre-master secret y: Valores intercambiados previamente. Solo la MAC Ethernet. Solo el certificado del cliente. Un mensaje SNMP get.

ChangeCipherSpec indica que: Los siguientes mensajes usarán ya claves y algoritmos negociados. Se cambia la IP origen. Se reinicia TCP. Se invalida la sesión.

Finished es importante porque: Es el primer mensaje protegido y comprueba la negociación. Transporta el certificado X.509. Contiene la CRL. Cierra la sesión.

En TLS, la sesión es respecto a la conexión: Reutilizable por varias conexiones. Siempre idéntica a una única conexión y nunca reutilizable. Un campo de UDP. Solo un identificador visual.

TLS 1.0 se define en: RFC 2246. RFC 5246. RFC 8446. RFC 4347.

TLS 1.2 sustituyó combinaciones MD5/SHA-1 por: SHA-256. CRC32. RC4. DES.

En TLS 1.2, el secreto perfecto hacia delante lo aportan: DHE y ECDHE. RSA estático. MD5. RC4.

TLS 1.3 reduce el handshake típico a: 1-RTT. 3-RTT. 0-RTT siempre. 4-RTT.

El 0-RTT en TLS 1.3 se usa para: Reanudaciones con PSK. Firmar certificados. Sustituir a DTLS. Transporte sobre UDP.

Un problema del 0-RTT es que: No garantiza secreto perfecto hacia delante y puede sufrir replay. No cifra el tráfico. Solo funciona con SSL 3.0. Obliga a usar RC4.

Una suite citada en TLS 1.3 es: TLS_AES_128_GCM_SHA256. TLS_RC4_MD5. TLS_DES_SHA1. TLS_NULL_NULL.

BEAST es un ataque contra: CBC en TLS 1.0. OCSP. AH. 802.1X.

CRIME se basa en: Compresión. TTL. ARP. NAT.

POODLE afecta principalmente a: SSL 3.0 en CBC y algunas implementaciones TLS. TLS 1.3. OCSP stapling. ESP en modo túnel.

Heartbleed fue un fallo de: OpenSSL. Wi-Fi Alliance. BGP. RADIUS.

Señala protocolos de aplicación citados que pueden usar TLS. HTTPS. LDAPS. IMAPS. POP3S. FTPS.

Señala elementos del estado de sesión TLS citados. ID de sesión. Certificado digital. Método de compresión. Algoritmo de cifrado. Clave maestra.

Señala elementos del estado de conexión TLS citados. Clave de cifrado del cliente. Clave MAC del servidor. IV del cliente. IV del servidor.

Señala versiones de TLS citadas en el tema. TLS 1.0. TLS 1.1. TLS 1.2. TLS 1.3.

Señala ataques citados contra SSL/TLS. BEAST. CRIME. BREACH. POODLE. Heartbleed.

Une cada mensaje del handshake TLS con su función principal. Propone versión y suites. Acepta parámetros y fija sesión. Avisa del cambio al cifrado negociado. Verifica que la negociación fue correcta.

Une cada versión de TLS con la característica citada. Evolución de SSL 3.0. IV explícito para CBC. SHA-256 y AEAD más amplios. Handshake más rápido con 1-RTT.

Une cada ataque con su rasgo. Ataca CBC en TLS 1.0. Se basa en compresión. Padding Oracle sobre SSL 3.0/CBC. Fallo de OpenSSL que leía memoria.

¿Qué protocolo de TLS se encarga del saludo inicial?.

¿Qué mensaje indica que ya se usarán las claves negociadas?.

¿Qué estándar sustituyó a SSL por considerarse este obsoleto?.

DTLS significa: Datagram Transport Layer Security. Distributed TLS. Data Tunneling Link Service. Direct TLS.

DTLS está orientado a: Datagramas como UDP. Conexiones fiables tipo TCP exclusivamente. Multiplexación SDH. Encaminamiento MPLS.

DTLS reutiliza casi todo TLS pero lo adapta a que los datagramas: Pueden perderse, repetirse o llegar desordenados. Siempre llegan ordenados y sin pérdidas. Solo viajan por Ethernet. Se cifren con RC4.

En DTLS, cada registro debe: Caber completo dentro de un único datagrama. Dividirse obligatoriamente en varios fragmentos. Ir siempre en TCP. Usar 64 KB exactos.

DTLS añade en el registro los campos: Epoch y Sequence Number. SPI y SAD. VID y PCP. TTL y DSCP.

El número de secuencia explícito en DTLS tiene: 48 bits. 64 bits. 32 bits. 16 bits.

En el primer Client Hello de DTLS el campo cookie va: Vacío. Con el certificado del cliente. Con el SPI. Con el HMAC final.

HelloVerifyRequest en DTLS sirve sobre todo para: Comprobar que el cliente puede recibir y evitar gasto inútil de recursos. Enviar el certificado del servidor. Cerrar la sesión. Reservar ancho de banda.

La principal diferencia del handshake de DTLS respecto a TLS es: La cookie de HelloVerifyRequest. El uso obligatorio de RSA. Que no existe Finished. Que no usa certificados.

Según el tema, DTLS 1.2 corresponde conceptualmente a: TLS 1.2. TLS 1.1. TLS 1.0. SSL 3.0.

DTLS 1.3 fue definido en: 2022. 2006. 1999. 2010.

Señala rasgos de DTLS citados en el tema. Adaptado a UDP. Cada registro cabe en un datagrama. Incluye epoch. Incluye número de secuencia explícito.

Une cada elemento de DTLS con su función. Evitar flooding y comprobar al cliente. Indicar el estado criptográfico usado. Detectar repeticiones y orden. Tamaño máximo sin fragmentar.

¿Qué versión segura de TLS para datagramas se menciona?.

IPSec significa: Internet Protocol Security. Internal Packet Security. Internet Privacy Secure Channel. IP Session Encryption Control.

IPSec cubre las carencias de seguridad del protocolo: IP. TCP. Ethernet. SNMP.

Una ventaja de IPSec citada es que es: Un estándar abierto basado en IETF. Propietario de Cisco. Exclusivo de IPv6. Solo para WLAN.

IPSec puede proteger protocolos superiores a IP como: TCP y UDP. Solo Ethernet. Solo MPLS. Solo TLS.

Los componentes principales de IPSec son: AH, ESP e IKEv2. TLS, DTLS y SSH. CRL, OCSP y PKI. BGP, OSPF y RIP.

El modo transporte de IPSec suele usarse entre: Host y host. Gateway y gateway exclusivamente. Switch y switch. AP y controlador.

El modo túnel de IPSec es típico de: VPN. ARP. DNS interno. Token Ring.

Una Security Association (SA) es: Una relación unidireccional que define cómo se protege un tráfico concreto. Una clave maestra compartida por toda la empresa. Una CRL. Una interfaz VLAN.

Para ida y vuelta con IPSec hacen falta: Dos SA. Una sola SA. Cuatro CA. Un único certificado.

Una SA se identifica por SPI, IP de destino y: Protocolo de seguridad usado (AH o ESP). TTL. Puerto TCP. VLAN ID.

SPD significa: Security Policy Database. Secure Parameters Directory. Service Packet Definition. State Packet Database.

SAD significa: Security Association Database. Secure Authentication Directory. Session Alert Database. System Access Definition.

AH proporciona: Autenticación, integridad y protección anti-replay, pero no cifrado. Solo cifrado. Solo NAT. Solo compresión.

El número de protocolo IP asignado a AH por IANA es: 51. 50. 443. 161.

ESP proporciona sobre todo: Confidencialidad, y además puede dar integridad y autenticidad. Solo autenticación sin cifrado. Solo resolución de nombres. Solo signaling.

El número de protocolo IP asignado a ESP por IANA es: 50. 51. 443. 646.

En IPSec, AEAD significa: Authenticated Encryption with Associated Data. Asymmetric Encryption and Authentication Directory. Applied Encapsulation of Active Datagrams. Authorized Exchange of Association Data.

Un ejemplo citado de cifrado autenticado para ESP es: AES-GCM. RC4. DES-CBC simple. MD5.

IKEv2 sirve para: Negociar claves, algoritmos y parámetros de IPSec. Firmar certificados X.509. Transportar registros TLS. Resolver OID.

En modo transporte, IPSec protege principalmente: La carga útil de capas superiores. Todo el paquete IP con nueva cabecera externa. Solo la MAC Ethernet. Solo el puerto TCP.

En modo túnel, IPSec: Encapsula el paquete IP completo dentro de otro paquete IP. Solo añade un hash al final de TCP. Elimina la cabecera IP original sin sustituirla. Funciona solo con AH.

AH se coloca normalmente: Entre la cabecera IP y los datos transportados. Después del CRC Ethernet. Dentro de la MIB. Entre dos etiquetas MPLS.

ESP en modo túnel se usa mucho en: Conexiones entre gateways/VPN. ARP. NTP. 802.1X.

La protección anti-replay se apoya entre otras cosas en: El número de secuencia. La dirección MAC. El DNS. La compresión.

Una bundle de SA es: Una secuencia de asociaciones de seguridad que el tráfico recorre en cierto orden. Una CRL comprimida. Una política de contraseñas. Un tipo de AP empresarial.

Señala beneficios de IPSec citados en el tema. Acceso remoto seguro. Redes corporativas sobre redes públicas. Extranets B2B. Teletrabajo seguro.

Señala servicios de seguridad ofrecidos por IPSec. Integridad y autenticación del origen. Confidencialidad. Detección de repeticiones. Control de acceso.

Señala elementos con los que se identifica una SA. SPI. Dirección IP de destino. Protocolo de seguridad usado.

Señala diferencias correctas entre AH y ESP. AH no cifra. ESP sí cifra. AH aporta integridad y autenticación. ESP puede aportar integridad y autenticación.

Une cada base de datos IPSec con su función. Define qué hacer con el tráfico: permitir, bloquear o proteger. Guarda los parámetros de las SA activas.

Une cada componente de IPSec con su papel. Autenticación e integridad sin cifrado. Cifrado y protección adicional. Negociación de claves y parámetros. Relación unidireccional de seguridad.

Une cada modo de IPSec con su descripción. Protege sobre todo la carga útil y mantiene cabecera IP original. Encapsula el paquete IP completo en otro paquete IP.

¿Qué protocolo de IPSec cifra el contenido y es el más usado?.

¿Qué protocolo de IPSec da integridad y autenticación sin cifrar?.

¿Cómo se llama el índice de 32 bits que identifica una SA?.

¿Cómo se llama el protocolo de intercambio de claves de IPSec?.

Un firewall es un conjunto de: Técnicas, políticas, hardware y software. Solo un router. Solo un antivirus. Solo un switch L2.

La función principal de un firewall es: Proteger una red controlando el tráfico entre redes. Asignar IP mediante DHCP. Calcular hashes SHA. Servir páginas web.

Una función del firewall citada es: Filtrado de paquetes. Multiplexación WDM. Conversión OCR. Gestión de impresión.

El filtrado de paquetes actúa básicamente sobre: Capas de red y transporte. Solo aplicación. Solo física. Solo presentación.

En un firewall por filtrado de paquetes suelen mirarse: IP origen/destino, puertos y protocolo. Solo el color del cable. Solo el SSID. Solo el hash del fichero.

Un proxy o gateway de aplicación se caracteriza porque: Actúa como intermediario entre cliente y servidor. Se limita a mirar el TTL. Trabaja solo con broadcast. No puede filtrar contenido.

Un reverse proxy se coloca: Delante de uno o varios servidores. Detrás del cliente. Dentro de la tarjeta inteligente. En la CRL.

El reverse proxy puede usarse para: Añadir seguridad y terminar SSL/TLS. Reemplazar certificados X.509. Crear OID SNMP. Hacer OFDMA.

La inspección de paquetes en modo promiscuo se asocia en el tema a: IDS. DHCP. ARP. PPP.

Señala funciones de un firewall citadas en el tema. Control de accesos. Filtrado de paquetes. Monitorización del tráfico. Registro del tráfico. Servir como punto de cifrado.

Une cada tipo de firewall con su característica. Mira IP, puertos y protocolo. Intermediario entre cliente y servidor. Se coloca delante del servidor. Analiza paquetes en modo promiscuo.

¿Cómo se llama el cortafuegos que se coloca delante de los servidores?.

Tunneling consiste en: Encapsular tráfico de un protocolo dentro de otro creando un camino lógico. Asignar etiquetas MPLS a toda la red doméstica. Crear una MIB. Hacer hashing de ficheros.

En el túnel, al llegar al extremo remoto se realiza: Desencapsulación. Defragmentación física de fibra. Asignación de OID. Modulación OFDM.

Los túneles de capa 2 trabajan con: Tramas. Paquetes IP exclusivamente. Certificados X.509. Solo segmentos TCP.

PPTP y L2TP son ejemplos de túneles de: Capa 2. Capa 7. Capa física. Capa 5.

Los túneles de capa 3 trabajan con: Paquetes IP. Tramas PPP exclusivamente. Tarjetas inteligentes. Señales ópticas.

Una VPN es: Una red privada que usa una red pública para conectar usuarios, sedes o segmentos. Una VLAN doméstica. Una MIB extendida. Una topología mesh.

La principal función de una VPN es aportar: Confidencialidad e integridad. Solo broadcast. Solo QoS sin cifrado. Solo disponibilidad eléctrica.

Una ventaja de la VPN citada es que evita: Líneas dedicadas caras. El uso de IPsec. El empleo de certificados. El acceso remoto.

Un elemento de una conexión VPN es: Servidor VPN. Solo switch de acceso. Solo DNS público. Solo SAI.

El cliente VPN es: El programa o dispositivo que inicia la conexión. La CA que emite certificados. El AP de una WLAN. El balanceador de carga.

En el funcionamiento general de una VPN, tras iniciar el túnel el servidor VPN: Autentica al usuario y crea el otro extremo del túnel. Publica una CRL. Envía un OID SNMP. Monta una VLAN 802.1Q.

Señala mecanismos de seguridad o funciones citadas en VPN. Confidencialidad. Integridad. Compresión. Autenticación. Gestión distribuida de claves.

Señala elementos de una conexión VPN citados. Servidor VPN. Cliente VPN. Túnel. Protocolos de túnel. Red de tránsito.

Une cada protocolo o concepto de VPN con su capa o función. Túnel de capa 2. Túnel de capa 2. Túnel de capa 3 / seguridad IP. Camino lógico de datos encapsulados.

¿Qué protocolo de túnel de capa 2 empieza por P?.

¿Qué protocolo de túnel de capa 2 empieza por L?.

¿Qué protocolo se cita como túnel de capa 3?.

El puesto de trabajo se entiende en el tema como: Un conjunto de dispositivos usados para trabajar. Solo un PC de sobremesa. Solo un portátil corporativo. Solo la impresora de red.

Un riesgo citado es que muchas organizaciones: Protegen bien el CPD pero olvidan los puestos de trabajo. No usan antivirus en CPD. No emplean firewalls. No tienen usuarios.

Una medida organizativa de seguridad en el puesto es: Deber de confidencialidad. Aumentar el jitter. Instalar un segundo router MPLS. Desactivar el logging.

Una medida técnica de seguridad citada es: Actualizaciones automáticas. Compartir contraseñas. Dejar USB abiertos siempre. Permitir software no autorizado.

Bloqueo por AFK se refiere a: Bloqueo por inactividad/ausencia del usuario. Cifrado de disco. Asignación de IP fija. Cambio automático de CA.

El uso seguro de unidades extraíbles se menciona como: Medida organizativa. Ataque a TLS. Algoritmo de hash. Protocolo VPN.

Señala medidas organizativas citadas para el puesto de trabajo. Deber de confidencialidad. Notificar incidentes. No compartir contraseñas. Uso controlado de nube. No instalar software no autorizado.

Señala medidas técnicas citadas para el puesto de trabajo. Política de contraseñas robusta. Antivirus en todos los equipos. Actualizaciones automáticas. Restringir puertos USB. Bloqueo por AFK.

Une cada medida del puesto de trabajo con su tipo. Organizativa. Organizativa. Técnica. Técnica.

¿Qué siglas se usan para hablar de no estar en el puesto y bloquear el equipo?.

El HMAC citado en TLS significa: Hash-Based Message Authentication Code. High Message Access Channel. Host Managed Authorization Code. Hierarchical MAC.

En TLS, los datos del Record Protocol se fragmentan normalmente en bloques de tamaño inferior a: 2^14 bytes. 2^8 bytes. 2^20 bytes. 64 bytes.

close_notify es una alerta TLS de tipo: Cierre de conexión. Cambio de cifrado. Petición de certificado. Error de DNS.

bad_record_mac en TLS es una alerta que significa que: El mensaje pudo ser alterado o las claves no cuadran. La dirección IP no existe. La VLAN está mal etiquetada. El servidor ha cambiado de ESS.

DHE significa: Diffie-Hellman Ephemeral. Digital Host Exchange. Datagram Host Encryption. Dynamic Header Encapsulation.

En TLS 1.3 se eliminaron muchas suites antiguas en favor de suites más: Limitadas y seguras. Lentas y obsoletas. Basadas en RC4. Sin autenticación.

En DTLS, HelloVerifyRequest mitiga ataques de: Flooding o suplantación de dirección. Replay sobre ESP. ARP spoofing. BGP hijacking.

En IPSec, cuando el sistema recibe un paquete protegido busca en la SAD usando: IP destino, protocolo IPSec y SPI. Solo puerto TCP. Solo certificado del emisor. TTL y checksum.

AH protege algunas partes de la cabecera IP, pero no campos mutables como: TTL. Dirección origen. Versión IP. Longitud total fija.

En ESP, el campo que indica el tipo de datos de la carga útil es: Next Header / siguiente cabecera. CRL. VID. Epoch.

Una función del servidor VPN es: Conectar redes o dar acceso remoto a usuarios. Emitir certificados X.509 obligatoriamente. Hacer switching Ethernet. Actuar siempre como IDS.

En el puesto de trabajo, limitar usuarios genéricos es una medida: Técnica. De routing. De QoS. De multiplexación.

Señala protocolos o componentes de TLS citados. Record Protocol. Handshake Protocol. ChangeCipherSpec. Alert.

Señala campos principales de la cabecera AH citados. Next Header. Payload Length. SPI. Sequence Number. Authentication Data.

Señala campos de ESP citados. SPI. Número de secuencia. Datos de la carga útil. Longitud del relleno. Datos de autenticación.

Une cada concepto con su definición breve. Lista de certificados revocados. Consulta en línea del estado de revocación. Infraestructura de clave pública. Autoridad de certificación.

Une cada protocolo de seguridad con su ámbito principal. Canal seguro sobre TCP entre aplicaciones. Seguridad TLS sobre datagramas. Seguridad a nivel IP. Red privada sobre red pública.

¿Qué protocolo usa TLS Record Protocol como transporte fiable habitual?.

¿Qué versión de TLS introdujo handshake de 1-RTT?.

¿Qué protocolo de seguridad a nivel IP usa AH y ESP?.