Preguntas LSI

Nsswitch.conf. Este archivo nos permite definir múltiples configuraciones de red para poder conectar nuestros equipos en diferentes redes. Suele utilizarse en equipos con movilidad entre redes domésticas y de trabajo. Este archivo nos permite configurar dónde buscar cierto tipo de información administrativa (hosts, passwd, group, shadow, networks…). Este archivo únicamente se localiza en aquellos equipos que tienen conectividad mediante redes de medio conmutad, como las debían del laboratorio de prácticas, y se utiliza para la gestión de la paquetería de red. Ninguna de las anteriores.

El protocolo Diffie-Hellman es empleado por SSH para …. Cifrar mediante un algoritmo asimétrico la comunicación cliente-servidor. Cifrar mediante un algoritmo simétrico la comunicación cliente-servidor. SSH no emplea el protocolo Diffie-Hellman sino que usa RSA. Intercambiar un secreto compartido o clave de sesión entre cliente y servidor.

Considerando como referencia la red de prácticas, en la máquina 10.10.102.200 se configura arpon de forma estática. En la 10.10.102.199 se hace un MITM por arp spoofing de tipo remote entre la 10.10.102.200 y el “router”. Desde la 10.10.102.200 “navegamos” a distintas páginas web. La 10.10.102.199 captura la totalidad de la paquetería de navegación de la 10.10.102.200 dado que arpon detecta el ARP spoofing pero no protege. La 10.10.102.199 no captura ningún tráfico de la navegación web. La 10.10.102.199 capturará una parte de la paquetería de la navegación. La 10.10.102.199 quedará bloqueada y se le producirá una denegación de servicio por la acción de arpon.

DMZ. Intranet. Outranet. Red perimetral. Red Privada Virtual.

Un fichero .pem. Puede contener una clave pública, clave privada y certificado raíz. Es un contenedor de certificados digitales por lo que únicamente puede contener claves públicas, las privadas siempre irán en los ficheros .key. Es un formato únicamente reservado para contener listas de revocación de certificados. Ninguna de las anteriores es correcta.

Shodan. Motor de búsqueda de equipos y dispositivos específicos. Analizador de vulnerabilidades web. Herramienta de esteganografía. Analizador de configuraciones de cortafuegos.

Idle Scan: Relacionado con Ip Spoofing, IP ID, control de estado entre otros. No relacionado con Ip Spoofing pero sí con IP ID. La a) es correcta pero sin Ip Spoofing. Ninguna de las anteriores.

Puerto 21. SSH. DNS. SMTP. FTP.

En cifrado asimétrico se cifra: Con la clave pública del receptor. Con la clave privada del emisor. Con la clave pública del emisor. Con la clave privada del receptor.

Puerto 25. SFTP. SSH. SMTP. NX.

/etc/nsswitch.conf. Esquema de fuentes para hosts, dns, autenticación, etc. Esquema de resolución del sistema y el dominio. Configuración de correspondencia entre máquinas y direcciones Ethernet. Ninguna de las anteriores.

Un amigo está haciendo referencia al nmap y te habla de un idle scan. Hace referencia a la decodificación de firmas para identificar el sistema operativo de un sistema remoto de forma pasiva. Hace referencia a un escaneo de puertos. Hace referencia a un escaneo suplantando otras IPs. Hace referencia a un escaneo mediante retardos.

Maltego. Módulo para establecer servicios seguros de red (similar a las VPNs). Securiza conexiones web sobre SSL de forma permanente para evitar ataques de inyección de certificado o del tipo sslstrip. Módulo que cargamos en Rsyslog para cifrar los mensajes de log. Aplicación de minería y recolección de información utilizada en “Information Gathering”.

El anonimato que proporciona la red tor se basa en…. Ocultar la dirección IP real del usuario. Cifrar el tráfico desde la máquina del usuario hasta la máquina de destino. Usar un infraestructura de red paralela a Internet. Usar proxies residentes en países sin regulación sobre internet.

De acuerdo con la Ley 34/2002, de 11 julio de servicios de la sociedad de la información y el comercio electrónico, ¿dónde se entiende celebrado un contrato electrónico en que interviene un consumidor (B2C)?. En el lugar pactado en el contrato. En el lugar donde se realiza la oferta. En el lugar de establecimiento de prestador de servicios. En el lugar de residencia habitual del consumidor.

16. Usted abre una conexión ssh contra su máquina de laboratorio 10.10.102.XX y le solicita el correspondiente login o nombre de usuario y password. En el correspondiente proceso de autenticación se utiliza el algoritmo criptográfico MD5. En el correspondiente proceso de autenticación se utiliza el algoritmo criptográfico SHA2. En el correspondiente proceso de autenticación se utiliza kerberos. Ninguna de las anteriores correcta.

21. raíz cuadrada de 484. SSH. FTP. Telnet.

En su máquina de laboratorio, desde una consola, con permisos de root, usted ejecuta: #iptables -P INPUT DROP; iptables -F ¿Qué sucederá entonces?. Se borrarán todas las reglas de INPUT y se listarán las reglas por pantalla. Se respetará iptables a su estado original. La máquina ya no aceptará conexiones entrantes. La máquina aceptará todas las conexiones entrantes.

Slowloris. Direct attack que afecta a todos los servidores web. Reflective attack que afecta a todos los servidores web. Direct attack que afecta a algunos servidores web. Reflective attack que afecta a algunos servidores web.

El anonimato que proporciona la red Tor se basa en …. Usar cifrado extremo-a-extremo (desde la máquina del usuario hasta la máquina de destino). Usar una red paralela a internet, con infraestructura propia. Ocultar la identidad de los nodos intermedios. Ninguna de las anteriores.

Un ataque de tipo CAM flooding…. No funcionará si los usuarios han configurado mapeado ARP estático en sus equipos. Se basa en asociar la dirección MAC del atacante con la dirección IP del switch y así recibir todo el tráfico que pasa por el switch. También se conoce como ARP spoofing o ARP poisoning. Ninguna de las anteriores.

zabbix. Herramienta de monitorización distribuida. Herramienta para backups distribuidos. Herramienta de detección de interfaces en modo promisc. Ninguna de las anteriores.

Puerto 53. SMTP. SSH. DNS. Syslog.

AES. bloque. asimétrico. flujo. clásico.

Si ejecutamos el comando # ac. Total de tiempo de cpu utilizado por los procesos de un usuario, en este caso del root. Información de fecha, hora, etc., de las sesiones abiertas por un usuario, en este caso del root. Relación de comandos ejecutados en el proceso de accounting, en este caso del root. Total de horas de conexión de un usuario, en este caso del root.

Desde su máquina virtual (1010.102.XX), en el entorno de prácticas del laboratorio, ejecuta, como usuario privilegiado el siguiente comando: #nmap -sP 10.10.102.27. nmap efectuará “host discovery”. nmap efectuará “port scanning”. nmap efectuará “host discovery” y, si la máquina está “vida”, efectuará “port scanning”. nmap efectuará “fingerprinting”.

El consentimiento en materia de protección de datos …. Es toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le conciernen. El consentimiento no puede ser tácito. Se exigirá siempre al titular de los datos, con la única excepción de las fuentes de acceso al público (FAP), es decir, aquellos ficheros cuya consulta puede ser realizada por cualquier persona. Es toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le conciernen. El consentimiento puede ser táctico. No es válido cuando lo realiza un menor de 18 años. Se precisa siempre el consentimiento de sus padres o representantes legales.

Footprinting. Ataque Ddos. Técnica utilizada en información gathering. Algoritmo de cifrado.

Puerto 22. DNS. SSH. syslog. telnet.

802.1x. Estándar que define un formato de certificado digital. Estándar para prevenir el DHCP spoofing. Estándar que permite a múltiples redes compartir el mismo medio físico. Estándar para el control de acceso a red.

En las redes Tipo TOR: Es infalible. Hay tres tipos de entidades: Onion Router, Onion Proxy, y Anonymizers. Es necesario un entry node, middle node, y exit node. El exit node va siempre cifrado a su destino.

PKCS. Es otra forma de dominar X509. Protocolo de intercambio de claves de sesión para SSL que forma parte del Change Cipher Spec Protocol. Grupo de estándares de criptografía de clave pública. Ninguna de las anteriores es correcta.

HTTP_X FORWARDED_FOR. No tiene relevancia en el ámbito de la privacidad y el anonimato. Únicamente incluye el nombre o dirección IP del servidor web. Si no está vacío denota el uso de un proxy. Se utiliza para hacer forwarding a nivel IP.

Ataque LAND. Generación de paquetes con origen y destino la misma máquina, para que los auto-responda. Generación de paquetes con origen la máquina a atacar y destino una dirección de broadcast, para conseguir un factor de amplificación alto. Generación de paquetes con origen una dirección de broadcast y destino la máquina a atacar. No existe tal tipo de ataque.

En el contexto de la seguridad informática, el código CVE-2014-0160 …. Se refiere a un conocido plugin para ettercap. Es un código de verificación electrónica. Es un algoritmos de hash o resumen. Identifica unívocamente una vulnerabilidad.

.onion. Plataforma interactiva para el manejo de proxys de tipo transparente abiertos en la red. Dominio recientemente aprobado por la ICANN que aglutina la totalidad de máquinas que acceden a la red tor. pseudo dominio de nivel superior genérico que inicia una dirección IP anónima accesible mediante la red tor. No es un dominio o pseudodominio. Es el fichero de configuración de todo equipo que acceda a la red tor, que mantiene el conjunto de nodos tor a utilizar en las comunicaciones en cada momento.

El documento nacional de identidad electrónico permite la firma electrónica de documento con la consideración …. De firma electrónica avanzada que equivale a la manuscrita. De firma electrónica a secas. De firma electrónica reconocida que equivale a la manuscrita. De firma electrónica reconocida cuando lo reconoce el juez, siendo de este modo equivalente a la manuscrita.

La herramienta Xprobe está orientada a ... Backups en modo cliente-servidor. Detección de sniffers en un segmento de red. Cifrar sesiones de trabajo que no soporten SSL. Identificación remota de sistemas operativos basada en ICMP.

Relacione la siguiente cadena: $6$9xLcXzqY$fa.hFYGgTioVKL25mWZvO5ck3XF0E7jKYIAPAcvHRzwIMZUsDJzyodFa/9vXZ69fJthxwo3twyUQ3K/XRbw1. Certificado para https X509. Clave privada de host en ssh. Shadow. Secuencia de caracteres al azar sin relación con tema alguno.

Port-knocking: Un mecanismo para tirar host, coloquialmente hablando "knockear". Con esto ves a través de la cámara de tu profesor de LSI. Técnica empleada para abrir servicios/puertos enviando una secuencia de paquetes a puertos determinado.

La Comunidad Europea y España han optado por un mismo sistema para regular las comunicaciones comerciales electrónicas, ¿cuál es?. Es sistema opt out, que autoriza todas las comunicaciones comerciales electrónicas, aún sin consentimiento previo del destinatario. Es sistema opt in, que prohíbe sin excepción el envío de comunicaciones comerciales electrónicas cuando no hubiera sido solicitadas o expresamente autorizadas por los destinatarios con carácter previo. El sitema opt out, que autoriza todas las comunicaciones comerciales electrónicas, aún sin consentimiento previo del destinatario, siempre que conste la palabra “publicidad” al comienzo del mensaje. El sitema opt in, que prohíbe las comunicaciones comerciales electrónicas cuando no hubiera sido solicitadas o expresamente autorizadas por los destinatarios con carácter previo, con la excepción de que exista una relación contractual previa.

$HOME/.ssh/known_hosts. Contiene claves públicas de servidores ssh a los que nos conectamos y se mantiene de forma manual. Contiene claves públicas de servidores ssh a los que nos conectamos y el sistema lo mantiene de forma automática. Cada vez que un usuario se conecta a un servidor, si es la primera vez, se incluye la clave pública de dicho servidor en este fichero. Si somos servidores ssh en este fichero se incluyen las claves privadas de todos los usuarios de nuestro host, para ser utilizadas en caso de un esquema de autenticación de usuario de clave pública. No existe ese fichero en ningún caso.

¿Cuándo se entiende perfeccionando un contrato celebrado a distancia mediante dispositivos automáticos?. Cuando el oferente comunica al aceptante que recibió su aceptación. En el momento de aceptación de la oferta. Del modo en que quede estipulado en las condiciones generales del contrato. Cuando el oferente tiene conocimiento de la aceptación.

La ip de ntp 127.127.1.1 significa: Nivel superior. Nivel inferior. El reloj interno de la máquina. Ninguna de las anteriores.

DVL. Distribución GNU/Linux que aglutina las principales herramientas en ataque orientada a la realización de auditorías de seguridad. Distribución GNU/Linux repleta de inseguridades orientada al aprendizaje. Distribución GNI/Linux que incluye los desarrollos LVS orientada a Alta Disponibilidad. Ninguna de las anteriores.

La generación es un ataque contra la ... Disponibilidad. Confidencialidad. Autenticidad. Integridad.

¿La oferta electrónica es una declaración de voluntad del oferente para la celebración de un contrato?. No. La oferta electrónica no es una declaración de voluntad para la celebración de un contrato. Si. La oferta o publicidad electrónicas es una declaración de voluntad para la celebración de un contrato. Si. No. La oferta electrónica es una declaración de voluntad. La declaración de voluntad requiere que el oferente ratifique su deseo de celebrar el contrato cuando el aceptante ha aceptado llevarlo a cabo.

NDP utiliza. Paquetes ARPv4. Paquetes ARPv6. Paquetes ICMPv4. Paquetes ICMPv6.

Escoja la opción correcta: Los servicios de intermediación (ISP) deben colaborar con la autoridad judicial cuando ésta les ordena la interrupción de un servicio, la retirada de contenidos o la imposibilidad de acceder determinados datos. Esta obligación surge únicamente cuando se ha vulnerado la propiedad intelectual o industrial. El deber de colaboración de los servicios de intermediación (ISP) con las autoridades, no es exigible cuando al ISP se le aplica alguna de las exenciones de responsabilidad. El incumplimiento del deber de colaboración supone la pérdida de las exenciones de responsabilidad en el plazo de dos días naturales desde que el ISP recibe la orden de colaboración. Los servicios de intermediación (ISP) deben colaborar con la autoridad judicial cuando éste les ordene la interrupción de un servicio, la retirada de contenidos o la imposibilidad de acceder a determinados datos.

El tratamiento de datos especialmente requiere que el consentimiento del titular de los datos sea: Otorgado de manera expresa o táctica. Otorgado de manera expresa. Otorgado de forma expresa y en presencia de un notario. Otorgado de manera expresa únicamente para los datos referidas a la identidad étnica y de manera táctica para el resto de datos especialmente protegidos.

El ataque LAND. Consiste en evitar paquetes con la misma dirección IP y el mismo puerto en los campos fuente y destino de los paquetes IP. Es otro nombre con el que se conoce el ataque DoS Smurf. Es un ataque basado en la última vulnerabilidad aparecida en SSL, coincida como el nombre NERVE. Ninguna de las anteriores es correcta.

Un paquete SYN a un puerto abierto recibirá. Un SYN. Un SYN-ACK. Un ACK. Ninguna de las anteriores es correcta.

Un ataque por repetición es de tipo. activo. pasivo. inverso. mixto.

En su máquina virtual del laboratorio de prácticas, usted edita el archivo /etc/hosts.deby y añade una nueva regla que bloquea el acceso por ssh a su máquina desde cualquier IP que comience por 193. Esta regla se aplicará cuando: Se guarden los cambios del archivo. Se guarden los cambios del archivo y se reinicie el servicio tcp-wrapper. Se guarden los cambios del archivo y se reinicie el servicio ssh. No se puede escribir una regla de ese tipo con tcp-wrappers.

WPA2. AES. DES. 3DES. RC4.

SYN-COOKIES…. Son una protección contra DoS que consiste en emplear una estructura de datos independiente y paralela a la Transmission Control Block para evitar la sobrecarga de esta última. Son una protección contra DoS que se basa en utilizar el número de secuencia TCP para codificar datos y así reservar espacio para la conexión únicamente cuando se recibe el mensaje de confirmación final. Son una protección contra la captura de sesiones SSL a través del empleo de Cookies en un ataque MITM. Son una protección contra DoS que consiste en almacenar en una cookie datos identificativos de los clientes, para saber quién está generando el ataque.

De acuerdo con la Directiva de la Comunidad Europea el prestador de servicios de hospedaje en internet (hosting) estará exento de responsabilidad por los contenidos de los usuarios de los servicios cuando: actúe como mero intermediario de contenidos ajenos y no tenga conocimiento efectivo de la licitud de la actividad o de la información que alberga. Y, en caso de tener conocimiento efectivo, deberá actuar con prontitud para retirar los datos o para hacer que el acceso a los mismos sea imposible. no sea el creador de los contenidos que hospeda, ni haya tenido la iniciativa de hospedarlos, con independencia de que tenga o no conocimiento efectivo de la ilicitud de estos. albergando contenido ilícito, de la pérdida de los titulares de los derechos por dicho contenido no sea superior a medio millón de euros. así lo declare un juez, pues se presume siempre la responsabilidad de ISP que realiza servicios de hosting porque se trata de un intermediario imprescindible para la comisión de cualquier ilícito.

El proceso de firma digital. Cifra la huella con la clave pública del emisor. Cifra la huella con la clave pública del receptor. Cifra la huella con la clave privada del emisor. Ninguna de las anteriores es correcta.

La modificación es una categoría de ataque contra: Confidencialidad. Disponibilidad. Integridad. Austeridad.

Puerto 4000. NX. SSH. syslog. FTP.

Usted tiene instalada una aplicación en su PC y se acaba de publicar un Zero-day sobre la misma ¿Qué debe hacer?. Ir al sitio Web del fabricante de la aplicación y descargar el parche que soluciona el Zero-day. Informarse sobre la vulnerabilidad en cuestión. Nada. Al ser un Zero-day, no hay nada que hacer. Configurar el firewall, de modo que no sea posible explotar el Zero-day.

Un certificado digital: Está firmado utilizando la clave privada del propietario de la clave pública de dicho certificado. Está firmado utilizando la clave privada de la correspondiente autoridad certificadora. Está firmado utilizando la clave privada del emisor de una comunicación segura que utiliza la clave pública de dicho certificado. Ninguna de las anteriores.

SHA3. Keccak. AES. X509. Sniffing.

¿El Derecho español exige una forma concreta para la validez de los contratos?. Sí. Los contratos han de llevarse a cabo por escrito para ser válidos, Los contratos llevados a cabo por medios electrónicos son inválidos, con la excepción de aquellos llevados a cabo mediante firma electrónica. No. Rige el llamado “principio espiritualista” o de libertada de forma de los contratos. Y de acuerdo con este principio los contratos celebrados en forma electrónica son válidos. Sí. Los contratos han de llevarse a cabo por escrito para ser válido. Los contratos llevados a cabo por medios electrónicos son invalidados en principio, salvo que un juez los declare válidos. No. Rige el llamado “principio espiritualista” o de libertad de forma de los contratos. Además, en muchos contratos no es necesario el consentimiento de las partes para que sean válidos.

La dirección ::1. reloj interno en NTP. Localhost. Multicast de todas las direcciones link-local del segmento. No existe esa dirección.

ISO27002. Guía de buenas prácticas en seguridad. Estándar que se centra en la gestión de la seguridad de la información (análisis de riesgos, planes de contingencia, etc.). Guía de fases para “securizar” redes WIFI. Estándar que define configuraciones seguras de plataformas de “backups”.

En un certificado digital emitido para un servidor web, el campo CN (Common Name) del certificado …. Debe contener el nombre y apellidos del responsable del sitio web. Debe contener una dirección de correo electrónico de contacto (p. ej: info@udc.es). Debe coincidir con el nombre del sitio web (p. ej: www.udc.es). Debe contener el nombre de la autoridad certificadora que emite dicho certificado.

Usted crea una autoridad certificadora (AC) con el objetivo de emitir certificados digitales para varios servidores web de una organización. Con el objetivo de que el navegador de los usuarios no muestre ninguna alerta al conectarse por https a dichos servidores web ... Los usuarios necesitaran importar en el navegador el certificado de la AC. Los usuarios necesitarán importar en el navegador los certificados de tos los servidores web y el certificado de la AC. Independientemente de los certificados que se importen, el navegador mostrará una alerta, al no ser la AC internacionalmente reconocida. Los usuarios no necesitan importar nada. Es el servidor web el que debe importar el certificado de la AC.

De acuerdo con el art. 13 del Reglamento de la Ley Orgánica de Protección de Datos Personales …. Para el tratamiento de datos de menores de 18 años o más, se precisa siempre el consentimiento de los padres o representantes legales. Para el tratamiento de datos de menores de 16 años o más, se precisa siempre el consentimiento de los padres o representantes legales. Para el tratamiento de datos de menores de 14 años o más, se precisa siempre el consentimiento de los padres o representantes legales. Para el tratamiento de datos especialmente protegidos de menores de 16 años o más, se precisa siempre el consentimiento de los padres o representantes legales.

Puerto 514. NTP. X509 – Autoridades Certificadoras. syslog. Ninguno anteriores.

¿En qué consiste la responsabilidad extracontractual?. Se deriva de una acción u omisión que causa de un daño a otro, interviniendo culpa o negligencia, que obliga a reparar el daño causado. Entre el causante del daño y el que lo sufre no media contrato alguno. No es aplicable a los ISP. Forma parte del régimen general de responsabilidad civil junto con la responsabilidad contractual, por lo que se aplica también al ámbito informático. En el caso de los servicios de intermediación (ISP) se aplica el intermediario siempre que éste no haya perdido las exenciones. Es la derivada de una acción u omisión que causa daño a otro, interviniendo culpa o negligencia, que obliga a reparar el daño causado. Entre el causante del daño y el que lo sufre no media contrato algún. Es la responsabilidad que obliga a reparar el daño causado cuando se causa daño a otro. Es aplicable al ámbito civil en general y al ámbito electrónico sólo en los casos previstos por el artículo 17 de la ley de servicios de la sociedad de la información y de comercio electrónico.

RC4. Cifrador de bloqueo. Cifrador de flujo. Cifrador de clave pública y privada. Cifrador de patatas.

Buffer Overflow: Modificación. Interrupción. Generación. Intercepción.

Según el Derecho comunitario un servicio de la sociedad de información es …. un servicio prestado a cambio de remuneración (no abarca servicios gratuitos) y por vía electrónica. Un servicio prestado siempre a cambio de una remuneración, a distancia, por vía electrónica y, de forma habitual, a petición individual del destinatario del servicio. Un servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual del destinatario del servicio. Un servicio prestado por medios electrónicos, con independencia de otras características (puede ser remunerado o gratuito, a distancia o no, a petición individual o punto-multipunto).

AES: Cifrado Simétrico. Cifrado Asimétrico. Función Hash. Función de codificación.

El Common Name de un certificado digital es: El nombre y apellidos. Un correo electrónico. El nombre de dominio. El nombre de la CA.

Puerto 80. SSH. HTTP. HTTPS. NX.

Los TCP Wrappers ... Filtran todos los servicios de red de nuestros sistemas. Filtran todos los servicios TCP de nuestros sistemas. Trabajan a nivel de kernel. Ninguna de las anteriores es correcta.

Un ataque de tipo CAM flooding …. Se basa en llenar la tabla CAM del switch, para que este se comporte como un hub. No funcionará si los usuarios han configurado mapeado ARP estático en sus equipos. Es un ataque de tipo MITM. Se basa en asociar la dirección MAC del atacante con la dirección IP del switch y así recibir todo el tráfico que pasa por el switch.

Marque la afirmación correcta: Windows 8 es vulnerable al ataque DoS conocido como Ping of Death. LAND attack es un ataque basado en fragmentación. SMURF es un ataque DoS de tipo “direct attack”. Ninguna de las anteriores.

Que técnica de “scanning de puertos” se conoce como escaneo de “media apertura”. TCP SYN Scanning. TCP connect() scanning. TCP open() scanning. TCP reserve ident scanning.

Direcciones IPV6. 32. 64. 128. 256.

Si enviamos un paquete FIN a un sistema generalmente nos responderá. FIN ante un puerto cerrado y nada si está abierto. RST|ACK ante un puerto abierto y nada si está cerrado. RST|ACK ante un puerto cerrado y nada si está abierto. Ninguna de las anteriores.

La manera más eficiente de comprobar si una máquina esta up: ICMP Echo Request (Ping). TCP SYN. TCP ACK. ARP Request.

Indique la respuesta verdadera sobe nmap: Es indiferente si ejecutamos nmap como privilegiado/no privilegiado. Nmap se comporta igual si escaneas una red local o una remota. Para determinar si una máquina que pertenece a la red local está activa, nmap le envía ARP request. Todas falsas.

Atendiendo a la práctica 3, una Autoridad Certificadoras utiliza ……… para cifrar su clave privada. Su clave pública. Su clave privada. Una clave generada mediante una función hash aplicada una frase de paso. Ninguna de las anteriores.

Si queremos buscar vulnerabilidades en aplicaciones web, ¿qué herramienta descartarías?. w3af. nikto. zap. yersinia.

¿Qué categoría de ataque afecta a la confidencialidad?. Interrupción. Intercepción. Modificación. Generación o fabricación.

¿Cuándo se entiende perfeccionado un contrato celebrado a distancia mediante dispositivos automáticos?. Cuando el oferente comunica al aceptante que recibió su aceptación. Cuando el oferente tiene conocimiento de la aceptación. Del modo en que quede estipulado en las condiciones generales del contrato. En el momento de aceptación de la oferta.

En el SSL ¿qué protocolo se encarga de intercambio de mensajes sobre avisos y errores?. HP. RP. AP. CCSP.

¿Qué nos permite enviar copia de paquetes de un puerto de un conmutador a otro puerto del conmutador?. Port Isolation. Port Mirroring. Ninguna de las opciones es correcta. Port Forwarding.

Tomando como referencia el modelo OSI, un firewall transparente trabaja en capa …. 3. 2. 7. 4.

Señala cuál de los siguientes tratamientos de datos personales NO ESTÁ PERMITIDO en atención a la normativa vigente en la materia: El tratamiento de los datos personales de un trabajador por la empresa en la que presta sus servicios. La cesión de datos realizada por el responsable del tratamiento a un órgano jurisdiccional en el ejercicio de sus competencias. El envío de comunicaciones electrónicas sin el consentimiento de su destinatario. El seguimiento de las pautas de navegación de un usuario, cuando ello sea necesario para la finalidad del tratamiento.

Si ante un escaneo ACK recibimos un RST nos indica …. que el puerto está cerrado. que el puerto está filtrado. que el puerto puede estar abierto o cerrado. Ninguna de las opciones es correcta.

Autenticación, control de acceso y confidencialidad son: Ninguna de las opciones es correcta. Políticas de seguridad. Mecanismos de seguridad. Servicios de seguridad.

¿Qué mecanismo limita el número de MACs por puerto en los conmutadores?. Port Security. Macof. Unicast Flooding Protection. Again Time.

Si queremos buscar vulnerabilidades en aplicaciones web, ¿qué herramienta descartarías?. nikto. yersinia. w3af. zap.

¿Qué servicios son regulados en la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSICE, en lo sucesivo)?. Aquellos que son prestados exclusivamente a título oneroso. Los que constituyen una actividad económica y son prestados a distancia, por vía electrónica y a petición individual del destinatario. Solo los facilitados mediante telefonía vocal, fax o télex. Aquellos en los que la inclusión de elementos publicitarios tiene carácter esporádico y son prestados mediante radiodifusión televisiva y sonora, así como el teletexto.

Mecanismo de protección ante DHCP spoofing. DHCP discovery. DHCP apunta tu escopeta hacia otra parte. DHCP snooping. DHCP protect.

Señala la respuesta CORRECTA acerca del ámbito de aplicación del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD, en lo sucesivo): El RGPD es aplicable a la protección de los datos personales de las personas fallecidas. Ninguna de las opciones es correcta. El RGPD se aplica al tratamiento de datos de las personas físicas, con independencia de su nacionalidad o de su lugar de residencia. La normativa del RGPD también se refiere al tratamiento de los datos personales de las personas jurídicas y, en concreto, de las empresas.

“Amigo íntimo de maltego”. w3af. Github. netglub. modsecurity.

X509. Sistema de directorios. Ninguna de las opciones es correcta. Autenticación en acceso al medio de redes. Estándar para infraestructuras de claves públicas.

Freenet. Herramienta para realizar ataques MitM en IPv6. Herramienta de auditoría de redes. Organización sin ánimo de lucro que vela por el derecho de los internautas y la neutralidad de la red. Red de anonimato.

Si el protocolo https es seguro, ¿cómo es posible que con ettercap se puedan capturar las credenciales de un usuario sobre una sesión https?. Algunas versiones de https presentan un fallo de implementación, que es el que aprovecha ettercap. Ettercap ataca al protocolo https, averiguando por fuerza bruta la clave de sesión AES, lo que le permite descifrar la comunicación. Ettercap no ataca al protocolo https en sí, sino que crea un certificado falso, lo que le permite descifrar la comunicación. Es falso. En ningún caso se pueden capturar credenciales sobre https.

¿Qué afirmación es correcta?. dist-upgrade únicamente se utiliza cuando queremos actualizar el sistema a una nueva distro. update se utiliza para instalar las actualizaciones de paquetes. dist-upgrade nunca instala nuevos paquetes, únicamente actualiza los existentes. Ninguna de las opciones es correcta.

Considerando el nivel de gravedad en los niveles del syslog, ¿cuál es la verdadera?. Debug>error. Error>emerg. Info <warning. Alert<notice.

Con el término trunking podemos estar haciendo referencia a ... el filtrado del tráfico arp como mecanismo de protección ante arp spoofing. agrupar dos o más interfaces de red en uno. la activación de un modo de firewall transparente. Ninguna de las opciones es correcta.

CVE. Es una base de datos que contiene información técnica sobre vulnerabilidades, que incluye, para cada vulnerabilidad, datos sobre su gravedad e información técnica sobre cómo corregirla. Es un sistema de puntuación que mide la gravedad de un ataque. Es un sistema de clasificación de ataques informáticos. Es una lista de vulnerabilidades de ciberseguridad conocidas públicamente.

Slowloris. Afecta a servicios activos en puertos 23 y 8080. Reduce el rendimiento del host lentamente hasta que termina por colapsar. Una posible defensa consiste en limitar conexiones por IP. Comienza con un port knocking en 80 y 443.

Una Autoridad Certificadora utiliza …… para firmas los certificados que genera a los clientes. la clave pública del propio certificado del cliente. su clave privada. su clave pública. la clave privada asociada al certificado del cliente a firmar.

Permite publicar y descubrir servicios y servidores en una red local. nfs-common. avahi-daemon. network-manager. rpcbind.

Firewall stateless. Paquetes de la misma trama son usados para tomar la decisión de permitir el paso. Toma la decisión de si el paquete pasa o no con la información disponible del mismo. Aprovecha información del contexto de la conexión. Si añadimos un campo ACK para las conexiones es equivalente a un firewall stateful, y será más rápido.

La protección de las personas físicas en relación con el tratamiento de datos personales se configura como (señala la respuesta CORRECTA): Un simple derecho subjetivo más del interesado. Un derecho absoluto. Un derecho fundamental, como así se establece tanto en el Derecho Europeo como en la propia Constitución española. El tratamiento legítimo de los datos personales es una obligación del responsable y del encargado, pero no se corresponde con ningún derecho correlativo del interesado.

En DNS un registro de tipo AAAA contiene ... un alias en IPv4. una dirección IPv4. Ninguna de las opciones es correcta. una dirección IPv6.

¿Qué opción de nmap está vinculada al fingerprinting de servicios?. -T. -X. -O. -sV.

Las técnicas de OS fingerprinting se basan fundamentalmente en ... analizar el conjunto de puertos que un SO tiene abiertos y/o cerrados. analizar las cabeceras de bienvenida que suelen enviar los servicios de red. analizar tiempos de respuesta de un SO. analizar diferencias en los paquetes TCP/IP que envían los distintos SOs.

Intercepción ataque contra la …. integridad. confidencialidad. anulabilidad. Ninguna de las opciones es correcta.

Señala la respuesta CORRECTA acerca de las comunicaciones comerciales electrónicas: Tanto en la normativa europea como en la española se ha establecido un sistema de lista opt-out, de manera que corresponde al destinatario oponerse en caso de recibir alguna comunicación comercial electrónica. No es necesario que las comunicaciones comerciales electrónicas sean solicitadas o expresamente autorizadas por sus destinatarios, siendo suficiente recabar los datos de contacto de manera legítima (por ejemplo, mediante registros públicos). La prohibición legal de realizar comunicaciones comerciales no solicitadas se aplica incluso en aquellos supuestos en los que exista una relación contractual previa, los datos hayan sido obtenidos de manera lícita, los bienes o servicios ofrecidos sean similares a los ya contratados y se facilite al destinatario el ejercicio de su facultad de oposición. La normativa vigente, española y europea, establece un sistema de lista opt-in.

¿Qué importancia presenta la finalidad que subyace a la recopilación de datos personales en el régimen jurídico vigente?. Su importancia es tan solo residual, pues lo único relevante es la existencia de un riesgo elevado para los derechos y libertades de las personas. La finalidad del tratamiento solo es relevante a los efectos de determinar el plazo de conservación de los datos personales recabados. Su importancia es central a la luz de los principios relativos al tratamiento de los datos personales presentes en el RGPD, especialmente en virtud del principio de limitación de la finalidad que establece que los datos personales han de ser recogidos para fines determinados, explícitos y legítimos, y su tratamiento no podrá ser incompatible con otros fines. Es relevante, pero no impide la recogida de datos personales adicionales del interesado, siempre y cuando en su tratamiento se garantice la adecuada seguridad de los mismos.

AES. clásico. asimétrico. flujo. bloque.