SAD 2º Trimestre ASIR

¿Qué elemento actúa como "policía de tráfico" en el perímetro de una red?. Proxy. Router frontera. Servidor VPN. IDS.

¿Qué protocolo utiliza un router frontera para comunicarse con otros sistemas autónomos?. HTTP. BGP. FTP. SSH.

¿Cuál es la principal función de un cortafuegos?. Cifrar comunicaciones. Gestionar DNS. Filtrar tráfico entrante/saliente. Almacenar datos.

¿Qué tipo de cortafuegos permite conexiones una vez establecido un estado?. De capa de aplicación. De nivel de red. De pasarela. De inspección de estado.

En una DMZ, ¿qué tráfico está permitido desde Internet?. Hacia la LAN. Hacia la DMZ. Desde la LAN a Internet. Desde la DMZ a la LAN.

¿Qué versión de SSH utiliza Diffie-Hellman para el intercambio de claves?. SSH1. SSH2. SSH3. Ninguna.

¿Qué comando se usa para generar un par de claves SSH?. ssh-add. ssh-copy-id. ssh-keygen. ssh-agent.

¿Dónde se almacenan las claves públicas de usuarios autorizados en SSH?. known_hosts. authorized_keys. sshd_config. ssh_config.

¿Qué parámetro en sshd_config desactiva el acceso SSH mediante contraseña?. PermitRootLogin no. PasswordAuthentication no. Port 22. AllowUsers.

¿Qué herramienta almacena claves privadas con frase de paso durante una sesión?. ssh-keygen. ssh-agent. ssh-copy-id. sshd.

¿Qué protocolo VPN es mejor para conexiones sitio a sitio?. SSL. IPSec. PPTP. L2TP.

¿Qué puerto usa OpenVPN por defecto?. 22. 80. 1190. 443.

¿Qué modo de OpenVPN encapsula paquetes Ethernet?. Modo túnel (TUN). Modo puente (TAP). Modo transporte. Modo SSL.

¿Qué biblioteca proporciona cifrado en OpenVPN?. OpenSSH. OpenSSL. OpenVPN. OpenPGB.

¿Qué parámetro de OpenVPN define el algoritmo de cifrado?. auth. cipher. dev. remote.

¿Qué protocolo IPSec garantiza confidencialidad e integridad?. AH. ESP. IKE. BGP.

¿Qué modo de IPSec protege toda la comunicación entre gateways?. Modo túnel. Modo transporte. Modo puente. Modo SSL.

¿Qué fase de IKE establece un túnel seguro para negociaciones posteriores?. Fase 1. Fase 2. Fase 3. Fase 4.

¿Qué fichero de StrongSwan almacena claves precompartidas?. ipsec.conf. ipsec.secrets. ca.crt. server.crt.

¿Qué comando inicia un túnel IPSec en StrongSwan?. ipsec start. ipsec up <nombre>. ipsec restart. ipsec -I.

¿Qué política de seguridad es más restrictiva?. Permitir todo lo no prohibido. Prohibir todo lo no permitido. Permitir solo tráfico HTTP. Usar listas blancas.

¿Qué herramienta simula servicios vulnerables para atraer atacantes?. Firewall. Honeypots. IDS. Proxy.

¿Qué elemento NO forma parte de la defensa perimetral?. Cortafuegos. Lista de accesos (ACL). VPN. IDS/IPS.

¿Qué protocolo de autenticación es inseguro por enviar contraseñas en claro?. CHAP. PAP. RADIUS. TACACS+.

¿Qué protocolo AAA es de código abierto?. TACACS+. RADIUS. MSCHAP. SPAP.

¿Qué caracteriza una subred protegida fuerte?. Un solo cortafuegos. Dos cortafuegos. La ausencia de DMZ. Uso exclusivo de VPN.

¿Qué tráfico se bloquea desde la DMZ a la LAN?. HTTP. Todo el tráfico. Respuesta a peticiones. SSH.

¿Qué ventaja tiene una DMZ?. Aísla servidores accesibles desde Internet. Elimina la necesidad de cortafuegos. Mejora la velocidad de la red. No necesita el uso de routers.

¿Qué protocolo permite acceso remoto centralizado vía navegador?. SSH. OpenVPN. IPSec. Apache Guacamole.

¿Qué método de autenticación SSH usa un desafío-respuesta?. Contraseña. Clave pública. Autenticación nula. Certificado digital.

¿Qué comando transfiere archivos de forma segura con SSH?. FTP. SCP. WGET. HTTP.

¿Qué parámetro en SSH permite cambiar el puerto predeterminado?. ListenAddress. Port. Protocol. PermitRootLogin.

¿Qué ventaja tiene SSL sobre IPSec para acceso remoto?. No requiere software cliente específico. Mayor velocidad. Cifrado mas fuerte. Trabaja en capa de red.

¿Qué VPN es ideal para teletrabajo?. SSL. IPSec. PPTP. SHL.

¿Qué algoritmo NO usa SSH para cifrado?. AES. MD5. Blowfish. 3DES.

¿Qué función garantiza la integridad en IPSec?. Hash. Cifrado simétrico. Certificados. Claves públicas.

¿Qué comando muestra las reglas de iptables?. iptables -F. iptables -L -v. iptables -P INPUT. iptables -A.

¿Qué directiva en OpenVPN define el puerto de escucha?. Remote. Port. INPUT. dev.

Un atacante explota un servidor web en la DMZ. ¿Qué capa de defensa evitaría que comprometa la LAN interna?. Router frontera. Cortafuegos interno. Cortafuegos externo. Política de contraseñas complejas.

¿Qué protocolo NO debería permitirse desde Internet hacia la DMZ en una política restrictiva?. HTTP/HTTPS. SNMP. SMTP. DNS.

Al configurar un cortafuegos con iptables, ¿qué regla bloquea tráfico SSH de la IP 10.0.0.5 pero permite el resto?. iptables -A INPUT -p tcp --dport 22 -j ACCEPT. iptables -A INPUT -p tcp --dport 22 -s 10.0.0.5 -j DROP. iptables -P INPUT DROP. iptables -A INPUT -j REJECT.

Un usuario intenta conectarse por SSH pero recibe "Permission denied (publickey)". ¿Qué archivo está mal configurado?. ~/.ssh/known_hosts. ~/.ssh/authorized_keys. /etc/ssh/ssh_config. /etc/hosts.deny.

¿Qué comando fuerza a SSH a usar solo el algoritmo de cifrado AES-256-CTR?. ssh -v usuario@servidor. ssh -oCiphers=aes256-ctr usuario@servidor. ssh -t usuario@servidor. ssh -p 2222 usuario@servidor.

¿Qué vulnerabilidad explota un ataque de "hombre en el medio" en SSH si se deshabilita StrictHostKeyChecking?. Fuga de claves privadas. Suplantación de servidor. Denegación de servicio. Fuerza bruta.

En OpenVPN, ¿qué parámetro asegura que el tráfico DNS no se filtre fuera del túnel?. dev tun. redirect-gateway def1. comp-lzo. proto udp.

Al configurar IPSec en modo túnel, ¿qué dirección IP aparece en la cabecera exterior del paquete cifrado?. IP del host origen. IP del gateway origen. IP del servidor DNS. IP de loopback.

¿Qué diferencia principal hay entre L2TP y OpenVPN?. L2TP no requiere cifrado. OpenVPN puede usar SSL/TLS, L2TP depende de IPSec. L2TP es más rápido que OpenVPN. OpenVPN y L2TP siempre usan SSL/TLS.

En StrongSwan, ¿qué sección de ipsec.conf define los parámetros de una conexión específica?. config setup. conn <nombre>. ca <certificado>. secret <clave>.

¿Qué algoritmo de Diffie-Hellman es considerado inseguro y NO debe usarse en IKE fase 1?. DH grupo 1 (768 bits). DH grupo 14 (2048 bits). DH grupo 21 (ECDH). DH grupo 5 (1536 bits).

Si un túnel IPSec falla al establecer la fase 1, ¿qué se debe verificar primero?. Reglas de iptables. Coincidencia de parámetros. Configuración de la DMZ. Servicios DNS.

¿Qué técnica mitiga un ataque DDoS dirigido a un servidor en la DMZ?. Usar HTTPS. Limitar tasa de conexiones. Deshabilitar IPv6. Cifrado AES-256.

¿Qué NO es un principio de "defensa en profundidad"?. Múltiples capas de seguridad. Política menos restrictiva. Segmentación de redes. Monitoreo continuo.

Un IDS detecta un ataque de inyección SQL. ¿Qué componente de defensa lo detendría?. Cortafuegos de red. WAF. VPN SSL. Servidor RADIUS.

¿Por qué es riesgoso alojar un servidor de base de datos en la DMZ?. Expone datos sensibles a Internet. Reduce la velocidad de la red. Bloquea el tráfico HTTP. Aumenta las posibilidades de un ataque DOSs.

En una arquitectura de tres zonas (Internet, DMZ, LAN), ¿qué tráfico debe inspeccionar el cortafuegos interno?. Internet a DMZ. DMZ a LAN. LAN a Internet. DNS a DMZ.

¿Qué ventaja tiene RADIUS sobre TACACS+ en entornos mixtos?. Soporte multiplataforma. Cifrado extremo a extremo. Mayor velocidad. Integración con Active Directory.

¿Qué método de autenticación en SSH utiliza un OTP (One-Time Password)?. Clave pública. Google Authenticator. Certificado X.509. Kerberos.

¿Qué impacto tiene habilitar comp-lzo en OpenVPN?. Reduce el ancho de banda usado. Aumenta la seguridad. Bloquea ataques DDoS. Habilita IPv6.

¿Por qué es recomendable usar UDP en lugar de TCP para OpenVPN?. Evita la sobrecarga por retransmisiones. Mayor compatibilidad con NAT. Soporta cifrados más fuertes. Mejor rendimiento en redes con pérdida de paquetes.

¿Qué técnica evita que un atacante escuche tráfico en una VPN?. Cifrado de extremo a extremo. Limitar conexiones SSH. Usar puertos no estándar. Deshabilitar ICMP.

Un atacante explota CVE-2023-1234 en un servidor VPN. ¿Qué acción es prioritaria?. Cambiar las contraseñas. Aplicar parches de seguridad. Reiniciar el servidor. Bloquear IPs maliciosas.

Configuración en sshd_config para solo permitir autenticación por clave y desde la subred 192.168.1.0/24: PasswordAuthentication yes AllowUsers *@192.168.1.0/24. **PasswordAuthentication no AllowUsers *@192.168.1.0/24**. PermitRootLogin no Protocol 2. Port 2222 X11Forwarding yes.

En StrongSwan, ¿qué entrada en ipsec.secrets define una clave precompartida "segura123" para el gateway 203.0.113.1?. 203.0.113.1 : PSK secure123. 203.0.113.1 %any : PSK "segura123". %any : PSK segura123. 203.0.113.1 : RSA "segura123".