SRAIA - T4

(U) Los IDS y los IPS: a. Se parecen en las técnicas que emplean para la recopilación de la información. b. Se diferencian en las acciones que pueden llevar a cabo. c. Las respuestas A y B son correctas. d. Ninguna de las anteriores.

(U) Un switch a nivel de aplicación: a. Se emplean para poder manejar grandes volúmenes de información. b. Se emplean para poder realizar tareas de balanceo de carga. c. Las respuestas A y B son correctas. d. Ninguna de las anteriores.

(U) Los sistemas NIDS: a. Impiden que un atacante pueda penetrar en un sistema de información. b. Solamente analizan el tráfico que tiene como destino el equipo en el que están desplegados. c. Bloquean conexiones que sean sospechosas de formar parte de un ataque. d. Ninguna de las anteriores.

(U) IDS de aplicación: a. No pueden operar en base a informaciones del nivel de red. b. Solo pueden operar con base en información de aplicación (nivel 7). c. Las respuestas A y B son correctas. d. Ninguna de las anteriores.

(U) Los conmutadores híbridos: a. Suponen un avance en cuanto a su facilidad de configuración. b. Permiten la definición de políticas de alto nivel. c. Las respuestas A y B son correctas. d. Ninguna de las anteriores.

(U) Los sistemas trampa: a. Deben emplearse para la identificación de amenazas de seguridad no recogidas en los sistemas de detección de vulnerabilidades. b. Deben utilizarse solo si no se aplican periódicamente herramientas de detección de vulnerabilidades. c. Las respuestas A y B son correctas. d. Ninguna de las anteriores.

(U) Un sistema trampa que se implemente en un equipo físico con un sistema operativo y servicios reales es: a. Los sistemas trampa siempre deben ser simulados para evitar riesgos en un posible ataque que los comprometa. b. Un sistema trampa basado en host. c. Un sistema trampa de alta interacción. d. Ninguna de las anteriores.

(U) Un sistema padded cell: a. Sirve rechazar ataques de red. b. Sirve para proteger las comunicaciones web. c. Las respuestas A y B son correctas. d. Ninguna de las anteriores.

(U) Los sistemas del tipo padded cell: a. Solo pueden implementarse en dispositivos físicos reales. b. Funcionan de manera independiente a los NIDS (IDS en red). c. Cuando detectan un ataque desencadenan acciones preventivas. d. Funcionan en conjunción con un IPS.

(U) Snort: a. Es un sistema de detección de intrusos. b. Es un sistema de prevención de intrusos. c. Puede utilizarse para construir un padded cell. d. Todas las anteriores son correctas.

¿Cuál es la función principal de un Sistema de Detección de Intrusos (IDS) en comparación con un IPS?. Bloquear automáticamente cualquier tráfico malicioso detectado. Detectar actividades anómalas sin capacidad de bloqueo activo. Actuar como un puente transparente para filtrar paquetes. Generar tráfico falso para distraer a los posibles atacantes.

¿Qué característica define a un HIDS (Host Intrusion Detection System)?. Monitoriza el tráfico de red en busca de anomalías globales. Se instala en un equipo para detectar modificaciones locales. Utiliza una interfaz en modo promiscuo para ver toda la red. Requiere hardware dedicado con al menos tres interfaces.

En la arquitectura de un NIDS en modo escucha («Tap mode»), ¿cómo debe configurarse la interfaz de monitorización?. Con una IP estática para ser gestionada remotamente. Sin dirección IP asignada para evitar ser descubierta. Con una IP dinámica asignada por DHCP automáticamente. Con la misma dirección IP que el Gateway de la red.

¿Qué elemento diferencia principalmente a un IPS de un IDS tradicional?. La capacidad de analizar logs de sistemas operativos. La inclusión de un cortafuegos para prevenir ataques. El uso de bases de datos de firmas de virus antiguos. La necesidad de tener una única interfaz de red.

¿Qué arquitectura de despliegue es característica de los sistemas IPS?. Modo escucha con un Network Tap pasivo. Modo en línea (on-line) actuando como puente. Modo promiscuo conectado a un puerto espejo. Modo aislado sin conexión a la red externa.

¿En qué capa del modelo OSI trabajan los "Switches de nivel de aplicación" con funciones de IPS?. En la capa dos (Enlace de datos). En la capa tres (Red). En la capa cuatro (Transporte). En la capa siete (Aplicación).

¿Qué requieren los IPS de host a nivel de aplicación para funcionar correctamente?. Una fase de entrenamiento para definir perfiles normales. Una conexión directa a Internet sin cortafuegos previo. Un hardware específico dedicado exclusivamente al IPS. La instalación de agentes en todos los routers de la red.

¿Qué ventaja presentan los conmutadores híbridos de seguridad?. No requieren configuración ni definición de políticas. Pueden importar datos de escáneres de vulnerabilidades. Son invisibles para cualquier tipo de tráfico de red. Funcionan exclusivamente en la capa de enlace de datos.

¿Cuál es el objetivo principal de los sistemas trampa (Honeypots) en la fase de prevención?. Bloquear el tráfico atacante mediante reglas de firewall. Distraer a los atacantes haciéndoles perder tiempo. Desconectar la red interna ante una amenaza real. Contraatacar al origen de la intrusión detectada.

¿Cómo ayudan los Honeypots en la detección de amenazas?. Reduciendo los falsos positivos al no tener tráfico real. Aumentando el ancho de banda disponible en la red. Filtrando el correo spam antes de llegar al usuario. Cifrando las comunicaciones de la red de producción.

¿Qué caracteriza a un Honeypot de baja interacción?. Utiliza sistemas operativos reales y completos. Emula servicios pero no implementa el sistema real. Supone un riesgo muy elevado para la organización. Permite movimientos laterales complejos al atacante.

¿Cuál es el principal riesgo de utilizar Honeypots de alta interacción?. Que no capturen suficiente información del atacante. Que sean detectados fácilmente por intrusos novatos. Que consuman muy pocos recursos de la organización. Que sirvan de plataforma para atacar sistemas reales.

¿Qué ofrece el proyecto T-Pot mencionado en los apuntes?. Un conjunto de honeypots en contenedores Docker. Un sistema de IPS basado exclusivamente en hardware. Una herramienta para realizar ataques de denegación. Un escáner de vulnerabilidades para redes WiFi.

¿Qué diferencia a una Honeynet de un Honeypot individual?. La Honeynet usa emulación de servicios exclusivamente. La Honeynet es una red entera con sistemas reales. El Honeypot requiere más recursos que una Honeynet. El Honeypot está diseñado para investigar nuevas técnicas.

¿Qué función realiza un sistema "Padded Cell"?. Bloquea permanentemente la IP del atacante en el router. Simula un entorno real para contener y estudiar al atacante. Acelera el tráfico de red mediante caché de contenidos. Cifra los datos sensibles cuando detecta una intrusión.

En el sistema "Bait and Switch", ¿qué componente detecta el ataque inicial?. El sistema operativo del servidor. El IDS Snort instalado en el sistema. El switch de la red local. El cortafuegos perimetral externo.

Snort puede trabajar en tres modos. ¿Cuáles son?. Sniffer, Logger y NIDS. IDS, IPS y Firewall. Pasivo, Activo y Híbrido. Inline, Tap y Bridge.

En la arquitectura de Snort, ¿qué hace el Preprocesador?. Captura los paquetes de la interfaz de red. Decide si lanzar una alerta o guardar el log. Formatea los paquetes para el motor de detección. Almacena los paquetes en una base de datos SQL.

¿Qué comando se utiliza para ejecutar Snort en modo sniffer mostrando cabeceras TCP/UDP/ICMP?. snort -c snort.conf. snort -vde. snort -l /var/log. snort -b.

¿Para qué sirve el parámetro -b al ejecutar Snort?. Para bloquear el tráfico malicioso. Para ejecutarlo en segundo plano (background). Para guardar paquetes en formato binario. Para buscar patrones en los datos (binary search).

¿Qué indica el parámetro -r en Snort?. Reiniciar el servicio de Snort. Realizar un escaneo recursivo de directorios. Registrar las alertas en la consola remota. Analizar paquetes almacenados previamente en un log.

¿Cuál es el rango de SIDs (Identificadores de regla) reservado para reglas generales en Snort?. Los valores superiores a 10.000.000. Los valores hasta 1.000.000. Los valores entre 3.000 y 5.000. No existe reserva, son aleatorios.

En una regla de Snort, ¿qué parte contiene la acción y el protocolo?. Las Opciones de la regla. La Cabecera de la regla. El Preprocesador de la regla. El Metadato de la regla.

¿Qué hace la acción alert en una regla de Snort?. Genera una alerta y guarda el paquete. Genera una alerta e ignora el paquete. Genera una alerta y bloquea el tráfico. Genera una alerta y resetea la conexión.

¿Cómo funciona la acción dynamic en Snort?. Cambia dinámicamente según el tráfico de red. Permanece inactiva hasta que la activa una regla activate. Bloquea el paquete dinámicamente sin guardarlo. Envía el paquete a un análisis dinámico en la nube.

¿Qué diferencia hay entre la acción drop y reject?. Drop envía un reset TCP y reject no hace nada. Reject bloquea y envía respuesta (RST o ICMP), drop solo bloquea. Drop guarda el paquete y reject lo elimina sin guardar. Son sinónimos, realizan exactamente la misma función.

¿Qué efecto tiene la acción sdrop en Snort?. Bloquea el paquete pero no lo guarda. Bloquea el paquete y lo guarda en binario. Permite pasar el paquete silenciosamente. Envía el paquete a un sistema Honeypot.

¿Qué información proporciona el parámetro rev en las opciones de una regla?. El reverso de la dirección IP de origen. El identificador de la revisión (cambio) de la regla. La revisión del motor de Snort necesaria. El número de veces que se ha revisado la alerta.

En la estructura de la cabecera de una regla Snort, ¿qué va justo después de las direcciones IP?. El protocolo de transporte. La dirección del flujo (operador direccional). Los puertos de origen y destino. El mensaje de alerta a mostrar.

¿Qué opción de presentación de alertas (-A) desactiva las alertas en Snort?. -A fast. -A unsock. -A null. -A none.