Beruflich Dokumente
Kultur Dokumente
1. Rellene los huecos de la siguiente figura, indicando a que hace referencia.
Autoridad de
Claves Públicas
(1) Request || Time1 (4) Request || Time2
(3) EKUb[IDA||N1]
A (6) EKUa[N1||N2] B
(7) EKUb[N2]
La figura hace referencia a la forma en que la autoridad de claves públicas mantiene una
clave pública por cada participante.
2. Proponga una solución a la autentificación de mensajes de correo electrónico
que se intercambia entre dos usuarios sin la necesidad de que dichos usuarios
compartan un secreto común.
Mediante la utilización de una función Hash para obtener un código adicional que será
enviado junto con el mensaje y descifrado mediante la misma función Hash en el destino.
3. La siguiente figura presenta la arquitectura de un cortafuego basada en un S.I.
dualhomed.
• Indique las características más relevantes del S.I. dualhomed.
• Transparencia
• Monitorización
• Control de servicios
• Optimización
• ¿Dónde ubicaría el servidor web de la organización?
Sería aceptable colocar un servidor web con funciones mínimas en el servidor dual‐homed,
aunque puede ser extremadamente peligroso proveer un servidor web normal en ese
equipo.
• ¿Dónde ubicaría el servidor de correo electrónico de la organización?
Supongo que sería análogo a la colocación de un servidor web.
• ¿En qué situación puede ser adecuada dicha arquitectura?
• Cuando el tráfico hacia Internet sea pequeño
• Cuando el tráfico hacia Internet no sea un recurso crítico para la organización
• Cuando no existan servicios proveedores de Internet basados en usuarios
• Cuando la red a proteger no contenga datos extremadamente valiosos
4. ¿Cuál cree que es la principal ventaja de los Sistemas de Detección de
Intrusiones basado en Red frente a los Sistemas de Detección de Intrusiones basados
en Máquinas?
IDS basados en red: monitoriza los paquetes que circulan por la red en busca de elementos
(firmas) que denoten un ataque contra alguno de los sistemas de la misma.
IDS basados en máquinas: buscan patrones que puedan indicar un intento de intrusión.
La principal ventaja de los IDS basados en red frente a los IDS basados en máquinas está en
que en los segundos se utilizan patrones para indicar un intento de intrusión, provocando en
ocasiones “falsos positivos”, esto es, que provocan una alarma ante un uso del sistema que
reconoce como maligno, pero que no lo es. El uso de sistemas cambia a lo largo del tiempo
y un sistema que no reconozca los nuevos usos no dañinos, puede provocar un número
elevado de alarmas que bajaría el rendimiento del sistema.
5. Indique cuales son los pasos que es recomendable seguir cuando detectamos
que ha habido una intrusión en nuestro sistema informático.
6. ¿Por qué cree que según Shanon para que se dé secreto perfecto en un
algoritmo de cifrado la longitud de la clave debe ser mayor o igual que la longitud del
mensaje?
Porque de esta manera se garantizaría que el texto cifrado y el texto claro son
estadísticamente independientes, no dando ninguna información al criptoanalista.
7. Indique en que situaciones es de interés la utilización de mecanismos de
autentificación MAC.
8. Indique cuales son las características y puntos débiles del mecanismo de
distribución de claves públicas mediante directorio.
Características:
• El directorio mantiene una entrada del tipo: nombre, clave pública; por cada participante
• Cada participante registra una clave pública con la autoridad del directorio
• Cada participante puede reemplazar la clave en cualquier momento
• El directorio se publica o actualiza periódicamente
• Los participantes pueden acceder al directorio de forma segura
Puntos débiles:
9. Indique cuales son los elementos de cifrado simétrico, asimétrico y funciones
asociadas que son necesario utilizar para llevar a cabo el envío de un mensaje con
confidencialidad y autentificación desde un usuario A al B, así como la utilización de
los mismos.
Una de las posibilidades es mediante el uso de MAC, que se representa en el diagrama
siguiente:
En este caso se usa solamente cifrado simétrico, lo que se hace es a parte de codificar el
mensaje con una clave, previamente se codifica una parte del mismo con otra clave, para su
posterior comparación en el destino.
Existen otras posibilidades, como el uso de este mismo sistema pero con cifrado asimétrico,
o el uso de funciones Hash o del uso de una función checksum o el cifrado asimétrico
doble.
10. Indique cómo se catalogan los mecanismos de control de acceso de usuario y
sus características principales.
Esto ocurre debido que al mezclar el router interior y el S.I. Bastión, se ha eliminado la red
perimetral cuya función era la de prever que en el caso de que el S.I. Bastión cayese el
atacante fuera incapaz de ver el tráfico de la red interna.
Esta configuración se podría solucionar si separásemos el S.I. Bastión del router interior.
12. Indique en qué consiste el criptoanálisis y cuáles son sus objetivos principales.
13. ¿Cómo define Shanon el secreto perfecto?
Partiendo de que la clave secreta se utiliza solo una vez y el criptoanálisis solo dispone del
criptograma, el secreto perfecto es aquel cuyo texto claro es estadísticamente independiente
de su criptograma. Para ello, es necesario que la longitud de la clave supere o iguale a la
longitud del mensaje.
14. ¿Cuál es la base de un cifrado por sustitución? ¿Y por transposición?
Identifique un ejemplo.
Un cifrado por sustitución consiste en sustituir cada elemento del mensaje por otro. Un
ejemplo es el cifrado de Cesar, en el que cada letra se sustituye por la correspondiente a 3
posiciones más del alfabeto.
15. Identifique el escenario de la figura siguiente, explicando cada uno de los
pasos indicados en la misma.
16. Presente un esquema de distribución de claves secretas con cifrado público con
confidencialidad y autentificación.
A B
17. Indique como es el proceso de autentificación de mensajes mediante el uso de
MAC, indicando asimismo situaciones en las cuales sea de utilidad.
Consiste en la utilización de una clave secreta para generar un bloque de datos de pequeño
tamaño que se añade al mensaje.
MAC = Ck(M)
|| C
M M
Ck(M) Comparar
C
K
El uso de MAC es útil en:
• Multidifusión de mensajes (Múltiples claves)
• Sistemas sobrecargados (Autentificación selectiva)
• Autentificación de software
18. Indique en qué clase de control de acceso se encuadra la aplicación
TCPWRAPPER, así como sus características más notables.
19. Indique las técnicas de ataques y defensas más comunes de las contraseñas.
Técnicas de ataque más comunes de las contraseñas:
• Diccionario: Utilizando palabras comunes o predecibles
• Fuerza bruta: Probando con todas las combinaciones posibles de contraseñas
• Caballos de Troya: Fragmentos de código integrados en programas que capturan
contraseñas del teclado o que viajen en texto claro en transmisiones de red.
• Espías de red (sniffer): Capturan toda la información que circula por la red local de la
maquina. Pillan contraseñas en texto claro o cifradas.
• Ingeniería social: muy usado, hacerse pasar por administrador, buscar en papeles.
Técnicas de defensa más comunes de las contraseñas:
• Políticas de Personal: contra ataques de ingenieria social y accesos a fichero. Uso de
buenas contraseñas
• Herramientas de Programa: Shadow Password (ocultar fichero de contraseñas), invalidar
cuentas tras intentos fallidos.
• Sistemas de contraseñas de un solo uso (OTP).
20. Indique cuales deberían ser las estrategias fundamentales a la hora de poner
en marcha un cortafuegos.
‐ Mínimos privilegios.
‐ Puntos de estrechamiento.
‐ Denegación por defecto.
‐ Permisividad por defecto.
‐ Participación Universal.
‐ Diversidad de Defensas.
21. ¿Qué condición debe cumplir una función hash para que sea hash fuerte?
‐ Puede aplicarse a un bloque de datos de cualquier tamaño
‐ Produce una salida de longitud fija menor que la del bloque original
‐ Debe ser fácil de computar
‐ Dado un h, tal que es el resultado de aplicar la función H al mensaje X, no debe ser
computacionalmente factible encontrar dicho X.
‐ Resistencia débil a las colisiones: dado un X, no debe ser computacionlamente encontrar
un Y, distinto a X, que tenga el mismo resultado de aplicar la función hash.
‐ Resistencia fuerte a las colisiones: no es computacionalmente factible encontrar un par
(X,Y) tal que al aplicar la función hash tengan iguales resultados.
22. Dispongo de unas librerías de criptografía que permiten aplicar los algoritmos
(MD5, IDEA y RSA) sobre un mensaje, así como generar las correspondientes claves.
Tengo además la clave pública de un amigo Kpb y un certificado CA con mi clave
pública Kpa. Mi clave secreta es Ksa. Mi amigo confía en la Autoridad que ha generado
la certificación. Tengo que enviar un mensaje M largo a mi amigo con los servicios de
confidencialidad y autentificación. ¿Cómo debo enviar el mensaje M buscando
eficiencia computacional?
Nota: escriba el mensaje que enviaría utilizando la siguiente nomenclatura:
Ek[m]: encriptar con clave k.
Dk[m]: desencriptar con clave k.
h(m): función hash
| : concatenar
Como queremos eficiencia computacional deberemos enviar una clave privada haciendo
uso de las claves públicas que ya poseemos, para luego enviar el mensaje con dicha clave
secreta.
Lo primero que hace A es enviar su certificado a B:
CA
Ekpb[Kp||N1]
Dksb[Ekpb[Kp||N1]]
Obteniendo así la nueva clave. Ahora B contesta a A enviándole N1 cifrado con la nueva
clave.
Ekp[N1]
A al descifrar y ver que todo está correcto ya puede enviar el mensaje cifrado con la nueva
clave privada a B:
Ekp[M]
23. Dos usuarios A y B tienen claves RSA {KpA, KsA, KpB, KpB}.
• A desea enviar a B un mensaje M confidencial. ¿Cómo lo procesan ambos?
• A cifra el mensaje M con la clave pública de B: EKpB[M] = C
• B descifra el mensaje cifrado C con su clave privada.
• A desea enviar a B un mensaje Autentificado. ¿Cómo lo procesan ambos?
• A cifra con su clave privada el mensaje: EKsA[M] = C
• B descifra el mensaje cifrado C con la clave pública de A
• ¿Qué información previa necesitan conocer A y B en cada uno de los casos
anteriores?
• En el primero Æ A necesita saber la clave pública de B
• En el segundo Æ B necesita sabe la clave pública de A
24. Qué se entiende por red perimetral (o zona desmilitarizada) en relación con
los cortafuegos.
La red perimetral consiste en una red añadida entre la red a proteger e Internet.
25. Indique como se logra la confidencialidad y la autenticidad en los sistemas
asimétricos de cifrado.
|| E D H
M M
Comparar
K K
H E
D
KRA
KUA
26. Defina en qué consisten los siguientes tipos de ataques:
• Denegación de servicios
Ataque caracterizado por un intento, por parte de los agresores, de evitar que los legítimos
usuarios puedan utilizar un determinado servicio.
• Ataques al DNS
Ataque que produce cambios en la configuración DNS.
• Spoofing
Ataque que crea tramas TCP/IP utilizando una dirección IP falseada.
27. Explique cuales son los elementos que conforman un certificado digital.
Las técnicas de cifrado asimétrico están basadas en la teoría de los grandes números, cada
participante tiene una clave privada conocida por todos y una clave privada.
29. Muestre el esquema de codificación del cifrado en flujo, indicando así mismo en
que situaciones es de interés su utilización.
En el cifrado por flujo de datos se encripta un bit (o byte) de texto en claro por vez. El ejemplo
más simple de cifrado por flujo de datos es el que consiste en combinar los datos, un bit a la
vez, con otro bloque de datos llamado pad. Este procedimiento requiere que el pad sea tan
largo como el texto en claro. Para desencriptar se utiliza el mismo pad y se realiza la operación
inversa a la utilizada durante la combinación. Los cifrados por flujo de datos funcionan
realmente bien con datos en tiempo real como voz y video, donde en un momento solo se
conocen pequeñas partes de los datos.
Clave
Situaciones en las que es de interés su
Secuencia
cifrante
utilización:
Algoritmo
determinista • Sistemas de tiempo real donde sólo se
Texto Cifrado conocen pequeñas partes de los datos.
+
Texto Claro
30. Indique cuales son las similitudes y diferencias de las funciones MAC y HASH.
Ambas funciones son utilizadas para crear un código de autentificación que será añadido al
mensaje que se envía. La principal diferencia entre estas funciones es que la MAC necesita
de una clave secreta para generar el código, mientras que la función HASH no necesita de
una para generar dicho código.
31. Indique en qué se diferencia el mecanismo de control de acceso de tcpwrapper
del mecanismo de filtrado de los cortafuegos.
32. Indique cual de las dos opciones siguientes elegiría si tuviera que defender con
un cortafuegos la red de su organización.
a)
b)
Elegiría la opción a, ya que la b tiene mezclado el router interno con el S.I. Bastión, lo que
hace que desaparezca la funcionalidad de la red perimetral haciendo transparente el tráfico
de la red interna, y por lo tanto, más vulnerable a posibles ataques.
33. Indique cual es la gran debilidad de los mecanismos de cifrado por sustitución.
34. Cuál es el problema principal de las técnicas de cifrado simétricas o de clave
secreta.
‐ Distribución de claves
‐ Se necesita un gran número de claves para hacer frente a n usuarios
‐ Dificultad de implantación de Firma digital
35. En qué consisten las técnicas de control de acceso denominadas biométricas.
Consisten en utilizar para el control de acceso de usuario una característica física del
usuario que debe ser única y no cambiar con las circunstancias ni con el tiempo.
36. Indique cuales son las configuraciones de cortafuegos no recomendables.
Aquellas que mezclen el router interior y el S.I. Bastión y aquellas que tengan múltiples
routers interiores.
37. ¿Qué es la firma digital? Cómo se puede llevar a cabo mediante:
La firma digital es un patrón de bits dependientes del mensaje enviado (dependiente
únicamente del emisor), que debe de ser capaz de verificar al autor, fecha y hora de la firma a
la vez que también debe ser capaz de autentificar el contenido del mensaje.
• Cifrado simétrico
Siempre con árbitro, viendo éste el mensaje o no. Sin que éste vea el mensaje sería:
• Cifrado asimétrico
Puede ser con árbitro o sin él, la versión sin árbitro es:
|| E D H
M M
Comparar
K K
H E
D
KRA
KUA
38. Indique el proceso de puesta en marcha de un Host Bastion de un cortafuegos.
• Asegurar la máquina
• Desactivar servicios no utilizados
• Instalar o modificar los servicios que se desean proporcionar
• Reconfigurar la máquina a su estado final
• Ejecutar una auditoría de seguridad
• Conectar la máquina a internet
39. Indique cual es la principal ventaja y desventaja de los algoritmos privados de
cifrado frente a los públicos.
Principal ventaja de los algoritmos privados de cifrado frente a los públicos:
• No son costosos computacionalmente.
Principal desventaja de los algoritmos privados de cifrado frente a los públicos:
• Distribución de las claves.
• Sin firma digital
• Manejo de claves: para N usuario tenemos N*(N‐1)/2 claves distintas
40. Indique cuales son las ventajas y desventajas de los métodos de cifrado
simétricos y asimétricos.
Cifrado simétrico:
‐ Ventajas:
• No son costosos computacionalmente
• Resulta simple su implementación
‐ Desventajas:
• Distribución de claves
• Número de claves Æ n usuarios necesitan n*(n‐1)/2 claves
• Dificultad de implantación de Firma digital
Cifrado asimétrico:
‐ Ventajas:
• Capacidad para añadir autentificación además de confidencialidad a los mensajes.
‐ Desventajas:
• Costosos computacionalmente