Flashcards: 334.1 - Hardening De Red
34 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Que parametro sysctl habilita la proteccion contra ataques SYN flood?
R: b). net.ipv4.tcp_syncookies = 1 TCP SYN cookies es un mecanismo que permite al servidor responder a conexiones SYN sin mantener estado en memoria, protegiendo contra ataques SYN flood que intentan agotar los recursos del servidor.
P: ¿Que hace el parametro net.ipv4.conf.all.rp_filter = 1?
R: b). Activa el reverse path filtering, rechazando paquetes con IP de origen falsificada El Reverse Path Filtering verifica que la direccion de origen de cada paquete recibido sea alcanzable a traves de la interfaz por la que llego. El valor 1 (strict) requiere coincidencia exacta de interfaz; el valor 2 (loose) solo requiere que exista alguna ruta.
P: En TCP Wrappers, ¿cual es el orden de evaluacion entre hosts.allow y hosts.deny?
R: b). hosts.allow se evalua primero; si no coincide, se evalua hosts.deny El flujo es: 1) Si coincide en hosts.allow -> PERMITIDO. 2) Si coincide en hosts.deny -> DENEGADO. 3) Si no coincide en ninguno -> PERMITIDO (por defecto).
P: ¿Que comando de nftables crea una cadena de entrada con politica de descarte por defecto?
R: b). nft add chain inet filtro entrada { type filter hook input priority 0 ; policy drop ; } En nftables, las cadenas base requieren especificar type (filter/nat/route), hook (input/output/forward), priority y policy dentro de llaves.
P: ¿Que modulo de iptables permite limitar el numero de conexiones nuevas a un servicio en un periodo de tiempo?
R: c). recent El modulo recent mantiene una lista de IPs recientes y permite establecer umbrales de conexion por IP en un periodo. El modulo limit limita la tasa global, no por IP. hashlimit combina ambas funcionalidades.
P: ¿Que comando crea un namespace de red aislado llamado “seguro”?
R: b). ip netns add seguro ip netns add crea un nuevo namespace de red con su propio stack de red aislado (interfaces, tabla de rutas, reglas de firewall, etc.). Se ejecutan comandos dentro con ip netns exec seguro comando.
P: ¿Que parametro sysctl deshabilita completamente IPv6 en todas las interfaces?
R: b). net.ipv6.conf.all.disable_ipv6 = 1 Este parametro deshabilita IPv6 en todas las interfaces. Tambien se recomienda establecer net.ipv6.conf.default.disable_ipv6 = 1 para que las nuevas interfaces tambien lo tengan deshabilitado.
P: ¿Que familia de nftables permite crear reglas que aplican tanto a IPv4 como a IPv6?
R: c). inet La familia inet en nftables es una familia dual-stack que aplica las reglas tanto a trafico IPv4 como IPv6, evitando duplicar reglas. Las familias ip e ip6 solo aplican a su respectivo protocolo.
P: ¿Para que sirve el comando conntrack -L?
R: b). Lista todas las conexiones rastreadas por el sistema de connection tracking conntrack -L muestra la tabla de seguimiento de conexiones del kernel, incluyendo estado (ESTABLISHED, TIME_WAIT, etc.), direcciones de origen y destino, y puertos de cada conexion.
P: ¿Que parametro sysctl registra paquetes con direcciones IP de origen imposibles (paquetes marcianos)?
R: b). net.ipv4.conf.all.log_martians = 1 Los “paquetes marcianos” son aquellos con direcciones IP de origen imposibles o no rutables. log_martians registra estos paquetes en el log del kernel, util para detectar intentos de spoofing o errores de configuracion.
P: ¿Que diferencia existe entre rp_filter=1 (strict) y rp_filter=2 (loose)?
R: b) Correcta. Con rp_filter=1 (strict), el kernel verifica que la direccion de origen del paquete sea alcanzable a traves de la misma interfaz por la que llego. Con rp_filter=2 (loose), solo verifica que exista alguna ruta hacia la IP de origen en la tabla de enrutamiento, sin importar la interfaz. El modo strict es mas seguro pero puede causar problemas en redes con enrutamiento asimetrico.
P: ¿Que parametro sysctl deshabilita el reenvio de paquetes IPv4, lo cual es recomendable cuando el servidor no actua como router?
R: a) Correcta. net.ipv4.ip_forward = 0 deshabilita el reenvio de paquetes entre interfaces de red. Si el sistema no actua como router o gateway, debe estar deshabilitado para evitar que el servidor sea usado como punto de rebote en ataques de red. Para IPv6, el parametro equivalente es net.ipv6.conf.all.forwarding = 0.
P: En TCP Wrappers, ¿que ocurre cuando una conexion no coincide con ninguna regla en /etc/hosts.allow ni en /etc/hosts.deny?
R: b) Correcta. Si una conexion no coincide con ninguna regla en ninguno de los dos archivos, se permite por defecto. Por esta razon, la practica recomendada de seguridad es añadir ALL: ALL en /etc/hosts.deny para denegar todo por defecto, y luego definir las excepciones especificas en /etc/hosts.allow.
P: ¿Que herramienta monitoriza cambios en las asociaciones IP/MAC de la tabla ARP para detectar posibles ataques de ARP spoofing?
R: b) Correcta. arpwatch es un demonio que monitoriza la actividad ARP de la red, detectando cambios en las asociaciones IP/MAC y alertando al administrador por email o syslog. Esto permite detectar ataques de ARP spoofing/poisoning donde un atacante intenta asociar su MAC a la IP de otro dispositivo.
P: ¿Que comando crea un par de interfaces virtuales (veth) para conectar dos network namespaces?
R: b) Correcta. ip link add veth0 type veth peer name veth1 crea un par de interfaces virtuales Ethernet conectadas entre si (como un cable virtual). Luego se puede mover una de las interfaces a un namespace diferente con ip link set veth1 netns nombre_ns para establecer comunicacion entre namespaces.
P: ¿Que parametro sysctl rechaza los paquetes con source routing, evitando que un atacante pueda predeterminar la ruta de un paquete?
R: a) Correcta. net.ipv4.conf.all.accept_source_route = 0 rechaza paquetes que incluyen opciones de source routing (IP Options). El source routing permite al emisor especificar la ruta exacta que debe seguir el paquete, lo cual puede ser explotado para evadir firewalls o redireccionar trafico a traves de redes comprometidas.
P: Un administrador desea deshabilitar IPv6 completamente a traves de parametros del kernel en GRUB. ¿Que linea debe añadir en /etc/default/grub?
R: b) Correcta. El parametro de kernel ipv6.disable=1 deshabilita completamente el modulo IPv6 desde el arranque. Despues de modificar /etc/default/grub, se debe regenerar la configuracion de GRUB con grub2-mkconfig -o /boot/grub2/grub.cfg (o update-grub en Debian/Ubuntu).
P: ¿Que parametro sysctl protege contra ataques Smurf al ignorar los pings enviados a direcciones broadcast?
R: b) Correcta. net.ipv4.icmp_echo_ignore_broadcasts = 1 ignora las peticiones ICMP echo (ping) enviadas a direcciones broadcast o multicast. Los ataques Smurf envian pings falsificados a la direccion broadcast de una red, haciendo que todos los hosts respondan a la victima, amplificando el trafico.
P: ¿Que regla en nftables permite limitar la tasa de nuevas conexiones SSH a 3 por minuto?
R: b) Correcta. La expresion limit rate 3/minute en nftables establece una limitacion de tasa. Combinada con ct state new, solo aplica a nuevas conexiones. Las conexiones que excedan el limite no coincidiran con esta regla y seran procesadas por las reglas siguientes (o la politica por defecto de la cadena).
P: ¿Que principio de seguridad de red establece que no se debe confiar en ningun trafico por defecto, independientemente de su origen?
R: c) Correcta. El modelo Zero Trust asume que ninguna red, usuario o dispositivo es confiable por defecto, incluso si esta dentro del perimetro de la red corporativa. Todo acceso debe ser verificado, autenticado y autorizado explicitamente. Esto contrasta con el modelo tradicional de perimetro, donde se confia en el trafico interno.
P: Escribe el comando para aplicar de forma inmediata todos los parametros sysctl definidos en el archivo /etc/sysctl.d/99-network-hardening.conf.
R: sysctl -p /etc/sysctl.d/99-network-hardening.conf. sysctl -p lee y aplica los parametros del archivo especificado. Sin argumento, lee /etc/sysctl.conf. Es necesario ejecutar este comando despues de modificar archivos de configuracion sysctl para que los cambios surtan efecto sin reiniciar el sistema.
P: Escribe el comando para añadir una entrada ARP estatica que asocie la IP 192.168.1.1 con la MAC 00:11:22:33:44:55 en la interfaz eth0 usando el comando ip.
R: ip neigh add 192.168.1.1 lladdr 00:11:22:33:44:55 nud permanent dev eth0. Las entradas ARP estaticas (nud permanent) previenen ataques de ARP spoofing para hosts criticos como el gateway. lladdr especifica la direccion MAC (link-layer address) y nud permanent indica que la entrada nunca expira ni se verifica.
P: Escribe el comando para ejecutar el comando ip addr show dentro del namespace de red llamado ns_aislado.
R: ip netns exec ns_aislado ip addr show. ip netns exec permite ejecutar cualquier comando dentro del contexto de un network namespace especifico. El comando se ejecuta con el stack de red aislado del namespace, incluyendo sus propias interfaces, tabla de rutas y reglas de firewall.
P: Escribe el comando de nftables para crear un set de IPs llamado ips_bloqueadas de tipo IPv4 en la tabla inet filtro.
R: nft add set inet filtro ips_bloqueadas { type ipv4_addr ; }. Los sets de nftables permiten agrupar elementos del mismo tipo (direcciones IP, puertos, etc.) para uso eficiente en reglas. Una vez creado el set, se pueden añadir elementos con nft add element y referenciarlo en reglas con @ips_bloqueadas.
P: Escribe la regla que se debe añadir en /etc/hosts.deny para denegar el acceso a todos los servicios desde cualquier origen por defecto.
R: ALL: ALL. La regla ALL: ALL en /etc/hosts.deny deniega el acceso a todos los servicios protegidos por TCP Wrappers desde cualquier origen. Esta es la practica recomendada de seguridad (deny by default), combinada con reglas especificas de permitir en /etc/hosts.allow para los servicios y clientes autorizados.
P: Tip de examen: Conoce los parametros sysctl de red mas importantes, la diferencia entre nftable…
R: Conoce los parametros sysctl de red mas importantes, la diferencia entre nftables e iptables, y los TCP wrappers. Entiende la segmentacion de red y el aislamiento con namespaces.
P: Tip de examen: rp_filter=1 (strict mode) verifica que la ruta de retorno del paquete use la m…
R: rp_filter=1 (strict mode) verifica que la ruta de retorno del paquete use la misma interfaz por la que llego. rp_filter=2 (loose mode) solo verifica que exista alguna ruta.
P: Tip de examen: TCP Wrappers solo funciona con servicios compilados con soporte libwrap. Servici…
R: TCP Wrappers solo funciona con servicios compilados con soporte libwrap. Servicios modernos como Apache y Nginx NO lo usan. SSH (sshd) si lo soporta tipicamente.
P: Que es/son nftables - Fundamentos?
R: nftables es el sucesor de iptables y es el framework de filtrado de paquetes recomendado en Linux moderno.
P: Que es/son TCP Wrappers?
R: TCP Wrappers proporciona control de acceso basado en host para servicios que usan la biblioteca libwrap.
P: Que es/son Deshabilitacion de IPv6?
R: Si IPv6 no se utiliza, debe deshabilitarse para reducir la superficie de ataque.
P: Que es/son Network Namespace Isolation?
R: Los namespaces de red proporcionan aislamiento completo del stack de red.
P: Que es/son Segmentacion de Red?
R: La segmentacion divide la red en zonas con diferentes niveles de confianza:
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: