Tecnologías y Protocolos - Cisco CyberOps Associate v1.0 (Notas de revisión)

Tarjetas de repaso sobre tecnologías y protocolos de seguridad de red cubiertos en las notas del Módulo 24 de Cisco CyberOps Associate. Incluye Syslog/NTP, DNS, HTTP/HTTPS, correo electrónico, ICMP, ACL, NAT/PAT, cifrado y túnel, P2P/Tor, y balanceo de carga.

¿Qué es Syslog y para qué sirve en la ciberseguridad?

Es el estándar para registrar mensajes de eventos de dispositivos de red y terminales, centralizando la recopilación para facilitar el monitoreo de seguridad.

¿En qué puerto escucha Syslog típicamente un servidor central?

UDP 514.

¿Qué es syslog-ng y por qué se menciona en las prácticas de seguridad?

Es la siguiente generación de implementación de Syslog que ofrece mejoras para mitigar ataques dirigidos a syslog.

¿Qué papel cumple Syslog en la supervisión de la seguridad?

Permite centralizar registros de múltiples dispositivos para detectar y responder a incidentes.

¿Qué es NTP y para qué se usa?

Network Time Protocol; sincroniza relojes entre dispositivos de la red para una correlación temporal precisa de eventos.

¿Qué puerto utiliza NTP?

UDP 123.

¿Qué riesgos plantea la infraestructura de NTP para los atacantes?

Puede ser objetivo de ataques DDoS y su explotación puede interrumpir la disponibilidad de la red.

¿Cómo puede el malware usar DNS en ataques CnC y exfiltración?

Mediante consultas a DNS para comunicarse con servidores de comando y control y para exfiltrar datos, a menudo codificando información en subdominios.

¿Qué indica una posible exfiltración de datos a través de DNS?

Subdominios extremadamente largos, aleatorios o codificados que llevan datos exfiltrados.

¿Qué defensa se sugiere para detectar abuso de DNS?

Analizar registros de DNS y usar servicios como Cisco Umbrella para bloquear dominios sospechosos.

¿Qué es HTTP y cuál es su mayor debilidad en seguridad?

Hypertext Transfer Protocol; transmite información en texto plano, sin cifrar, lo que permite interceptación y alteración.

¿Qué es iFrame injection y cómo funciona?

Ataque que inserta código malicioso para generar un iFrame oculto que carga malware desde una URL externa.

¿Qué añade HTTPS y por qué es importante para la seguridad?

Capa de cifrado (SSL/TLS) que protege HTTP en tránsito, haciendo ilegibles los datos entre el origen y el servidor.

¿Qué limitaciones tiene la inspección de tráfico HTTPS?

El cifrado dificulta el monitoreo; la decryptación SSL es posible pero consume recursos y plantea problemas de privacidad.

¿Qué hacen los protocolos SMTP, POP3 e IMAP en seguridad de correo?

Propagan malware, filtran datos y pueden servir como canales para malware; SMTP envía, IMAP/POP3 descargan correos.

¿Qué funciones tiene ICMP y qué riesgos presenta?

Protocolo de control de mensajes de Internet; identifica hosts y estructura de red y puede usarse para DoS y exfiltración; a veces se ignora su tráfico interno.

¿Qué son ACL y cuál es su función en seguridad de red?

Listas de control de acceso; permiten o niegan tipos de tráfico, reforzando la seguridad a nivel de red.

¿Qué retos presentan las ACL ante ataques de manipulación de paquetes?

Los atacantes pueden evadir reglas con spoofing, direcciones falsas y manipulación de puertos; se requieren enfoques basados en comportamiento.

¿Qué son NAT y PAT y por qué dificultan el monitoreo de seguridad?

NAT traduce direcciones; PAT traduce puertos; complican identificar dispositivos internos en registros como NetFlow.

¿Qué papel juega el cifrado y la tunelización en seguridad de red?

El cifrado (VPN) crea túneles punto a punto, haciendo ilegible el tráfico para observadores, y puede ser utilizado por malware para exfiltración.

¿Qué son P2P y Tor y por qué importan para la ciberseguridad empresarial?

P2P: redes de pares para intercambio de archivos, procesamiento distribuido y mensajería; Tor ofrece navegación anónima y puede evadir controles.

¿Cómo funciona la arquitectura de Tor a alto nivel?

Construye rutas en capas de encriptación a través de nodos; ninguna estación ve toda la ruta; al final llega al destino y el regreso reutiliza capas.

¿Qué desafíos plantea Tor para los analistas de seguridad?

La anonimidad y la ruta oculta dificultan la trazabilidad y detección de comunicaciones maliciosas, especialmente en la Dark Web.

¿Qué es el balance de carga y qué objetivo persigue?

Distribuir tráfico entre recursos o rutas para evitar sobrecargas y mejorar disponibilidad; puede usar DNS para balanceo basado en DNS.

¿Qué función cumplen las sondas en un balanceador de carga (LBM)?

Verificar rendimiento y estado de servidores para evitar dirigir tráfico a recursos no disponibles.

¿Cómo puede el balanceo de carga geográfico generar señales clásicas de alerta?

Una única transacción puede parecer varias direcciones IP cuando se reparte entre recursos; puede aparecer como tráfico sospechoso en capturas.

¿Qué herramientas de Cisco se mencionan para seguridad ante estas amenazas?

Firewalls de última generación, protección avanzada contra malware (AMP) y dispositivos de correo y contenido web para reforzar políticas.

¿Qué relación tiene NetFlow con NAT/PAT en el monitoreo?

NetFlow mide flujos unidireccionales definidos por direcciones y puertos; NAT/PAT dificultan rastrear el origen y destino exactos.