Difference between revisions of "LPIC-303(ES)"
Restaurador (Talk | contribs) |
Restaurador (Talk | contribs) |
||
(9 intermediate revisions by the same user not shown) | |||
Line 18: | Line 18: | ||
<br /> | <br /> | ||
− | == | + | ==Objetivos== |
===''Topic 325: Criptografía''=== | ===''Topic 325: Criptografía''=== | ||
====<span style="color:navy">325.1 X.509 Certificados e Infraestructuras de Clave Pública (peso: 5)</span>==== | ====<span style="color:navy">325.1 X.509 Certificados e Infraestructuras de Clave Pública (peso: 5)</span>==== | ||
Line 26: | Line 26: | ||
|- | |- | ||
| style="background:#dadada; padding-right:1em" | '''Description''' | | style="background:#dadada; padding-right:1em" | '''Description''' | ||
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" |Los candidatos deben comprender los certificados X.509 y las infraestructuras de clave pública. Deben saber cómo configurar y usar OpenSSL para implementar las autoridades de certificación y emitir certificados SSL para diversos fines. |
+ | |||
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprender los certificados X.509, el ciclo de vida del certificado X.509, los campos del certificado X.509 y las extensiones de certificado X.509v3. |
− | * | + | * Comprender las cadenas de confianza y las infraestructuras de clave pública. |
− | * | + | * Generar y administrar claves públicas y privadas. |
− | * | + | * Crear, operar y asegurar una autoridad de certificación. |
− | * | + | * Solicitar, firmar y administrar certificados de servidor y cliente. |
− | * | + | * Revocar certificados y autoridades de certificación. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
− | * openssl, | + | * openssl, incluidos los subcomandos pertinentes |
− | * OpenSSL | + | * Configuración de OpenSSL |
* PEM, DER, PKCS | * PEM, DER, PKCS | ||
* CSR | * CSR | ||
Line 45: | Line 46: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">325.2 X.509 | + | ====<span style="color:navy"> Certificados para encriptación, firma y autenticación (peso: 4) 325.2 X.509</span>==== |
{| | {| | ||
| style="background:#dadada" | '''Weight''' | | style="background:#dadada" | '''Weight''' | ||
| style="background:#eaeaea" | 4 | | style="background:#eaeaea" | 4 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben saber cómo usar certificados X.509 para autenticación de servidor y cliente. Los candidatos deben ser capaces de implementar la autenticación de usuario y servidor para Apache HTTPD. La versión de Apache HTTPD cubierta es 2.4 o superior. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprender las versiones de los protocolos SSL y TLS. |
− | * | + | * Comprender las amenazas de seguridad comunes de la capa de transporte, por ejemplo Man-in-the-Middle. |
− | * | + | * Configurar Apache HTTPD con mod_ssl para proporcionar servicio HTTPS, incluidos SNI y HSTS. |
− | * | + | * Configurar Apache HTTPD con mod_ssl para autenticar a los usuarios que usan certificados. |
− | * | + | * Configurar Apache HTTPD con mod_ssl para proporcionar el engrapado OCSP. |
− | * | + | * Usar OpenSSL para pruebas de servidor y cliente SSL / TLS. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
− | * | + | * Autoridades de certificación intermedias |
− | * | + | * Configuración de cifrado (sin conocimiento específico de cifrado) |
* httpd.conf | * httpd.conf | ||
* mod_ssl | * mod_ssl | ||
Line 69: | Line 70: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">325.3 | + | ====<span style="color:navy">325.3 Sistemas de archivos encriptados (peso: 3)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 3 | | style="background:#eaeaea" | 3 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben ser capaces de configurar y configurar sistemas de archivos encriptados. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprender los dispositivo de bloque y el cifrado del sistema de archivos. |
− | * | + | * Usar dm-crypt con LUKS para encriptar dispositivos de bloque. |
− | * | + | * Usar eCryptfs para cifrar sistemas de archivos, incluidos directorios personales e integración de PAM. |
− | * | + | * Conocer y tener en cuenta dm-crypt simple y EncFS. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* cryptsetup | * cryptsetup | ||
* cryptmount | * cryptmount | ||
* /etc/crypttab | * /etc/crypttab | ||
* ecryptfsd | * ecryptfsd | ||
− | * ecryptfs-* | + | * comandos ecryptfs-* |
* mount.ecryptfs, umount.ecryptfs | * mount.ecryptfs, umount.ecryptfs | ||
* pam_ecryptfs | * pam_ecryptfs | ||
Line 93: | Line 94: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">325.4 DNS | + | ====<span style="color:navy">325.4 DNS y criptografía (peso: 5)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 5 | | style="background:#eaeaea" | 5 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben tener experiencia y conocimiento de la criptografía en el contexto del DNS y su implementación utilizando BIND. La versión de BIND cubierta es 9.7 o superior. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprensión de DNSSEC y DANE. |
− | * Configure | + | * Configure y solucione problemas BIND con un servidor de nombres autorizado que sirve zonas seguras de DNSSEC. |
− | * Configure BIND | + | * Configure BIND con un servidor de nombres recursivo que realiza la validación de DNSSEC en nombre de sus clientes. |
* Key Signing Key, Zone Signing Key, Key Tag | * Key Signing Key, Zone Signing Key, Key Tag | ||
− | * | + | * Generación de claves, almacenamiento de claves, gestión de claves y renovación de claves |
− | * | + | * Mantenimiento y nueva firma de zonas |
− | * | + | * Usar DANE para publicar información del certificado X.509 en DNS. |
− | * | + | * Usar TSIG para una comunicación segura con BIND. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* DNS, EDNS, Zones, Resource Records | * DNS, EDNS, Zones, Resource Records | ||
* DNS resource records: DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAM, TLSA | * DNS resource records: DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAM, TLSA | ||
Line 128: | Line 129: | ||
<br /> | <br /> | ||
− | ===''Topic 326: | + | ===''Topic 326: Seguridad del host''=== |
− | ====<span style="color:navy">326.1 | + | ====<span style="color:navy">326.1 Hardening del host (peso: 3)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 3 | | style="background:#eaeaea" | 3 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben poder proteger las computadoras que ejecutan Linux contra amenazas comunes. Esto incluye kernel y configuración de software. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Configurar la seguridad del BIOS y del gestor de arranque (GRUB 2). |
− | * | + | * Deshabilitar software y servicios inútiles. |
− | * Use sysctl | + | * Use sysctl para la configuración del kernel relacionada con la seguridad, particularmente ASLR, Exec-Shield y la configuración de IP / ICMP. |
− | * | + | * Limitar el uso de recursos. |
− | * | + | * Trabajar con entornos chroot. |
− | * | + | * Eliminar capacidades innecesarias. |
− | * | + | * Tenga en cuenta las ventajas de seguridad de la virtualización. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* grub.cfg | * grub.cfg | ||
* chkconfig, systemctl | * chkconfig, systemctl | ||
Line 157: | Line 158: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">326.2 Host | + | ====<span style="color:navy">326.2 Detecion de Intrusos en Host (peso: 4)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 4 | | style="background:#eaeaea" | 4 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" |Los candidatos deben estar familiarizados con el uso y la configuración del software común de detección de intrusión de host. Esto incluye actualizaciones y mantenimiento, así como escaneos de host automatizados. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Usar y configurar el sistema de auditoría de Linux. |
− | * | + | * Utiliza chkrootkit. |
− | * | + | * Utiliza y configura rkhunter, incluidas las actualizaciones. |
* Use Linux Malware Detect. | * Use Linux Malware Detect. | ||
− | * | + | * Automatice las exploraciones de host usando cron. |
− | * Configure | + | * Configure y use AIDE, incluida la administración de reglas. |
− | * | + | * Tenga en cuenta OpenSCAP. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* auditd | * auditd | ||
* auditctl | * auditctl | ||
Line 190: | Line 191: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">326.3 | + | ====<span style="color:navy">326.3 Gestión y autenticación de usuarios (peso: 5) </span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 5 | | style="background:#eaeaea" | 5 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" |Los candidatos deben estar familiarizados con la gestión y la autenticación de cuentas de usuario. Esto incluye la configuración y el uso de NSS, PAM, SSSD y Kerberos para los directorios locales y remotos y los mecanismos de autenticación, así como la aplicación de una política de contraseñas. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprender y configurar NSS. |
− | * | + | * Comprender y configurar PAM. |
− | * | + | * Aplicar políticas de complejidad de contraseña y cambios de contraseña periódicos. |
− | * | + | * Bloquee cuentas automáticamente después de intentos fallidos de inicio de sesión. |
− | * | + | * Configurar y usar SSSD. |
− | * Configure NSS | + | * Configure NSS y PAM para usar con SSSD. |
− | * Configure SSSD | + | * Configure la autenticación SSSD contra Active Directory, IPA, LDAP, Kerberos y dominios locales. |
− | * | + | * Obtenga y administre tickets de Kerberos. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* nsswitch.conf | * nsswitch.conf | ||
* /etc/login.defs | * /etc/login.defs | ||
Line 223: | Line 224: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">326.4 FreeIPA | + | ====<span style="color:navy">326.4 Instalación de FreeIPA e integración de Samba (peso: 4)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 4 | | style="background:#eaeaea" | 4 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben estar familiarizados con FreeIPA v4.x. Esto incluye la instalación y el mantenimiento de una instancia de servidor con un dominio FreeIPA, así como la integración de FreeIPA con Active Directory. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprender FreeIPA, incluida su arquitectura y componentes. |
− | * | + | * Comprender los requisitos previos del sistema y la configuración para instalar FreeIPA. |
− | * | + | * Instalar y administrar un servidor y dominio FreeIPA. |
− | * | + | * Comprender y configurar la replicación de Active Directory y los cross-realm trusts de Kerberos. |
− | * | + | * Tenga en cuenta la integración de sudo, autofs, SSH y SELinux en FreeIPA. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* 389 Directory Server, MIT Kerberos, Dogtag Certificate System, NTP, DNS, SSSD, certmonger | * 389 Directory Server, MIT Kerberos, Dogtag Certificate System, NTP, DNS, SSSD, certmonger | ||
* ipa, including relevant subcommands | * ipa, including relevant subcommands | ||
Line 246: | Line 247: | ||
===''Topic 327: Access Control''=== | ===''Topic 327: Access Control''=== | ||
− | ====<span style="color:navy">327.1 | + | ====<span style="color:navy">327.1 Control de acceso discrecional (peso: 3)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 3 | | style="background:#eaeaea" | 3 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben comprender el Control de acceso discrecional y saber cómo implementarlo usando las Listas de control de acceso. Además, los candidatos deben comprender y saber cómo utilizar atributos extendidos. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprender y administrar la propiedad y los permisos del archivo, incluidos SUID y SGID. |
− | * | + | * Comprender y administrar las listas de control de acceso. |
− | * | + | * Entender y administrar atributos extendidos y clases de atributos. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* getfacl | * getfacl | ||
* setfacl | * setfacl | ||
Line 266: | Line 267: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">327.2 | + | ====<span style="color:navy">327.2 Control de acceso obligatorio (MAC) (weight: 4)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 4 | | style="background:#eaeaea" | 4 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben estar familiarizados con los sistemas de control de acceso obligatorio para Linux. Específicamente, los candidatos deben tener un conocimiento profundo de SELinux. Además, los candidatos deben conocer otros sistemas de control de acceso obligatorio para Linux. Esto incluye las principales características de estos sistemas, pero no la configuración y el uso. |
|} | |} | ||
'''Key Knowledge Areas:''' | '''Key Knowledge Areas:''' | ||
− | * | + | * Comprender los conceptos de TE, RBAC, MAC y DAC. |
− | * | + | * Configurar, administrar y usar SELinux. |
− | * | + | * Conocer de AppArmor y Smack. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* getenforce, setenforce, selinuxenabled | * getenforce, setenforce, selinuxenabled | ||
* getsebool, setsebool, togglesebool | * getsebool, setsebool, togglesebool | ||
Line 291: | Line 292: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">327.3 | + | ====<span style="color:navy">327.3 Sistemas de archivos de red (peso: 3)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 3 | | style="background:#eaeaea" | 3 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben tener experiencia y conocimiento de los problemas de seguridad en el uso y la configuración de los clientes y servidores NFSv4, así como los servicios del cliente CIFS. Las versiones anteriores de NFS no estan dentro del conocimiento requerido. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprender los problemas y las mejoras de seguridad de NFSv4. |
− | * | + | * Configurar el servidor y los clientes de NFSv4. |
− | * | + | * Comprender y configurar los mecanismos de autenticación de NFSv4 (LIPKEY, SPKM, Kerberos). |
− | * | + | * Comprender y usar el sistema de pseudoarchivo NFSv4. |
− | * | + | * Comprender y usar NFSv4 ACL. |
− | * | + | * Configurar clientes CIFS. |
− | * | + | * Comprender y usar extensiones CIFS Unix. |
− | * | + | * Comprender y configurar los modos de seguridad CIFS (NTLM, Kerberos). |
− | * | + | * Comprender y gestionar la asignación y el manejo de CIFS ACL y SID en un sistema Linux. |
− | ''' | + | |
+ | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' | ||
* /etc/exports | * /etc/exports | ||
* /etc/idmap.conf | * /etc/idmap.conf | ||
* nfs4acl | * nfs4acl | ||
− | * mount.cifs | + | * parámetros mount.cifs relacionados con los permisos y los modos de seguridad* winbind |
− | * winbind | + | |
* getcifsacl, setcifsacl | * getcifsacl, setcifsacl | ||
Line 323: | Line 324: | ||
<br /> | <br /> | ||
− | ===''Topic 328: | + | ===''Topic 328: Seguridad de red''=== |
− | ====<span style="color:navy">328.1 | + | ====<span style="color:navy">328.1 Hardening de Red(peso: 4)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 4 | | style="background:#eaeaea" | 4 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben poder proteger las redes contra amenazas comunes. Esto incluye la verificación de la efectividad de las medidas de seguridad. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * Configure FreeRADIUS | + | * Configure FreeRADIUS para autenticar los nodos de la red. |
− | * Use nmap | + | * Use nmap para escanear redes y hosts, incluidos diferentes métodos de escaneo. |
− | * Use Wireshark | + | * Use Wireshark para analizar el tráfico de la red, incluidos los filtros y las estadísticas. |
− | * | + | * Identificar y tratar con anuncios de enrutadores maliciosos y mensajes DHCP. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* radiusd | * radiusd | ||
* radmin | * radmin | ||
Line 352: | Line 353: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">328.2 | + | ====<span style="color:navy">328.2 Detección de intrusión de red (Peso: 4)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 4 | | style="background:#eaeaea" | 4 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben estar familiarizados con el uso y la configuración de la exploración de seguridad de red, el monitoreo de red y el software de detección de intrusos de red. Esto incluye la actualización y el mantenimiento de los escáneres de seguridad. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Implementar monitoreo de uso de ancho de banda. |
− | * Configure | + | * Configure y use Snort, incluida la administración de reglas. |
− | * Configure | + | * Configure y use OpenVAS, incluido NASL. |
'''The following is a partial list of the used files, terms and utilities:''' | '''The following is a partial list of the used files, terms and utilities:''' | ||
* ntop | * ntop | ||
Line 378: | Line 379: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">328.3 | + | ====<span style="color:navy">328.3 Filtrado de paquetes (peso: 5)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 5 | | style="background:#eaeaea" | 5 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben estar familiarizados con el uso y la configuración de los filtros de paquetes. Esto incluye netfilter, iptables e ip6tables, así como el conocimiento básico de nftables, nft y ebtables. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * | + | * Comprender las arquitecturas de firewall comunes, incluida DMZ. |
− | * | + | * Comprender y usar netfilter, iptables e ip6tables, incluidos los módulos estándar, pruebas y objetivos. |
− | * | + | * Implementar el filtrado de paquetes para IPv4 e IPv6. |
− | * | + | * Implementar el seguimiento de la conexión y la traducción de direcciones de red. |
− | * | + | * Definir conjuntos de IP y usarlos en las reglas de netfilter. |
− | * | + | * Tener conocimientos básicos de nftables y nft. |
− | * | + | * Tener conocimientos básicos de ebtables. |
− | * | + | * Conocer conntrackd. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* iptables | * iptables | ||
* ip6tables | * ip6tables | ||
Line 405: | Line 406: | ||
<br /> | <br /> | ||
− | ====<span style="color:navy">328.4 | + | ====<span style="color:navy">328.4 Redes privadas virtuales (peso: 4)</span>==== |
{| | {| | ||
− | | style="background:#dadada" | ''' | + | | style="background:#dadada" | '''Peso''' |
| style="background:#eaeaea" | 4 | | style="background:#eaeaea" | 4 | ||
|- | |- | ||
− | | style="background:#dadada; padding-right:1em" | ''' | + | | style="background:#dadada; padding-right:1em" | '''Descripcion''' |
− | | style="background:#eaeaea" | | + | | style="background:#eaeaea" | Los candidatos deben estar familiarizados con el uso de OpenVPN e IPsec. |
|} | |} | ||
− | ''' | + | '''Áreas de conocimiento clave:''' |
− | * Configure | + | * Configure y maneje el servidor OpenVPN y los clientes para las redes VPN enrutadas y puente. |
− | * Configure | + | * Configure y maneje el servidor IPsec y los clientes para las redes VPN enrutadas usando IPsec-Tools / racoon. |
− | * | + | * Conocimientos sobre L2TP. |
− | ''' | + | '''La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:''' |
* /etc/openvpn/* | * /etc/openvpn/* | ||
* openvpn server and client | * openvpn server and client | ||
Line 423: | Line 424: | ||
* /etc/ipsec-tools.conf | * /etc/ipsec-tools.conf | ||
* /etc/racoon/racoon.conf | * /etc/racoon/racoon.conf | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− |
Latest revision as of 18:44, 10 December 2017
Contents
Introduccion
La descripción del programa completo LPIC-3 figura en la lista aquí.
Información de versión
Estos son los objetivos de la versión 2.0.0. La versión 1.x objetivos se puede encontrar aquí.
Traducciones de objetivos
Las siguientes traducciones de los objetivos están disponibles en esta wiki:
- Ingles
- Español
Objetivos
Topic 325: Criptografía
325.1 X.509 Certificados e Infraestructuras de Clave Pública (peso: 5)
Weight | 5 |
Description | Los candidatos deben comprender los certificados X.509 y las infraestructuras de clave pública. Deben saber cómo configurar y usar OpenSSL para implementar las autoridades de certificación y emitir certificados SSL para diversos fines. |
Áreas de conocimiento clave:
- Comprender los certificados X.509, el ciclo de vida del certificado X.509, los campos del certificado X.509 y las extensiones de certificado X.509v3.
- Comprender las cadenas de confianza y las infraestructuras de clave pública.
- Generar y administrar claves públicas y privadas.
- Crear, operar y asegurar una autoridad de certificación.
- Solicitar, firmar y administrar certificados de servidor y cliente.
- Revocar certificados y autoridades de certificación.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- openssl, incluidos los subcomandos pertinentes
- Configuración de OpenSSL
- PEM, DER, PKCS
- CSR
- CRL
- OCSP
Certificados para encriptación, firma y autenticación (peso: 4) 325.2 X.509
Weight | 4 |
Descripcion | Los candidatos deben saber cómo usar certificados X.509 para autenticación de servidor y cliente. Los candidatos deben ser capaces de implementar la autenticación de usuario y servidor para Apache HTTPD. La versión de Apache HTTPD cubierta es 2.4 o superior. |
Áreas de conocimiento clave:
- Comprender las versiones de los protocolos SSL y TLS.
- Comprender las amenazas de seguridad comunes de la capa de transporte, por ejemplo Man-in-the-Middle.
- Configurar Apache HTTPD con mod_ssl para proporcionar servicio HTTPS, incluidos SNI y HSTS.
- Configurar Apache HTTPD con mod_ssl para autenticar a los usuarios que usan certificados.
- Configurar Apache HTTPD con mod_ssl para proporcionar el engrapado OCSP.
- Usar OpenSSL para pruebas de servidor y cliente SSL / TLS.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- Autoridades de certificación intermedias
- Configuración de cifrado (sin conocimiento específico de cifrado)
- httpd.conf
- mod_ssl
- openssl
325.3 Sistemas de archivos encriptados (peso: 3)
Peso | 3 |
Descripcion | Los candidatos deben ser capaces de configurar y configurar sistemas de archivos encriptados. |
Áreas de conocimiento clave:
- Comprender los dispositivo de bloque y el cifrado del sistema de archivos.
- Usar dm-crypt con LUKS para encriptar dispositivos de bloque.
- Usar eCryptfs para cifrar sistemas de archivos, incluidos directorios personales e integración de PAM.
- Conocer y tener en cuenta dm-crypt simple y EncFS.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- cryptsetup
- cryptmount
- /etc/crypttab
- ecryptfsd
- comandos ecryptfs-*
- mount.ecryptfs, umount.ecryptfs
- pam_ecryptfs
325.4 DNS y criptografía (peso: 5)
Peso | 5 |
Descripcion | Los candidatos deben tener experiencia y conocimiento de la criptografía en el contexto del DNS y su implementación utilizando BIND. La versión de BIND cubierta es 9.7 o superior. |
Áreas de conocimiento clave:
- Comprensión de DNSSEC y DANE.
- Configure y solucione problemas BIND con un servidor de nombres autorizado que sirve zonas seguras de DNSSEC.
- Configure BIND con un servidor de nombres recursivo que realiza la validación de DNSSEC en nombre de sus clientes.
- Key Signing Key, Zone Signing Key, Key Tag
- Generación de claves, almacenamiento de claves, gestión de claves y renovación de claves
- Mantenimiento y nueva firma de zonas
- Usar DANE para publicar información del certificado X.509 en DNS.
- Usar TSIG para una comunicación segura con BIND.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- DNS, EDNS, Zones, Resource Records
- DNS resource records: DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAM, TLSA
- DO-Bit, AD-Bit
- TSIG
- named.conf
- dnssec-keygen
- dnssec-signzone
- dnssec-settime
- dnssec-dsfromkey
- rndc
- dig
- delv
- openssl
Topic 326: Seguridad del host
326.1 Hardening del host (peso: 3)
Peso | 3 |
Descripcion | Los candidatos deben poder proteger las computadoras que ejecutan Linux contra amenazas comunes. Esto incluye kernel y configuración de software. |
Áreas de conocimiento clave:
- Configurar la seguridad del BIOS y del gestor de arranque (GRUB 2).
- Deshabilitar software y servicios inútiles.
- Use sysctl para la configuración del kernel relacionada con la seguridad, particularmente ASLR, Exec-Shield y la configuración de IP / ICMP.
- Limitar el uso de recursos.
- Trabajar con entornos chroot.
- Eliminar capacidades innecesarias.
- Tenga en cuenta las ventajas de seguridad de la virtualización.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- grub.cfg
- chkconfig, systemctl
- ulimit
- /etc/security/limits.conf
- pam_limits.so
- chroot
- sysctl
- /etc/sysctl.conf
326.2 Detecion de Intrusos en Host (peso: 4)
Peso | 4 |
Descripcion | Los candidatos deben estar familiarizados con el uso y la configuración del software común de detección de intrusión de host. Esto incluye actualizaciones y mantenimiento, así como escaneos de host automatizados. |
Áreas de conocimiento clave:
- Usar y configurar el sistema de auditoría de Linux.
- Utiliza chkrootkit.
- Utiliza y configura rkhunter, incluidas las actualizaciones.
- Use Linux Malware Detect.
- Automatice las exploraciones de host usando cron.
- Configure y use AIDE, incluida la administración de reglas.
- Tenga en cuenta OpenSCAP.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- auditd
- auditctl
- ausearch, aureport
- auditd.conf
- audit.rules
- pam_tty_audit.so
- chkrootkit
- rkhunter
- /etc/rkhunter.conf
- maldet
- conf.maldet
- aide
- /etc/aide/aide.conf
326.3 Gestión y autenticación de usuarios (peso: 5)
Peso | 5 |
Descripcion | Los candidatos deben estar familiarizados con la gestión y la autenticación de cuentas de usuario. Esto incluye la configuración y el uso de NSS, PAM, SSSD y Kerberos para los directorios locales y remotos y los mecanismos de autenticación, así como la aplicación de una política de contraseñas. |
Áreas de conocimiento clave:
- Comprender y configurar NSS.
- Comprender y configurar PAM.
- Aplicar políticas de complejidad de contraseña y cambios de contraseña periódicos.
- Bloquee cuentas automáticamente después de intentos fallidos de inicio de sesión.
- Configurar y usar SSSD.
- Configure NSS y PAM para usar con SSSD.
- Configure la autenticación SSSD contra Active Directory, IPA, LDAP, Kerberos y dominios locales.
- Obtenga y administre tickets de Kerberos.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- nsswitch.conf
- /etc/login.defs
- pam_cracklib.so
- chage
- pam_tally.so, pam_tally2.so
- faillog
- pam_sss.so
- sssd
- sssd.conf
- sss_* commands
- krb5.conf
- kinit, klist, kdestroy
326.4 Instalación de FreeIPA e integración de Samba (peso: 4)
Peso | 4 |
Descripcion | Los candidatos deben estar familiarizados con FreeIPA v4.x. Esto incluye la instalación y el mantenimiento de una instancia de servidor con un dominio FreeIPA, así como la integración de FreeIPA con Active Directory. |
Áreas de conocimiento clave:
- Comprender FreeIPA, incluida su arquitectura y componentes.
- Comprender los requisitos previos del sistema y la configuración para instalar FreeIPA.
- Instalar y administrar un servidor y dominio FreeIPA.
- Comprender y configurar la replicación de Active Directory y los cross-realm trusts de Kerberos.
- Tenga en cuenta la integración de sudo, autofs, SSH y SELinux en FreeIPA.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- 389 Directory Server, MIT Kerberos, Dogtag Certificate System, NTP, DNS, SSSD, certmonger
- ipa, including relevant subcommands
- ipa-server-install, ipa-client-install, ipa-replica-install
- ipa-replica-prepare, ipa-replica-manage
Topic 327: Access Control
327.1 Control de acceso discrecional (peso: 3)
Peso | 3 |
Descripcion | Los candidatos deben comprender el Control de acceso discrecional y saber cómo implementarlo usando las Listas de control de acceso. Además, los candidatos deben comprender y saber cómo utilizar atributos extendidos. |
Áreas de conocimiento clave:
- Comprender y administrar la propiedad y los permisos del archivo, incluidos SUID y SGID.
- Comprender y administrar las listas de control de acceso.
- Entender y administrar atributos extendidos y clases de atributos.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- getfacl
- setfacl
- getfattr
- setfattr
327.2 Control de acceso obligatorio (MAC) (weight: 4)
Peso | 4 |
Descripcion | Los candidatos deben estar familiarizados con los sistemas de control de acceso obligatorio para Linux. Específicamente, los candidatos deben tener un conocimiento profundo de SELinux. Además, los candidatos deben conocer otros sistemas de control de acceso obligatorio para Linux. Esto incluye las principales características de estos sistemas, pero no la configuración y el uso. |
Key Knowledge Areas:
- Comprender los conceptos de TE, RBAC, MAC y DAC.
- Configurar, administrar y usar SELinux.
- Conocer de AppArmor y Smack.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- getenforce, setenforce, selinuxenabled
- getsebool, setsebool, togglesebool
- fixfiles, restorecon, setfiles
- newrole, runcon
- semanage
- sestatus, seinfo
- apol
- seaudit, seaudit-report, audit2why, audit2allow
- /etc/selinux/*
327.3 Sistemas de archivos de red (peso: 3)
Peso | 3 |
Descripcion | Los candidatos deben tener experiencia y conocimiento de los problemas de seguridad en el uso y la configuración de los clientes y servidores NFSv4, así como los servicios del cliente CIFS. Las versiones anteriores de NFS no estan dentro del conocimiento requerido. |
Áreas de conocimiento clave:
- Comprender los problemas y las mejoras de seguridad de NFSv4.
- Configurar el servidor y los clientes de NFSv4.
- Comprender y configurar los mecanismos de autenticación de NFSv4 (LIPKEY, SPKM, Kerberos).
- Comprender y usar el sistema de pseudoarchivo NFSv4.
- Comprender y usar NFSv4 ACL.
- Configurar clientes CIFS.
- Comprender y usar extensiones CIFS Unix.
- Comprender y configurar los modos de seguridad CIFS (NTLM, Kerberos).
- Comprender y gestionar la asignación y el manejo de CIFS ACL y SID en un sistema Linux.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- /etc/exports
- /etc/idmap.conf
- nfs4acl
- parámetros mount.cifs relacionados con los permisos y los modos de seguridad* winbind
- getcifsacl, setcifsacl
Topic 328: Seguridad de red
328.1 Hardening de Red(peso: 4)
Peso | 4 |
Descripcion | Los candidatos deben poder proteger las redes contra amenazas comunes. Esto incluye la verificación de la efectividad de las medidas de seguridad. |
Áreas de conocimiento clave:
- Configure FreeRADIUS para autenticar los nodos de la red.
- Use nmap para escanear redes y hosts, incluidos diferentes métodos de escaneo.
- Use Wireshark para analizar el tráfico de la red, incluidos los filtros y las estadísticas.
- Identificar y tratar con anuncios de enrutadores maliciosos y mensajes DHCP.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- radiusd
- radmin
- radtest, radclient
- radlast, radwho
- radiusd.conf
- /etc/raddb/*
- nmap
- wireshark
- tshark
- tcpdump
- ndpmon
328.2 Detección de intrusión de red (Peso: 4)
Peso | 4 |
Descripcion | Los candidatos deben estar familiarizados con el uso y la configuración de la exploración de seguridad de red, el monitoreo de red y el software de detección de intrusos de red. Esto incluye la actualización y el mantenimiento de los escáneres de seguridad. |
Áreas de conocimiento clave:
- Implementar monitoreo de uso de ancho de banda.
- Configure y use Snort, incluida la administración de reglas.
- Configure y use OpenVAS, incluido NASL.
The following is a partial list of the used files, terms and utilities:
- ntop
- Cacti
- snort
- snort-stat
- /etc/snort/*
- openvas-adduser, openvas-rmuser
- openvas-nvt-sync
- openvassd
- openvas-mkcert
- /etc/openvas/*
328.3 Filtrado de paquetes (peso: 5)
Peso | 5 |
Descripcion | Los candidatos deben estar familiarizados con el uso y la configuración de los filtros de paquetes. Esto incluye netfilter, iptables e ip6tables, así como el conocimiento básico de nftables, nft y ebtables. |
Áreas de conocimiento clave:
- Comprender las arquitecturas de firewall comunes, incluida DMZ.
- Comprender y usar netfilter, iptables e ip6tables, incluidos los módulos estándar, pruebas y objetivos.
- Implementar el filtrado de paquetes para IPv4 e IPv6.
- Implementar el seguimiento de la conexión y la traducción de direcciones de red.
- Definir conjuntos de IP y usarlos en las reglas de netfilter.
- Tener conocimientos básicos de nftables y nft.
- Tener conocimientos básicos de ebtables.
- Conocer conntrackd.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- iptables
- ip6tables
- iptables-save, iptables-restore
- ip6tables-save, ip6tables-restore
- ipset
- nft
- ebtables
328.4 Redes privadas virtuales (peso: 4)
Peso | 4 |
Descripcion | Los candidatos deben estar familiarizados con el uso de OpenVPN e IPsec. |
Áreas de conocimiento clave:
- Configure y maneje el servidor OpenVPN y los clientes para las redes VPN enrutadas y puente.
- Configure y maneje el servidor IPsec y los clientes para las redes VPN enrutadas usando IPsec-Tools / racoon.
- Conocimientos sobre L2TP.
La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:
- /etc/openvpn/*
- openvpn server and client
- setkey
- /etc/ipsec-tools.conf
- /etc/racoon/racoon.conf