Linux LPIC-3 Security. Exam 303

ATENCIÓN: En caso de pertenecer al programa LaaS Cert la formación es sin examen incluido

Curso oficial de Linux LPI: LPIC-3 Security - exam 303

La certificación LPIC-3 es la culminación del programa de certificación profesional multinivel del Linux Professional Institute (LPI).

Objetivos

Este curso cubre los temarios para la preparación del examen 303, necesarios para la certificación Linux LPI LPIC-3.

Contenidos para la certificación

Para recibir la certificación LPIC-3 Enterprise Security, debe estar certificado LPIC-2 y aprobar el examen 303

LPIC-3 examen 303:

• Tema 331: Criptografía
  
• Tema 332: Control de acceso
  
• Tema 333: Seguridad de las aplicaciones
  
• Tema 334: Seguridad de operaciones
  
• Tema 335: Red de Seguridad

Examen LPIC-3 303

Tema 331: Criptografía

331.1 Certificados X.509 e infraestructuras de clave pública

Los candidatos deben comprender los certificados X.509 y las infraestructuras de clave pública. Deben saber configurar y usar OpenSSL para implementar autoridades de certificación y emitir certificados SSL para diversos fines.

Áreas de conocimiento clave:

• Comprenda los certificados X.509, el ciclo de vida de los certificados X.509, los campos de los certificados X.509 y las extensiones de los certificados X.509v3
  
• Comprender las cadenas de confianza y las infraestructuras de clave pública, incluida la transparencia de los certificados.
  
• Generar y gestionar claves públicas y privadas
  
• Crear, operar y asegurar una autoridad de certificación
  
• Solicitar, firmar y administrar certificados de servidor y cliente
  
• Revocar certificados y autoridades de certificación
  
• Conocimiento de las funciones básicas de Let's Encrypt, ACME y certbot
  
• Conocimiento de las características básicas de CFSSL

331.2 Certificados X.509 para cifrado, firma y autenticación

Los candidatos deben ser capaces de usar certificados X.509 para la autenticación tanto del servidor como del cliente. Esto incluye la implementación de la autenticación de usuario y servidor para Apache HTTPD. La versión de Apache HTTPD que se cubre es la 2.4 o superior.

Áreas de conocimiento clave:

• Comprenda SSL, TLS, incluidas las versiones de protocolo y los cifrados.
  
• Configurar Apache HTTPD con mod_ssl para proporcionar servicio HTTPS, incluidos SNI y HSTS
  
• Configurar Apache HTTPD con mod_ssl para servir cadenas de certificados y ajustar la configuración del cifrado (sin conocimientos específicos del cifrado)
  
• Configurar Apache HTTPD con mod_ssl para autenticar usuarios mediante certificados
  
• Configurar Apache HTTPD con mod_ssl para proporcionar grapado OCSP
  
• Utilice OpenSSL para pruebas de cliente y servidor SSL/TLS

331.3 Sistemas de archivos cifrados

Los candidatos deben poder instalar y configurar sistemas de archivos cifrados.

Áreas de conocimiento clave:

• Comprender el cifrado de dispositivos de bloque y sistemas de archivos
  
• Utilice dm-crypt con LUKS1 para cifrar dispositivos de bloque
  
• Utilice eCryptfs para cifrar sistemas de archivos, incluidos directorios de inicio e integración PAM
  
• Conciencia de la simple dm-crypt
  
• Conocimiento de las características de LUKS2
  
• Comprensión conceptual de la horquilla para dispositivos LUKS y los PIN de horquilla para TMP2 y cifrado de disco enlazado a red (NBDE)/Tang

331.4 DNS y criptografía

Los candidatos deben tener experiencia y conocimientos de criptografía en el contexto de DNS y su implementación mediante BIND. La versión de BIND cubierta es la 9.7 o superior.

Áreas de conocimiento clave:

• Comprender los conceptos de DNS, zonas y registros de recursos.
  
• Comprenda DNSSEC, incluidas las claves de firma de claves, las claves de firma de zona y los registros DNS relevantes como DS, DNSKEY, RRSIG, NSEC, NSEC3
  y NSEC3PARAM
• Configurar y solucionar problemas de BIND como un servidor de nombres autorizado que atiende zonas protegidas DNSSEC
• Administrar zonas firmadas DNSSEC, incluida la generación de claves, la renovación de claves y la renovación de la firma de zonas
• Configurar BIND como un servidor de nombres recursivo que realiza la validación DNSSEC en nombre de sus clientes
• Comprenda CAA y DANE, incluidos los registros DNS relevantes como CAA y TLSA
• Utilice CAA y DANE para publicar información de certificados X.509 y de autoridad de certificación en DNS
• Utilice TSIG para una comunicación segura con BIND
• Conocimiento de DNS sobre TLS y DNS sobre HTTPS
• Conocimiento del DNS de multidifusión

Tema 332: Seguridad del host

332.1 Endurecimiento del host 

Los candidatos deben poder proteger las computadoras que ejecutan Linux contra amenazas comunes.

Áreas de conocimiento clave:

• Configurar la seguridad del BIOS y del cargador de arranque (GRUB 2)
  
• Desactivar software y servicios no utilizados
  
• Comprenda y elimine capacidades innecesarias para unidades systemd específicas y para todo el sistema
  
• Comprender y configurar la aleatorización del diseño del espacio de direcciones (ASLR), la prevención de ejecución de datos (DEP) y Exec-Shield
  
• Lista blanca y negra de dispositivos USB conectados a una computadora mediante USBGuard
  
• Cree una CA SSH, cree certificados SSH para claves de host y usuario utilizando la CA y configure OpenSSH para usar certificados SSH
  
• Trabajar con entornos chroot
  
• Utilice unidades systemd para limitar las llamadas del sistema y las capacidades disponibles para un proceso
  
• Utilice unidades systemd para iniciar procesos con acceso limitado o nulo a archivos y dispositivos específicos
  
• Utilice unidades systemd para iniciar procesos con directorios temporales y /dev dedicados y sin acceso a la red
  
• Comprenda las implicaciones de las mitigaciones de Linux Meltdown y Spectre y habilite/desactive las mitigaciones
  
• Conciencia de polkit
  
• Conciencia de las ventajas de seguridad de la virtualización y la contenerización

332.2 Detección de intrusiones en el host

Los candidatos deben estar familiarizados con el uso y la configuración de software común de detección de intrusiones en host. Esto incluye la gestión del sistema de auditoría de Linux y la verificación de la integridad del sistema.

Áreas de conocimiento clave:

• Utilizar y configurar el sistema de auditoría de Linux
  
• Utilice chkrootkit
  
• Usar y configurar rkhunter, incluidas las actualizaciones
  
• Utilice Linux Malware Detect
  
• Automatizar los escaneos de host usando cron
  
• Utilice las herramientas de administración de paquetes RPM y DPKG para verificar la integridad de los archivos instalados
  
• Configurar y utilizar AIDE, incluida la gestión de reglas
  
• Conciencia de OpenSCAP

332.3 Control de recursos 

Los candidatos deben poder restringir los recursos que los servicios y programas pueden consumir.

Áreas de conocimiento clave:

• Comprender y configurar ulimits
  
• Comprender los cgroups, incluidas las clases, los límites y la contabilidad.
  
• Administrar cgroups y procesar la asociación de cgroups
  
• Comprender las porciones, los ámbitos y los servicios de systemd
  
• Utilice unidades systemd para limitar los recursos del sistema que los procesos pueden consumir
  
• Conocimiento de las utilidades cgmanager y libcgroup

Tema 333: Control de acceso

333.1 Control de acceso discrecional

Los candidatos deben comprender el control de acceso discrecional (DAC) y saber cómo implementarlo mediante listas de control de acceso (ACL). Además, deben comprender y saber utilizar los atributos extendidos.

Áreas de conocimiento clave:

• Comprenda y administre la propiedad y los permisos de los archivos, incluidos los bits SetUID y SetGID
  
• Comprender y gestionar las listas de control de acceso
  
• Comprender y gestionar atributos extendidos y clases de atributos

333.2 Control de acceso obligatorio

Los candidatos deben estar familiarizados con los sistemas de control de acceso obligatorio (MAC) para Linux. En concreto, deben tener un conocimiento profundo de SELinux. Asimismo, deben conocer otros sistemas de control de acceso obligatorio para Linux. Esto incluye las principales características de estos sistemas, pero no su configuración ni uso.

Áreas de conocimiento clave:

• Comprender los conceptos de aplicación de tipos, control de acceso basado en roles, control de acceso obligatorio y control de acceso discrecional.
  
• Configurar, administrar y utilizar SELinux
  
• Conocimiento de AppArmor y Smack

Tema 334: Seguridad de la red

334.1 Fortalecimiento de la red 

Los candidatos deben ser capaces de proteger las redes contra amenazas comunes. Esto incluye el análisis del tráfico de red de nodos y protocolos específicos.

Áreas de conocimiento clave:

• Comprender los mecanismos de seguridad de las redes inalámbricas
  
• Configurar FreeRADIUS para autenticar nodos de red
  
• Utilice Wireshark y tcpdump para analizar el tráfico de red, incluidos filtros y estadísticas
  
• Utilice Kismet para analizar redes inalámbricas y capturar el tráfico de la red inalámbrica
  
• Identificar y abordar anuncios de enrutadores falsos y mensajes DHCP
  
• Conciencia de aircrack-ng y bettercap

334.2 Detección de intrusiones en la red

Los candidatos deben estar familiarizados con el uso y la configuración de software de escaneo, monitoreo y detección de intrusiones de red. Esto incluye la actualización y el mantenimiento de los escáneres de seguridad.

Áreas de conocimiento clave:

• Implementar el monitoreo del uso del ancho de banda
  
• Configurar y usar Snort, incluida la gestión de reglas
  
• Configurar y utilizar OpenVAS, incluido NASL

334.3 Filtrado de paquetes

Los candidatos deben estar familiarizados con el uso y la configuración del filtro de paquetes Linux netfilter.

Áreas de conocimiento clave:

• Comprender las arquitecturas de firewall comunes, incluida la DMZ
  
• Comprender y utilizar iptables e ip6tables, incluidos los módulos estándar, las pruebas y los objetivos.
  
• Implementar filtrado de paquetes para IPv4 e IPv6
  
• Implementar el seguimiento de conexiones y la traducción de direcciones de red
  
• Administrar conjuntos de IP y usarlos en las reglas de netfilter
  
• Conciencia de las nftables y NFT
  
• Conciencia de los débitos
  
• Conciencia de control

334.4 Redes privadas virtuales

Los candidatos deben estar familiarizados con el uso de OpenVPN, IPsec y WireGuard para configurar el acceso remoto y las VPN de sitio a sitio.

Áreas de conocimiento clave:

• Comprenda los principios de las VPN enrutadas y puenteadas
  
• Comprenda los principios y las principales diferencias de los protocolos OpenVPN, IPsec, IKEv2 y WireGuard
  
• Configurar y operar servidores y clientes OpenVPN
  
• Configurar y operar servidores y clientes IPsec utilizando strongSwan
  
• Configurar y operar servidores y clientes WireGuard
  
• Conciencia de L2TP

Tema 335: Amenazas y evaluación de vulnerabilidad

335.1 Vulnerabilidades y amenazas comunes de seguridad

Los candidatos deben comprender el principio de los principales tipos de vulnerabilidades y amenazas a la seguridad.

Áreas de conocimiento clave:

• Comprensión conceptual de las amenazas contra nodos individuales
  
• Comprensión conceptual de las amenazas a las redes
  
• Comprensión conceptual de las amenazas a la aplicación
  
• Comprensión conceptual de las amenazas contra las credenciales y la confidencialidad
  
• Comprensión conceptual de los honeypots

335.2 Pruebas de penetración

Los candidatos comprenden los conceptos de las pruebas de penetración, incluyendo el conocimiento de las herramientas de uso común. Además, deben ser capaces de usar nmap para verificar la eficacia de las medidas de seguridad de la red.

Áreas de conocimiento clave:

• Comprender los conceptos de pruebas de penetración y piratería ética.
  
• Comprender las implicaciones legales de las pruebas de penetración
  
• Comprender las fases de las pruebas de penetración, como la recopilación de información activa y pasiva, la enumeración, la obtención de acceso, la escalada de privilegios, el mantenimiento del acceso y el cubrimiento de pistas.
  
• Comprenda la arquitectura y los componentes de Metasploit, incluidos los tipos de módulos de Metasploit y cómo Metasploit integra varias herramientas de seguridad.
  
• Utilice nmap para escanear redes y hosts, incluidos diferentes métodos de escaneo, escaneos de versiones y reconocimiento del sistema operativo
  
• Comprenda los conceptos de Nmap Scripting Engine y ejecute scripts existentes
  
• Conocimiento de Kali Linux, Armitage y el kit de herramientas de ingeniería social (SET)

Idioma

Los componentes de aprendizaje e-Learning sobre los que se realiza la formación se encuentran en inglés y en español.

Idiomas para el examen disponibles en los centros de pruebas de VUE: Inglés, Japonés

Idiomas para el examen disponibles en línea a través de OnVUE: Inglés, Japonés

Requisitos

El candidato debe tener una certificación LPIC-2 activa para recibir la certificación LPIC-3.