Gumiparty 007

Sistemas de red y seguridadAtaques y defensa

David Cristóbal López

“Osito”

¿Qué es una LAN Party?

Una concentración de personas aficionadas a la informática y la tecnología

¿Quién acude?

Todo tipo de gente. Profesionales, aficionados y gente que “no tiene ni idea”

¿Qué se hace?

Hablar, jugar, intercambios de ficheros, exponer – ver equipos modeados…

En definitiva:

APRENDER

Cosas necesarias para una party

• Participantes con un ordenador

• Electricidad

• RED ETHERNET

Protocolos que intervienen en la red

• DIRECTOS: Comunican directamente equipos y ofrecen servicios

• INDIRECTOS: Facilitan la comunicación, resolución de equipos, monitorización…

• HTTP – Navegación web, correo, juegos online

• FTP – Descargas puntuales de ficheros

• POP3, SMTP – Correo

• Direct Connect – Intercambio de ficheros

PROTOCOLOS DIRECTOS

• ARP – Resolución de direcciones en capa 2

• STP – Prevenir y corregir bucles de conmutación

• LLDP, CDP – Descubrimiento de sistemas de red

• DHCP – Asignación dinámica de IP

• DNS – Resolución de nombres de dominio

PROTOCOLOS INDIRECTOS

SEGURIDAD

ARP Flooding

Inundar la tabla ARP del switch para saturarla y recibir tráfico destinado a otros equipos

Solucion: Limitar las MACs aprendidas por cada boca

ARP Spoofing – Man in the Middle

Enviar datos envenenados para cambiar la asignación IP-MAC de un equipo

Solucion: Establecer enlaces fijos IP-MAC en el switch para las direcciones críticas. IDS para controlar actualizaciones ARP

DHCP Snooping

Suplantar al servidor DHCP ofreciendo una IP falsa que mande a nuestro equipo para poder interceptar el tráfico

Solucion: Configurar todas las bocas del switch como “no confiables” excepto la que lleva el servidor DHCP

STP root spoofing – info sniffing

Suplantar el switch root de STP para interceptar el tráfico de toda la red.

Obtener información del proceso de STP mirando las BPDUs publicadas

Solucion: STP root guard, BPDU guar y BPDU filter en las bocas que no son de confianza

Sniffing

Obtencion mediante un sniffer de información sensible en la red, como usuarios, passwords, direcciones de gestión…

Solucion: Usar encriptación, SSH, HTTPS…

LLDP/CDP

Protocolos de descubrimiento de equipos en la red. Pueden ofrecer a un usuario información sensible de la red.

Solución: Desactivar esos servicios. Activarlos sólo en las bocas necesarias

MTU - Giants

MTU es la cantidad de información que se puede mandar en un paquete. Si se cambia, puede saturar un interfaz de red.

Solución: Configurar las bocas del switch con un tamaño preestablecido

Acceso no autorizado al hardware

Los sistemas de red llevan gestión que solamente debe ser accesible por el administrador

Solución: Usuarios, passwords, restricciones de gestión por IP-MAC

Malware

Virus, troyanos, rootkits… que circulan por la red. Es tan importante evitar que entren como evitar que salgan, ya que un equipo puede infectar a otros o enviar información sensible.

Solución: Proxy, firewall, SNORT, SinkHole

Monitorización y documentación

Monitorización de alertas

Es importante monitorizar la red, recogiendo las alertas que puedan generarse, para atajar los problemas en el menor tiempo posible y evitar que se magnifiquen.

Para ello, se usan sistemas de recolección y correlación de logs, alertas, SNMP…

Mapas de bocas

Con el fin de localizar cuanto antes a un usuario, es importante saber en todo momento dónde está cada conexión en el switch.

Para ello, se generan “Mapas de bocas”, indicando cada boca y qué está conectado a ella

Línea de base de configuración y ARP

Cuando hay un fallo, la configuración y la tabla ARP pueden quedar inservibles.

Por ello, es importante tener una copia de seguridad de la configuración funcional, para poder reemplazar y solucionar el problema más rápidamente

Documentación

Una red sin documentar es un tremendo puzzle, imposible de mantener y de resolver problemas. Por ello, es importante documentar bien toda la conectividad.

Mapas de cableado

Esquemas de flujo de datos

Estandarización

Mediante la estandarización se consigue que cualquiera pueda resolver problemas sin necesidad de estudiar toda la documentación

Hay protocolos establecidos para cableado estructurado, crimpado de conectores RJ45…

Otros problemas - Humanos

No todos los problemas son derivados de fallos técnicos o de atacantes. El factor humano es muy importante, no dejarse llevar por la vanidad, infravalorar a los demás o la desinformación

Vanidad

No importa lo bueno que seas, lo que sepas o lo que hayas sido capaz de crear. Siempre hay alguien mejor que tú, nunca hay que bajar la guardia ni confiarse.

La mejor manera de prevenir un problema mayor, es atajarlo desde el principio y eso sólo se logra estando atento a lo que pueda surgir

Infravalorar al “enemigo”

Muchas veces se infravalora a una persona porque no se dedica al mundo de la informática o la seguridad, o incluso que sean de regiones “poco informáticas”

Los ataques pueden venir de las personas que menos te esperas y alguien con tiempo puede adquirir conocimientos que pongan en jaque nuestra red.

Mundo dinámico

La informática no es estática, está “viva”. Todos los días surgen nuevos virus, ataques, programas, sistemas.

Mantenerse informado (blogs, revistas, congresos, podcasts, webcasts) es vital para poder estar al día.

También es importante actualizar los equipos (software, firmware) para evitar vulnerabilidades conocidas

Demostración de ataques

¿Preguntas?

David Cristóbal López

“Osito”

www.nosecnofun.com

david.cristobal@gmail.com

GRACIAS