gumiparty 007
DESCRIPTION
Charla impartida a estudiantes de primer y segundo año de Ciclo Superior de Informática del I.E.S. Valle del Jerte en Plasencia, durante la Gumiparty 007TRANSCRIPT
Gumiparty 007
Sistemas de red y seguridadAtaques y defensa
David Cristóbal López
“Osito”
¿Qué es una LAN Party?
Una concentración de personas aficionadas a la informática y la tecnología
¿Quién acude?
Todo tipo de gente. Profesionales, aficionados y gente que “no tiene ni idea”
¿Qué se hace?
Hablar, jugar, intercambios de ficheros, exponer – ver equipos modeados…
En definitiva:
APRENDER
Cosas necesarias para una party
• Participantes con un ordenador
• Electricidad
• RED ETHERNET
Protocolos que intervienen en la red
• DIRECTOS: Comunican directamente equipos y ofrecen servicios
• INDIRECTOS: Facilitan la comunicación, resolución de equipos, monitorización…
• HTTP – Navegación web, correo, juegos online
• FTP – Descargas puntuales de ficheros
• POP3, SMTP – Correo
• Direct Connect – Intercambio de ficheros
PROTOCOLOS DIRECTOS
• ARP – Resolución de direcciones en capa 2
• STP – Prevenir y corregir bucles de conmutación
• LLDP, CDP – Descubrimiento de sistemas de red
• DHCP – Asignación dinámica de IP
• DNS – Resolución de nombres de dominio
PROTOCOLOS INDIRECTOS
SEGURIDAD
ARP Flooding
Inundar la tabla ARP del switch para saturarla y recibir tráfico destinado a otros equipos
Solucion: Limitar las MACs aprendidas por cada boca
ARP Spoofing – Man in the Middle
Enviar datos envenenados para cambiar la asignación IP-MAC de un equipo
Solucion: Establecer enlaces fijos IP-MAC en el switch para las direcciones críticas. IDS para controlar actualizaciones ARP
DHCP Snooping
Suplantar al servidor DHCP ofreciendo una IP falsa que mande a nuestro equipo para poder interceptar el tráfico
Solucion: Configurar todas las bocas del switch como “no confiables” excepto la que lleva el servidor DHCP
STP root spoofing – info sniffing
Suplantar el switch root de STP para interceptar el tráfico de toda la red.
Obtener información del proceso de STP mirando las BPDUs publicadas
Solucion: STP root guard, BPDU guar y BPDU filter en las bocas que no son de confianza
Sniffing
Obtencion mediante un sniffer de información sensible en la red, como usuarios, passwords, direcciones de gestión…
Solucion: Usar encriptación, SSH, HTTPS…
LLDP/CDP
Protocolos de descubrimiento de equipos en la red. Pueden ofrecer a un usuario información sensible de la red.
Solución: Desactivar esos servicios. Activarlos sólo en las bocas necesarias
MTU - Giants
MTU es la cantidad de información que se puede mandar en un paquete. Si se cambia, puede saturar un interfaz de red.
Solución: Configurar las bocas del switch con un tamaño preestablecido
Acceso no autorizado al hardware
Los sistemas de red llevan gestión que solamente debe ser accesible por el administrador
Solución: Usuarios, passwords, restricciones de gestión por IP-MAC
Malware
Virus, troyanos, rootkits… que circulan por la red. Es tan importante evitar que entren como evitar que salgan, ya que un equipo puede infectar a otros o enviar información sensible.
Solución: Proxy, firewall, SNORT, SinkHole
Monitorización y documentación
Monitorización de alertas
Es importante monitorizar la red, recogiendo las alertas que puedan generarse, para atajar los problemas en el menor tiempo posible y evitar que se magnifiquen.
Para ello, se usan sistemas de recolección y correlación de logs, alertas, SNMP…
Mapas de bocas
Con el fin de localizar cuanto antes a un usuario, es importante saber en todo momento dónde está cada conexión en el switch.
Para ello, se generan “Mapas de bocas”, indicando cada boca y qué está conectado a ella
Línea de base de configuración y ARP
Cuando hay un fallo, la configuración y la tabla ARP pueden quedar inservibles.
Por ello, es importante tener una copia de seguridad de la configuración funcional, para poder reemplazar y solucionar el problema más rápidamente
Documentación
Una red sin documentar es un tremendo puzzle, imposible de mantener y de resolver problemas. Por ello, es importante documentar bien toda la conectividad.
Mapas de cableado
Esquemas de flujo de datos
Estandarización
Mediante la estandarización se consigue que cualquiera pueda resolver problemas sin necesidad de estudiar toda la documentación
Hay protocolos establecidos para cableado estructurado, crimpado de conectores RJ45…
Otros problemas - Humanos
No todos los problemas son derivados de fallos técnicos o de atacantes. El factor humano es muy importante, no dejarse llevar por la vanidad, infravalorar a los demás o la desinformación
Vanidad
No importa lo bueno que seas, lo que sepas o lo que hayas sido capaz de crear. Siempre hay alguien mejor que tú, nunca hay que bajar la guardia ni confiarse.
La mejor manera de prevenir un problema mayor, es atajarlo desde el principio y eso sólo se logra estando atento a lo que pueda surgir
Infravalorar al “enemigo”
Muchas veces se infravalora a una persona porque no se dedica al mundo de la informática o la seguridad, o incluso que sean de regiones “poco informáticas”
Los ataques pueden venir de las personas que menos te esperas y alguien con tiempo puede adquirir conocimientos que pongan en jaque nuestra red.
Mundo dinámico
La informática no es estática, está “viva”. Todos los días surgen nuevos virus, ataques, programas, sistemas.
Mantenerse informado (blogs, revistas, congresos, podcasts, webcasts) es vital para poder estar al día.
También es importante actualizar los equipos (software, firmware) para evitar vulnerabilidades conocidas
Demostración de ataques
¿Preguntas?
David Cristóbal López
“Osito”
www.nosecnofun.com
GRACIAS