Hemos iniciado la clase comentando algunas de las noticias aparecidas en el último número de la revista díxitos, del Centro de Supercomputación de Galicia (CESGA).:
- Trabajos en astronomía, y entornos existentes en España muy recomendables para desarrollar una carrera profesional, entre ellos, el Instituto de Astrofísica de Canarias (IAC).
- Información sobre la futura nueva sede del CESGA. A los que hemos seguido los trabajos desarrollados en el CESGA desde su creación, sin duda alguna este proyecto es un merecido reconocimiento a las cosas bien hechas. Mi más enhorabuena a Javier García Tobío, director gerente del CESGA, y a todo su equipo. A mis alumnos, no olvidaros de este centro, posiblemente uno de los mejores lugares de Galicia para desarrollar una carrera profesional en TIC.
Siguiendo con la temática de PSI, se tratan diversos métodos de "hosts discovery", "port scanning", "OS fingerprinting" a distintos niveles.:
- A nivel de la máquina TCP
- Mediante paquetería ICMP
- A nivel no ascci de los protocolos de aplicación
Se hace una introducción a las opciones básicas de la herramienta nmap en estas tres tareas.
Entre las herramientas que utilizan ICMP es sus análisis, destacar xprobe2.
En este punto, se hace un repaso del formato de los paquetes ICMP e IP, analizando los principales tipos y campos de cabecera.
Se analizan distintas opciones de nmap en "host discovery", "port scanning", "OS fingerprinting" y se comprueba el "grado de discreción de las mismas". El uso de herramientas en modo "dar el cante", facilita la detección y filtrado de las acciones. Una correcta temporización en el proceso, y un ajuste fino de las acciones a realizar, dificulta enormente la detección. También se analiza el uso de "decoy scan" e "idle scan" en el proceso de enmascarar el origen del "ataque", su utilidad y limitaciones. "Oye tú, tú que me miras: ¿es que quieres servirme de comida?"
Finalmente, se "recuerdan" los principales mecanismos de defensa ante estas herramientas.
En otro nivel de cosas, un profesional nunca debe responder a un ataque con otro ataque. Ante un ataque a vuestros sistemas, siempre y cuando no se piense en la posibilidad de tomar medidas legales, el modo de actuar de un profesional se debe centrar en la recopilación de todo tipo de información sobre el ataque, tratar de “tracear” el origen, siempre por métodos no intrusivos en infraestructura ajena, y reportar el incidente al responsable o responsables de la infraestructura origen del ataque. En muchas ocasiones, tal vez demasiadas, llegar al origen es casi imposible. Y sobre todo, tratar de minimizar los efectos.