Analizada la problemática del "sniffing" (lado oscuro), el lado de la luz se debe centrar en las posibilidades-mecanismos de protección.
Iniciamos esta nueva aventura analizando dos posibilidades de detección, la primera mediante IDSs a nivel de red integrados en la forma de "hardware" dedicado y, la segunda, mediante el uso de "mirroring" entre puertos de los activos de red (port span), y el uso de IDSs asociados. La posiblidad de "port span" de varios puertos, o toda una VLAN, contra un puerto, facilita las tareas de detección a nivel de red con un mínimo gasto. Para evitar cuellos de botella se puede asociar el "port span" al "trunk" de puertos. A nivel operativo, se muestra la implementación de "port span" en los activos cisco.
Otro aspecto a considerar se debe centrar en evitar los llamados "reinos de taifas". Aspectos de importancia como la definición de VLANs, segmentación, filtrado, "firewalling" y seguridad perimetral (no es la panacea pero ayuda), IDSs, cifrado [a nivel 3 o de aplicación], control-administración total sobre las máquinas de la organización, entro otras, están siempre presentes.
Supongamos una organización que ha invertido muchos recursos en seguridad (€ y humanos), y que presumiblemente todo parece bien organizado y securizado. Dentro de sus muchas redes, servidores y cientos de PCs, un día un usuario con capacidades de administración en su equipo ubicado en una red interna, sea directamente o mediante el uso de un "live-cd", decide conectar su equipo a internet por medio de una conexión propia (cable, 3G+, etc.), pudiendo montar todo tipo de software, proxys, NAT, etc., que enmascare las conexiones exteriores. Claramente tendríamos un problema. Obviamente, sin el control total de todos los equipos es prácticamente imposible detectar este tipo de actuaciones. Unido a esto, es aconsejable tener una política de seguridad, que incluya un acuerdo firmado con el personal en el que quede claramente reflejado lo que se puede y no se puede hacer. Dejar las normas claras es la mejor herramienta de trabajo, tanto para los directivos de las empresas y departamentos, como para los propios trabajadores.
Un sistema comprometido debe tratarse como tal. No es normal ver que "profesionales" que detectan en su organización sistemas comprometidos, o que tienen un comportamiento poco normal, los dejen como última tarea en su ponderación de trabajos, y que pasen los meses y dichos equipos sigan en la misma situación. Claramente están comprometiendo la información de todos los usuarios y de otros muchos sistemas. El buscar un equilibrio-acuerdo con el no-invitado, y no hacer nada a no ser que el sistema deje de funcionar o dar servicio, no es aceptable. Recuerda que hay que seleccionar entre la "pastilla roja" o la "azul", y que en muchas ocasiones "la ignorancia es la felicidad". Sin duda alguna nadie es infalible, ni mucho menos, pero debemos poner lo que esté en nuestra manos para solucionar problemas, antes de generar otros nuevos. No hemos hablado de ingeniería social en clase, otra de nuestras amigas inseparables, pero siempre deberá estar muy presente.
Continuando con los mecanismos de seguridad analizamos el llamado "port security", y sus implicaciones contra el "MAC Flooding", "MAC Spoofing" y "ARP Spoofing". Antes de nada, se estudia el funcionamiento de los conmutadores de red y la forma en la que gestionan las conexiones a nivel 2. Además, se muestra la implementación de "port security" en los activos cisco, sus opciones, implicaciones y la necesidad de su integración en los sistemas de gestión de red.
Se presentan otras herramientas de gran utilidad contra el "ARP Spoofing", como "arpalert", "darpwatch", "xarp" y "arpwatch". A nivel operativo, se analiza el funcionamiento de "arpwatch", su configuración y esquema de funcionamiento.
En cuanto a la problemática derivada del "routing" en nuestras redes, únicamente los "routers oficiales" deben tener dicha capacidad. Ninguna estación debe tener capacidades de "routing" y, de ser el caso, se deberán tener las herramientas de detección oportunas para identificarlas. Y, por encima de todo, cifrar, cifrar y cifrar todo. Pero no de cualquier forma. Siempre con un buen esquema de cifrado, y formando a los usuarios (punto más débil), para que conozcan el funcionamiento de dichos protocolos y lo que se puede y no hacer. En pocas palabras, pon un buen cifrador en tu vida. Y recuerda que los usuarios también pueden estar en el lado oscuro.
En nuestra vida profesional deberemos tomar muchas decisiones, tal y como nos plantea Morfeo en Matrix, una de ellas será la pastilla a tomar, la roja (del conocimiento), o la azul (de la ignorancia "feliz"). Pero el camino de la luz no es fácil, y lo que en una empresa-organización puede ser rojo y azul, en otra el rojo se convierte en azul y el azul rojo. No todo es binario en este planeta. Identificar el código de colores de una empresa es una tarea compleja que requiere entrenamiento. Como ejemplo, lo que para Morfeo es rojo y azul, en el mundo de las estrellas en guerra el rojo se convierte en azul y viceversa. En la guerra de las galaxias, un mundo mucho más parecido al entorno empresarial actual que el de la enterprise, una espada láser verde o azul significa que utilizas la fuerza para bien, mientras la rojo es para los que utilizan la fuerza para el mal o que están en el lado oscuro. Recuerda que existen excepciones y otros muchos colores, como el violeta, que tiene mucho de azul y un poco de rojo, o el blanca, morado o amarillo. No te olvides que en el modelo RGB todos los colores se pueden obtener con los RGB, y que las tentaciones son muchas y es muy fácil pasarte al lado oscuro. Una vez en el lado oscuro, el regreso a la luz es prácticamente imposible. Finalmente, señalar que en la actualidad todo parece más binario que nunca, el mundo RBG no se estila, más bien o estás en un lado o en el otro, aspecto que sin duda alguna está en contradicción con el conocimiento, la razón y la profesionalidad.
[Un poco de humor en todo lo que se hace siempre está bien]