Analizada la problemática del "sniffing", es la hora de hablar de protección (póntela, pónsela).Iniciamos esta nueva aventura con dos posibilidades de detección, la primera mediante IDSs, IPSs, sensores y demás familia a nivel de red integrados en la forma de "hardware" dedicado y, la segunda, mediante el uso de "mirroring" entre puertos de los activos de red (port span), y el uso de I[DP]Ss y demás familia asociados en el ámbito freeware. La posiblidad de "port span" de varios puertos, o toda una VLAN, contra un puerto, facilita las tareas de detección a nivel de red con un mínimo gasto. Para evitar cuellos de botella se puede asociar el "port span" al "trunk" de puertos. Obviamente, esto supone un coste para la matriz de conmutación del activo y de posibles cuellos de botella. A nivel operativo, se muestra la implementación de "port span" en los activos cisco.
Otro aspecto a considerar se debe centrar en evitar los llamados "reinos de taifas". Aspectos de importancia como la definición de VLANs, segmentación, filtrado, "firewalling" y seguridad perimetral (no es la panacea pero ayuda), I[DP]Ss, cifrado [a nivel 3 o de aplicación], control-administración total sobre las máquinas de la organización, entro otras, están siempre presentes.
Supongamos una organización que ha invertido muchos recursos en seguridad (€ y humanos), y que presumiblemente todo parece bien organizado y securizado. Dentro de sus muchas redes, servidores y cientos de PCs, un día un usuario con capacidades de administración en su equipo ubicado en una red interna, sea directamente o mediante el uso de un "live-cd", decide conectar su equipo a internet por medio de una conexión propia (cable, 3G+, etc.), pudiendo montar todo tipo de software, proxys, NAT, etc., que enmascare las conexiones exteriores. Claramente tendríamos un problema. Sin el control total de todos los equipos es prácticamente imposible detectar este tipo de actuaciones. Unido a esto, es aconsejable tener una política de seguridad, que incluya un acuerdo firmado con el personal en el que quede claramente reflejado lo que se puede y no se puede hacer. Dejar las normas claras es la mejor herramienta de trabajo, tanto para los directivos de las empresas y departamentos, como para los propios trabajadores.
Un sistema comprometido debe tratarse como tal. No es normal ver que "profesionales" que detectan en su organización sistemas comprometidos, o que tienen un comportamiento poco normal, los dejen como última tarea en su ponderación de trabajos, y que pasen los meses y dichos equipos sigan en la misma situación. Claramente están comprometiendo la información de todos los usuarios y de otros muchos sistemas. El buscar un equilibrio-acuerdo con el no-invitado, y no hacer nada a no ser que el sistema deje de funcionar o dar servicio, no es aceptable. Recuerda que hay que seleccionar entre la "pastilla roja" o la "azul", y que en muchas ocasiones "la ignorancia es la felicidad". Sin duda alguna nadie es infalible, ni mucho menos, pero debemos poner lo que esté en nuestra manos para solucionar problemas, antes de generar otros nuevos. No hemos hablado de ingeniería social en clase, otra de nuestras amigas inseparables, pero siempre deberá estar muy presente.
Continuando con los mecanismos de seguridad analizamos el llamado "port security". Antes de nada, se estudia el funcionamiento de los conmutadores de red y la forma en la que gestionan las conexiones a nivel 2. Además, se muestra la implementación de "port security" en los activos cisco, sus opciones, implicaciones y la necesidad de su integración en los sistemas de gestión de red.
Se presentan otras herramientas de gran utilidad contra el "ARP Spoofing", como "arpalert", "darpwatch", "xarp" y "arpwatch". A nivel operativo, se analiza el funcionamiento de "arpwatch", su configuración y esquema de funcionamiento.
--
- La curiosidad mata la ignorancia
- La curiosidad impulsa a los seres a buscar la información y la interacción con su ambiente natural y con otros seres en su vecindad
- El estilo de vida de las ciudades es un claro enemigo de la curiosidad
