Redes Cisco.NET

Securizar routers Cisco  usando la característica de Security Audit de SDM

Excelente con nuestro SDM arriba nos dirigimos a Configure, Security Audit, y luego Perform Security Audit.

  

Aparecerá un asistente del mismo avisando que es lo que realizara el Securiy Audit, Next.

 

Solicitara que identifiquemos las interfaces Inside y Outside, Next.

Por ultimo vemos que esta en busca de posibles problemas en nuestro dispositivo, que de hecho vienen por defecto si nunca se securiza, ¿Por qué? Bueno existen servicios que son dependientes y se ocupan, es lo mismo que Microsoft escucho gente decir que el sistema es inseguro, etc, hay una certificación que contempla todo lo que es seguridad en cuanto a esa plataforma, lo mismo en Mac, Linux, y otros sabores, recuerden no hay sistema inseguro son los Administradores que no toman las precauciones necesarias, sino es cosa de mirar atrás, hay muchos ejemplos que voy a omitir pero en chile se ah visto demasiadas veces. Volviendo a Cisco veremos como realizarlo mediante CLI mas adelante.

Bueno luego de esta pantalla podemos guardar el reporte e imprimirlo.

 

O podemos colocar la opción Close, en donde veremos lo siguiente:

Ahora esto es muy importante, podemos securizar los fallos uno por uno, o todos a la vez en realidad volviendo a los artículos de teoría, les pido un balance señores no existe un método en realidad el cual sea automático y todo este listo, por lo que como vamos a solucionar entonces las fallas, bueno dependiendo de la red, plataforma y requisitos, por ejemplo BOOTP necesito sus funciones en mi red? O por ejemplo CDP es tan necesario dentro de mi perímetro de red, a todo esto no he hablado sobre ese tema pero existen los dispositivo de borde los cuales no tengo que tener activado CDP para nada sino estaría enviando mensajes CDP al ISP, o por otra parte existen otros mecanismos el cual puedo limitar eso pero no hablaremos de ello ya que nos estaríamos adelantando a CCNP Security.

Voy a mostrar la opción del banner junto con la password enable secret, si selecciono esa opción debería de aparecerme lo siguiente, luego Next y voy securizando los demás fallos o puedo solucionar todo colocando fix all para irme a almorzar y luego jugar PS3, aunque vuelvo a insistir los requerimientos y servicios de su red son los primordiales señores.

Securizar routers Cisco  usando la característica de One-Step Lockdown de SDM

Muy bien anteriormente vimos la característica Security Audit, ahora nos toca ver al otro jugador Lockdown my router in one step? Parece mágico pero no lo es, Cisco pensó en esto si de verdad estas seguro hay que tener varios pequeños detalles en cuenta, analicemos.

Estas seguro en realidad de hacerlo? Nos advierte le damos yes! Y luego…

Ups!, ya no hay mensajes como anteriormente en el Security Audit, esto podría ser muy bueno o muy malo yo me preocuparía ya que por ejemplo si alguien justamente estaban armando un diagrama de topología con CDP y yo ahora le cierro esa posibilidad? O podría ser que tengo mi Help Desk dividida y sus password eran de 10 caracteres ahora que lo cambien tendrán que ser de 6, o peor justo mi jefe estaba se equivoco de password 2 veces por estar jugando al juego de los pollos de Facebook en su Iphone! Y a la tercera vez bang! Baneado mi Jefe? Diablos!, entonces mucho cuidado con esto, ya que cumple la función de securizar todo en un paso pero el dilema es que no consulta que quieres cerrar simplemente lo hace, por ello el Security Audit es solo lo que necesitas y aquí es todo así que mucho cuidado, analicen bien que necesitan cerrar y que otras cosas necesitan dejar.

Securizar el acceso administrativo a los routers Cisco configurando password complejos y encriptados

Para seguir una normativa en cuanto la creación de passwords, veamos que se debe de tener la longitud de la contraseña mínimo de 10-12 caracteres, que se incluyan letras, números, símbolos, espacios, mayúsculas y minúsculas. En cuanto a usar palabras tradiciones como teamobebe, bebeteamo, amotebebe, no sirve por ello debemos crear esta política en dispositivo de forma tal que cuando se cambie se cumpla, puede parecer tedioso para los usuarios existen sistemas que crean passwords automáticamente de una sola vez (OTP) o una base de datos en donde tengamos estos requisitos y lo generan también, pero nunca reemplazaremos a un sistema por un ser humano, como dije los usuarios reclamaran pero no seremos nosotros los Administradores que carguemos con la culpa y la reputación que nos han hackeado todos los sistemas por dejar que los usuarios coloquen cosas como adoroayingo, ivancabrera, o que se yo típicas cosas con que uno se encuentra por allí no?, tengo unas muy buenas anécdotas que contar a mis alumnos este año, pero ya no perdamos el contexto.

Securizacion de Consola

Para securizar lo primero es la consola, aunque no lo recomiendo para nada si tenemos buena seguridad física, aunque quien sabe podrías estar trabajando en un datacenter y afuera cuidándote la espalda Bruce Willis, en ese caso déjalo sin password, pero si estas en un banco por ejemplo securiza todas las líneas de consola. Para ello ingresamos a la configuración global, línea de consola por defecto 0, y asignamos el password.

Router# configure terminalRouter(config)# line console 0Router(config-line)# password bl@ck_rout3r 

Securizacion de líneas VTY

Por defecto los routers Cisco tienen 5 líneas simultaneas vty, para conexiones Telnet o SSH, asígnale igualmente password, ahora para hacerlo mas seguro pueden utilizar el comando login local para indicar que se use aparte del password su usuario local de la base de datos local de su dispositivo, o usar otras tecnologías que veremos mas adelante.

Router# configure terminalRouter(config)# line vty 0 4Router(config-line)# password bl@ck_routerRouter(config-line)# exit Router(config)# end

Configuración password enable secret y enable password

Existe una confusión muchas veces que el enable secret es lo mismo que enable password y no es así, el enable secret impide el acceso al modo EXEC privilegiado ahora lo mas importante nunca jamás van a encontrar este password en texto plano por defecto el IOS realiza un hash con MD5. El enable password en cambio es para las versiones veteranas del IOS lo que sucede aun esta el comando por un tema de compatibilidad si quieres realizar un downgrade pero este password no se hashea. Siempre esta en texto plano claro que existen formas de encriptar todo mas adelante hablaremos de esto. Ahora solo es necesario configurar una sola opción, recomiendo la primera, ¿Qué sucedería si se añaden las 2 a la vez? Lo que va suceder en realidad es que la segunda opción será ignorada, prevalecerá la primera.

Router(config)# enable secret bl@ck_rout3rRouter(config)# enable password bl@ck_rout3r

Muy bien excelente vamos avanzando como avión no se Uds., pero estoy motivado con sus comentarios acerca de los otros artículos, las inscripciones para la clase online y la aceptación en la comunidad, el staff de redes Cisco esta muy agradecido con Uds. por participar y yo también les doy las gracias a mis colegas por ofrecerme esta gran oportunidad de ayudar a los demás, muy bien señores sigamos.

Encriptando el show-running

Muy bien recién decía que existe un modo de encriptar toda la configuración de texto plano a MD5 y de hecho es así, lo que sucede es que si Uds. dejan todo en texto plano, y se descuidan por ejemplo para ir a algún otro lugar de su sala de equipamiento puede que su compañero saque esa configuración o haga un show-running y pueda ver sus passwords, consola, vty, enable password o aun peor si tienen levantado un FTP/TFTP podrían robarse esta configuración y tener todo! Por ello para que no suceda esto dentro de la configuración global escribir lo siguiente, ahora para comprender ¿Cómo lo hace? Bueno los espero mas adelante en fundamentos de criptografía allí les podría explicar como es el proceso de Hash, algoritmos, teorías y formulas matemáticas, etc.

Router(config)# service password-encryption

Configurando Exec Timeout y Login Failure Rate

Aquí hay varias cosas que debemos comprender la primera el Exec Timeout es un termino utilizado para el tiempo en las sesiones activas del router mientras alguien esta conectado, todo esto es configurable, lo que se recomienda de hecho Cisco en realidad, indica que el tiempo no puede ser mayor a 3 minutos! Imaginen eso un tipo derritiendo teclados por la fricción de sus dedos buscando, analizando y resolviendo en menos de 3 minutos? Bueno es posible en realidad jajajaa, pero lo vamos a setear en 10 minutos y 30 segundos. Dentro de configuración global vamos las líneas de nuestro router (Consola, Vty, etc) y establecemos la cantidad de minutos seguido de los segundos si es que lo desean.

Router# configure terminalRouter(config)# line console 0Router(config-line)# exec-timeout 10 30Router(config-line)# exit Router(config)# line vty 0 4Router(config-line)# exec-timeout 10 30Router(config-line)# exit  

Muy bien la segunda característica Login Failure Rate es otro comando que sirve para especificar cuantos intentos de logeos fallidos puedo tener, puede ir desde 2 a 1024, por defecto es 10, pero OJO no viene activado por defecto como dice alguna documentación de Cisco. Dentro de configuración global estableceremos a 3 y al final el parámetro log que sirve para que me envíe un log valga la redundancia jajaa, cuando se produzcan mas de 3 intentos fallidos. Como nota adicional los intentos fallidos son también llamados threshold-rate.

Router# configure terminalRouter(config)# security authentication failure rate 3 log

Excelente nos vemos en el próximo articulo Securizar routers Cisco con SDM y CLI, Parte III y tópico final Características del IOS mejoradas del tópico numero 2 Securizar routers Cisco. Saludos y cuídense mucho!

Use Facebook to Comment on this Post

Pasamos al segundo Topico del CCNA Security, veamos de que se trata les anuncio que lo dividire en 3 partes, las imagenes se agrandan si pinchan sobre ellas, para ver con mayor detalle el SDM.

Securizar routers Cisco

• Securizar routers Cisco  usando la característica de Security Audit de SDM
• Usar la característica One-Step Lockdown en SDM para securizar un router Cisco
• Securizar el acceso administrativo a los routers Cisco configurando password complejos y encriptados, exec timeout, login failure rate y las características del IOS mejoradas
• Securizar el acceso administrativo a los routers Cisco configurando múltiples niveles de privilegios
• Securizar el acceso administrativo a los routers Cisco configurando role based CLI
• Securizar la imagen Cisco IOS y el archivo de configuración
  

Securizar Routers Cisco 

Hablar de securizacion es saber que es lo que se esta realizando teniendo esta decisión tomada proseguimos a definir que significa que un Router este seguro, ponerle llave a la puerta de acceso en donde tengo mi Rack, colocar una puerta de titanio con lectores biometricos, o simplemente buscamos el hecho de que el Router Cisco sin importan si acceden a el físicamente, ¿Cómo que físicamente, que eso no es fatal? No de hecho se pueden securizar de tal forma que aunque tengas acceso físico al dispositivo jamás podrás entrar a el, hacer algo o cambiar algo, claro que para esto debemos tomar ciertas medidas, como el hecho de que sucediera si se me olvida la clave, algunos creen que accediendo a la ROM podrán saltarse este paso, no señores en este tópico les voy a enseñar como hacer que entrar al equipo sea de verdad una pesadilla, así que mejor duerman con su cuaderno de contraseñas bajo su almohada, o mejor vayan y tatúense las claves en su espalda.

Securizar routers Cisco  usando la característica de Security Audit de SDM

Que hay que explicar acerca de esta característica bueno en verdad funciona bajo Security Device Manager, el software que viene incluido en el CD cuando compramos equipamiento Cisco, se instala siguiente y siguiente tambien da la alternativa de instalarlo en el PC, en el mismo Router (Flash) genial no?, nada complejo ahora el tema es levantarlo en el router, no se preocupen si nunca lo han hecho aquí el procedimiento:

Paso 1: Dentro de la configuración global, levantar http normal, levantar https, crear una autenticación local usando la propia base de datos local.

Router# configure terminalRouter(config)# ip http serverRouter(config)# ip http secure-serverRouter(config)# ip http authentication local

Paso 2: Dentro de la configuración global crear un usuario con privilegio nivel 15 y una contraseña, usare msalgado como usuario y contraseña bl@ack_rout3r

Router(config)# username msalgado privilege 15 secret 0 bl@ck_rout3r

Paso 3: Dentro de la configuración global ingresar a las líneas virtuales, configurar privilegio nivel 15, autenticación local, y permitir telnet y ssh, aunque telnet es inseguro pero para este laboratorio da igual mas adelante explicare el porque desactivarlo, no solo telnet muchos servicios, explicare que son, para que sirven y porque desactivarlos.

Router(config)# line vty 0 4 Router(config-line)# privilege level 15 Router(config-line)# login local Router(config-line)# transport input telnet ssh Router(config-line)# exit Router(config)# end Router# write 

La instalación por GUI en realidad es pan comido creare un PDF con las instrucciones por GUI, no es gran cosa pero si les sirve de ayuda, por mi perfecto la idea es aprender, algo muy importante es asignar IP al router, sino es imposible ¿Hacia donde nos vamos a conectar?

Paso 4: Dentro de la configuración global ingresar a cualquier interface libre, usare la FastEthernet 0/1 y asignare una IP fácil de recordar del rango 172.16.X.X Clase B correcto, pero con mascara /24 ya que los requerimientos no existen.

Router# configure terminalRouter(config)# interface fastethernet 0/1 Router(config-if)# ip address 172.16.10.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# end Router# write 

Paso 5: Esto es opcional pero es mas cómodo trabajar con una IP estática, obvio somos los administradores, pero el resto de mis usuarios bueno armemos un DHCP, ahora existen diferentes alternativas el DHCP puede estar en el router, en una maquina dedicada Windows Server Core reducido a consola, etc si se manejan en el mundo Microsoft es genial, después les contare una anécdota acerca de mi otro objetivo MCITP: Server Enterprise, bueno no nos desenfoquemos prosigamos:

Dentro de la configuración global, crear un pool llamada como ustedes quieran el mío es los otros tipos, especifico el rango de red que va operar DHCP, nombre dominio Larga vida a Cisco, servidor dns puede ser la misma dirección IP de nuestro router o un servidor DNS de mi red por separado o alguno publico, voy a dejarlo para que el mismo router sea el dns, especifico la direccion IP de la interface que me entregara el servicio DHCP, configuramos el lease cada cuanto quiero que la IP se renueve, puedo especificar días, horas y minutos, especificare 1 día exacto, por ultimo excluyo las 10 primeras direcciones del rango de red 172.16.1.0/24 en donde me reservo y aseguro que la dirección IP 172.16.1.1 – 10 jamás serán cedidas a los Host, ¿Por qué? Bueno tenemos servidores en la red ellos llevan direcciones IP estáticas y el Administrador también tiene su dirección IP estática.

Router# configure terminalRouter(config)# ip dhcp pool The_Other_Guys Router(dhcp-config)# network 172.16.1.0 255.255.255.0 Router(dhcp-config)# domain-name longlifetocisco.com Router(dhcp-config)# dns-server 172.16.1.1Router(dhcp-config)# default-router 172.16.1.1 Router(dhcp-config)# lease 1 Router(dhcp-config)# exitRouter(config)# ip dhcp excluded-address 172.16.1.1 172.16.1.10 Router(config)# end Router# write 

Ok, señores estos son solo unos comandos de DHCP, ya que existen bastantes configuraciones acerca de este servicio podríamos realizar un articulo acerca de Troubleshooting de DHCP.

Probando configuración SDM

¿Luego de esto estamos listos para probar nuestro SDM? La respuesta es no recuerden tenemos que dar alguna IP estática al Administrador aunque puede cogerla dinámicamente pero no es la idea, al Administrador le daremos la 172.16.1.10 por buenas practicas fácil de recordar así que vamos a hacerlo. Vamos a panel de control, conexiones de red, adaptador de área local, propiedades, protocolo internet TCP/IP, propiedades y veremos la siguiente pantalla, configurar la dirección IP siguiente:

Luego de esto es sumamente importante, descargar Firefox (corre mejor la verdad), pero la versión 3.5.2 y java 6 update 10, de lo contrario olviden que va funcionar bien.

1. Firefox 3.5.2
2. Java 6 Update 10
   

Es importante también desactivar las popups en herramientas, contenido y desactivar la opción bloquear ventanas emergentes y aceptar luego de esto cerrar Firefox. Arrancar SDM e incluir la IP de nuestro Router, como en la imagen:

Click en Launch, y deberíamos ver que el navegador pide usuario y password:

Y luego cargando la configuración:

Finalmente tenemos el SDM arriba:

Nos vemos en el siguiente arituclo, Usando Security Audit, One-Step Lockdown y todo lo que tenga que ver con CLI, cuidense mucho y atentos a la clase que dictare online exclusiva para RedesCisco.NET el dia 4 de Febrero a las 8 PM, son 50 cupos limitados cuidense mucho y abrazos!

Use Facebook to Comment on this Post

Describir y listar los métodos de mitigación de ataques a una red común 

En el articulo anterior hablamos de las motivaciones, tipos de Hackers, un poco de cómo es esto en el mundo real, ahora proseguimos con los métodos de prevención de ataques, como dije son muchos no los voy a listar todos pero los que respectan al examen de certificación: 

IP Spoofing: Uno de los métodos favoritos de quebrar comunicaciones lineales, veamos de que se trata volviendo a CCNA, cuando a nivel de capa 4 queremos establecer una comunicación mediante el protocolo confiable TCP, existe algo llamado el Intercambio de 3 vías o Three Way Handshake , consiste en anticipar el numero de secuencia en la comunicación por esta razón es llamado quebré intermedio o mas conocido como ataque MITM (Man in the middle) u hombre en el medio, ahora existen 2 clasificaciones:

1. Non-Blind Spoofing: Es cuando el atacante tiene el numero de secuencia y el acuse de recibo y no se necesita prácticamente predecir nada.
2. Blind Spoofing: Cuando se inyectan muchos paquetes hacia un destino, para poder anticipar este numero secuencia y acuse de recibo, un poco mas avanzado que el anterior.

Ahora no voy a profundizar el como se hace, ya que no es el objetivo del curso eso seria parte de Ethical Hacker (Eccouncil), y en lo que respecta el examen CCNA Security es necesario saber que es y como funciona, pero no la implementación no el conocimiento técnico, pero existen muchas herramientas las cuales se pueden utilizar para probar que efectivamente funciona. Para mayor información acerca de otras definiciones de spoofing (http://es.wikipedia.org/wiki/Spoofing).

Entonces concluyendo un ataque de Spoofing consiste en simular ser un host confiable en la comunicación, por ejemplo tengo el host A y el host B entre estos puedo robar la identidad de cualquiera de ellos y ver la transmisión de datos entre estos, haciéndome pasar por cualquiera de ellos, así de simple.

Muy bien es hora de definir lo que preguntan bastante en este examen, conceptos de confidencialidad, integridad y disponibilidad.

Confidencialidad

Nunca me han gustado los términos técnicos, creo que los libros hablan mucho de esto, pero no se entiende por primera vez, este termino se refiere al hecho de la información de cada persona que tiene almacenada en su computadora, nadie tiene el derecho de leerla, en las redes de computadoras imaginen eso, vaya que podríamos sacar fotos bastante comprometedoras que sucede en muchos casos cuando uno realiza la mantención de la plataforma, entonces en simples palabras un ataque de confidencialidad es cuando el atacante intenta obtener de alguna forma los datos de cada individuo sin dejar ningún rastro, es así de simple, la interrogante es ¿Cómo lo va hacer?

De muchas formas de hecho para sacar los códigos de cuentas bancarias es posible camuflarlo en la pixelacion de una foto, es por ello que esto es difícil de detectar podría ser cualquier cosa desde diseñar códigos de colores que cuando se convierten en algún sistema numérico se revela la cuenta bancaria en un envase de café y pasar desapercibido en un datacenter en donde hay sistemas de biometricos, cámaras, etc el ingenio siempre llega mucho mas allá, esto es fascinante en la seguridad no hay limites bueno los ataques que comprometen la confidencialidad de la información se pueden agrupar de la siguiente forma:

Escaneo de Puertos: Este es uno de los mas efectivos, de hecho muchos firewalls prohíben puertos por defecto 21 para FTP, pero es posible entrar igual mediante un redireccionamiento de puertos, por esto es que las compañías prohíben todo excepto los servicios que únicamente se ocupan en la empresa, a todo esto esa es una buena practica, nunca jamás en su vida dejen abierto un puerto que no se este ocupando o mejor aun establezcan ese puerto para que se abra en cierta fecha, a cierta hora y desde cierta dirección IP con autenticación de certificados, ya que si es por IP o por MAC también es posible usurparla (IP o MAC Spoofing).

Capturando Paquetes: Conocido como Sniffing Packets, creo que a muchos nos suena, Wireshark, Cain & Abel, etc, entre estos software capturan el trafico de nuestra red completa, o el segmento por eso es bueno securizar todos los puertos del switch que no se ocupen al fin y al cabo estos están reflejados en el patch panel, pueden ocupar características como switchport port-security, o aun mejor diseñar un esquema de VLAN Black-Hole que de hecho es mas efectivo, ya que el atacante cree que esta en un segmento si es cierto pero jamás va a capturar nada por que no asciende hacia otros puertos o grupo de switches, también es posible generar trafico virtual con maquinas virtuales, de tal forma que el atacante efectivamente captura datos pero no sirven de nada, esto se conoce como Fake-Traffic implementado en redes mas sofisticadas en donde se quiere obtener una retroalimentación del ataque, estudiarlo y generar medidas de esto.

Wiretapping: En realidad esto es monitorear conversaciones de empleados, gerentes o personal de la empresa esto era antiguamente líneas analógicas, ya que hoy estamos en un fuerte campo de VoIP, se capturan conversaciones a través de Internet, esto es genial bueno no tanto para las compañías por el daño, pero lo digo desde el punto de vista de señores por favor hasta donde llega el ingenio, o sea capturar sesiones VoIP ahora la pregunta es ¿Se pueden encriptar estas conversiones? Los animo a estudiar el CCNA Voice Cisco tiene mucho de que hablar, en serio el mundo de la telefónica IP es otro mundo del de datos.

Over and Covert Channels: Bueno este método es algo extraño en realidad el primero Over Channel es cuando se tiene visible la información en un canal de datos, ahora a que se refiere o que sentido tiene esto, lo que sucede es que el Covert Channel es la capacidad o habilidad de esconder la información dentro de una transmisión de datos normal o codificación de estos, esto es lo que hablábamos al principio, imaginen esconder un código el cual nadie lo ve, por que es una foto pero si aumento la foto encontrare un patrón de ingeniería o una codificación que no corresponde a ese formato, capa 6 del modelo OSI Presentación señores, esto es genial hay que admitir que cada vez llegamos mas lejos, ahora es posible tener un mecanismo que detecte esto, bueno los motivo a seguir estudiando cuando saquen su CCNA Security y vayan por el CCNP Security lleguen a ASA (Adaptable Security Appliance) Estos equipos son capaces de prohibir formatos de archivos, jpeg, mov, mp3 etc a través de strings, se configurar de tal forma que securizan la red totalmente, a esto agreguen IPS (Intrusion Prevention System) en donde tendrán los talones de Aquiles bajo control en diferentes puntos de la red, deberían de verlo en acción podríamos hacer un articulo de ASA claro mas adelante no me exijan mucho, también tengo vida aunque no lo crean jajaa.

Ingeniería Social: En este punto solo hay algo que tengo que decir, entrenen a sus empleados es lo mas peligroso en lo que seguridad respecta, siempre existe alguien que habla demás, atiende una llamada, etc monitoreen todo señores incluyendo las conversaciones conviértanla a texto y guárdenlas en un servidor en algún segmento de su red sincronícenlo con el BlackBerry, iPhone lo que sea o en un sistema MARS que lo haga por Uds., hay diversos mecanismos que permiten realizar lo anteriormente dicho. Es importante capacitar al personal en una pequeña charla para que vean los riesgos a los que se exponen, es como los bancos vemos nuestra cuenta bancaria aparece un aviso, nunca revele su contraseña, nos llaman del banco una señorita con voz sexy, y le decimos la password o alguna otra información, de hecho podría llegar un correo exactamente con el formato del banco, el cargo de la persona, numero telefónica, firma, etc. Por esto es necesario utilizar los certificados para efectivamente saber que de verdad es esa persona, hablar de certificados es otro mundo pero mas adelante veremos de que se trata no son caros si los quieres implementar en tu empresa, y se sincronizan con todo lo que tengas, buzones de correo, clientes móviles, etc, etc.

Dumpster diving y emanations capturing: Son términos que nacieron en base a la búsqueda de información por ejemplo buscar en los desechos de la empresa, cualquier información relevante a esta, también existe gente que se podría hacer pasar como recolector de la basura, cuantas veces no ha pasado en diversos países que no tienen procedimientos en el desecho y reciclaje de computadoras, los discos duros sobre todo, todo esto debe ir en un manual de la empresa obviamente hecho por Uds. o si no tienen tiempo pueden seguir las buenas practicas de estos estándares que de hecho también están, el segundo termino aunque no lo crean consiste en capturar transmisiones eléctricas desde el equipamiento de la organización como es esto posible bueno volviendo a CCNA no escucharon hablar de PoE (Power over Ethernet) se define en el estándar 802.3af algunos ven cuantos son los voltajes, etc información que ayuda a comprender que tipo de equipamiento están utilizando, efectivamente funciona en un caso que estén usando enmascaramiento por ejemplo NMAP si vieron Matrix cuando Trinity esta hackeando la central eléctrica, etc el software en la pantalla es NMAP usado a nivel de CLI, sirve para deducir los puertos, IP, tipos de equipos, modelos, etc es un software para realizar reconocimientos de red, estos pueden ser ataques o puede usarse como Pentester para ver que tan seguro estoy, dentro de estos existen otros software como Nessus, GFI LanGuard, etc.

Integridad

El concepto de integridad es mantener los datos tal cual desde un origen a un destino, en términos de ataque puede ser que se cambien estos datos a mi favor y manipular la información cuando llega al destino obviamente sin tener la autorización ni el derecho de realizar esto. Los ataques de integridad tienen mucho que ver con los sistemas de VPN, así es redes privadas virtuales, lo que sucede con esto es otro tema de hecho voy a dedicar a una sección completa en como realizar VPN tipos de estas, claro que no tan complejas como al nivel de CCNP Security, ya que para esta examen se solicitan configuraciones de VPN a nivel básico pero se tienen que ser un experto en troubleshooting, (resolución de problemas) de acuerdo a la configuración de estas, etc. Bien vamos con los ganadores del premio:

Ataques Salami: Suena chistoso, pero es una perfecta amenaza a la integridad de los datos, consiste en una serie de ataques que juntos conforman un gran ataque como podemos representar esto, digamos que voy al casino y juego en cada mesa, de cada una de esas mesas gano 100 USD y juego en 20 mesas, el factor resultante es el gran ataque que de por cierto, en seguridad existen formulas las cuales permiten calcular los niveles de riesgo, administración y perdida total no las voy a tocar por que en realidad a Cisco le interesa que sepan que existen peor no son consideradas en el examen de certificación, bueno imaginando ese ataque y llevándolo a algo mas real, en la película Swordfish cuando se esta robando el dinero de diferentes bancos electrónicamente y reuniéndolo en un solo lugar, eso es exactamente un ataque Salami.

Ataques de Password: Es un ataque orientado a identificar cuentas de usuario dentro de un sistema que tenga una base de datos, Active Directory, Arquitecturas Trust Forest, Tacacs+, Radius, etc, existe un método llamado fuerza bruta que precisamente hubieron software que lo realizaban incluyendo brutus, John the ripper, etc existen otros que no voy a nombrar aparte hay otros métodos, exceden los alcances de este curso.

Exploits: Los famosos exploits en lo que integridad respecta esto esta mal dicho, en realidad son ataques Trust Exploits que representan no a un código sino a alguien en particular que toma como referencia las relaciones confiables dentro de una rad arquitecturas forest por ejemplo en Active Directory, dominios de confianza, etc.

Sesiones Hijacking: Es muy fácil confundir este termino con herramientas de hackeo, pero en realidad técnicamente es la explotación de una o muchas computadoras a la vez, como es posible bueno por las sesiones volviendo a TCP, modelo OSI cada 4, se gana el acceso no autorizado a un servidor o computadoras a través de estas sesiones TCP, generalmente se familiariza con ataques MITM.

Data Diddling: Esto no es un ataque es un concepto utilizado para representar los cambios de la información antes que lleguen a su destino final, en realidad una computadora, servidor de base de datos, etc. Muy utilizado por los programadores de virus en realidad, o cuando se establecen procedimientos acerca de que hacer en caso de estar sufriendo un ataque que represente este concepto.

Disponibilidad

La disponibilidad corresponde a cuanto es lo que tengo de probabilidad que mi información ese disponible para mis clientes, bastante simple sin tecnicismos. Bueno al igual que en integridad existen formulas capaces de calcular esto por medio de factores a considerar, por ejemplo cuando rento un hosting o contrato un servicio dual para tener mi información siempre arriba si se produce algún siniestro en la empresa, etc alguien dejo una taza de café sobre un servidor y se fue a hablar del ultimo video de youtube, etc un descuidado o despreocupado, se me quema el servidor a no ser que tenga un sistema anti-derrame (Dell, hp, IBM no lo estoy promoviendo, promotor?, jajajaa) bueno en fin si contrate un servicio dual tengo exactamente un espejo de toda la información en alguna otra parte, esto es independientemente de la ubicación geográfica, dentro o fuera del país, debajo de un bunker, en un submarino, etc, ahora hay algo denominado uptime que es cuanto me garantiza dicha empresa en un determinado % que mi información estará arriba, por ejemplo google el gigante, tiene un uptime por encima de 99 y es en serio su infraestructura es grande, no tengo palabras para describir aquella plataforma, ahora los ataques dentro de esta categoría:

Inundaciones ICMP y SYN: Como ustedes saben ICMP (Internet Control Message Protocol) volviendo a CCNA lo ocupo cuando quiero saber si efectivamente esta arriba algún host, etc. Esto involucra diferentes mensajes, hecho, reply, etc. Antiguamente no existían mecanismos que permitieran configurar un limite de estos paquetes en realidad, hoy en día los hay ¿son efectivos por si solos? En realidad no, pero combinando con otras técnicas de ataques si, ahora el segundo termino inundaciones SYN, bueno en CCNA de nuevo el three way handshake o intercambio de 3 vías, existe una requisición de sincronizar yo puedo enviar muchos SYN pero jamás se sincroniza la sesión, ¿se entiende?, es decir nunca voy a finalizar mi sesión TCP la dejare abierta con el objetivo de aumentar la carga del sistema remoto, en base a esto Cisco tiene una tecnología llamada CBAC, después hablaremos de ello, cuando lleguemos a Firewalls.

DoS y DDoS: El famoso ataque que se escucho hace algunas semanas por el tema de Wikileaks, son ataques de denegación de servicio o denegación de servicio extendido, esto no funciona por si solo se necesitan botnets, que precisamente Anonymous ocupo para que el virus, o como quieran llamarlo yo le diría software en realidad ocupara la computadora como un zombie y así poder generar una gran cantidad de trafico, bueno imaginemos esto a gran escala unos 5000 equipos mínimo, vaya que carga para el servidor lo dejo como una tostada con mermelada hay formas de reducir y evitar esto, pero ya es a nivel avanzado CCNP Security.

• Bueno esos serian los ataques mas importantes, términos y conceptos de este examen, aunque faltan demasiados, ataques de fragmentación, envenenamiento, etc, etc. Entonces señores para que quede claro el asunto, existen algunas medidas que tomar conceptualmente, la respuesta es claro que si, de hecho las inculcan en muchos estándares:

• Mantener la plataforma completa actualizada, estamos hablando de software, sistema operativo, clientes de correo, cualquier cosa que tenga código.

• Los puertos que no se ocupen bajarlos inmediatamente aunque existen otros mecanismos ya nombrados depende de cual sea el fin, ver como reaccionan los atacantes dentro de una red de producción, diseñar una retroalimentación de esto, etc, etc.

• Los password, política dinámica, que se cambien las contraseñas cada cierto tiempo, expiración, combinación de números, símbolos, mayúsculas, minúsculas, ver la posibilidad de usar certificados u otros sistemas de autenticación menores, etc.

• Controlar el acceso físico a los sistemas, nadie entra ni sale sin marcar tarjeta, era un dicho de mi antiguo jefe, cámaras de domo, sistemas biométricos, etc, de hecho lo que he visto en compañías es utilizar una empresa anexa para la seguridad física, o contratar a alguien para verificar que en realidad es seguro, hay bastantes compañías que se dedican a esto.

• Los sistemas donde se aloja la web, si es dentro de la misma empresa para abaratar costos, ver que todo este seguro tener a una persona dedicada a securizar las plataformas, dependiendo de cual sea, Microsoft si es Windows, Apple si es Mac, Linux en la mayoría de los casos u otra plataforma.

• Los Backups deben de realizarse full, incremental, diferencial etc, tener respaldo dual de la información, diseñar una política para esto, por ejemplo Acronis ofrece excelentes servicios ahora en la Nube, Zmanda (La nasa lo utiliza), entre otras soluciones de hecho hay certificaciones de Acronis llamada ACE (Acronis Certified Engineer).

• Encriptar todo lo que sea publico una empresa no esta en una ubicación a nivel geográfico, tiene muchas Branch (Sucursales), todo lo que vaya hacia fuera VPN, los teletrabajadores si es una empresa internacional, usar sistemas VPN SSL, Cisco VPN Client, etc.

• Mantenciones de seguridad anti-siniestros hardware, software todo esto debe ir anexado a la política de la compañía en el gran manual denominado “Como hacer que mi empresa no explote, atentamente el tipo de la seguridad”, es broma jajaa como ustedes quieran llamarlo si quieren algo mas profesional y técnico con palabras que ni siquiera se entienden Procedimientos extracurricululares de defensa inside u outside, etc, como recomendación siempre señores no hablen o estudien técnicamente comprendan el concepto, y van a ver que después se aplica a todo lo que viene es lo importante explicar algo complejo a sus superiores en palabras las cuales ellos las comprendan, utilizar analogías, etc. 

Ok, en realidad fue una dosis de bastante información, no creo que sea necesario explicar que es un gusano, troyano, virus, etc Lo encontraran en la curricula o en Wikipedia, etc. Lo que si me interesa que sepan que es la Arquitectura Cisco Self Defending Network. 

Describir la arquitectura Cisco Self Defending Network

Esta arquitectura es un modelo que ofrece Cisco en base a una determinada gama de productos de cómo prevenir ataques, que se necesitara o utilizara y como esta dividido en 3 fases el asunto:

Integración: Cada dispositivo es un punto de defensa, esto es lo que se logra cuando se van adquiriendo diferentes clases de equipamiento para diferentes tareas y fines.

Colaboración: Todos los servicios unifican la plataforma y dispositivos realizando una completa fortaleza por decirlo así, apoyándose unos y descansando tareas en otros.

Adaptabilidad: La red inteligentemente se adapta a las amenazas conocidas o desconocidas esto también se conoce como motor heurístico. Les dejo unos enlaces con mayor información ya que no voy a escribir de que se trata a fondo, para el examen de certificación es necesario saber que es y como se debería implementar. Podríamos ir aun mas allá con este modelo, pero en otro articulo. Bien señores nos vemos en la continuación de tópicos al fin a configurar!

http://www.cisco.com/web/ES/solutions/smb/innovators/how_to/articles/secure_my_business/smb_sdn.html

Use Facebook to Comment on this Post

Ok señores, partimos con el siguiente tópico:

Describir las amenazas de seguridad que enfrenta la red en infraestructuras modernas

• Describir y listar los métodos de mitigación de ataques a una red común
• Describir y listar los métodos de mitigación de ataques de gusanos, virus y caballos de Troya
• Describir la arquitectura Cisco Self Defending Network

Describir las amenazas de seguridad que enfrenta la red en infraestructuras modernas

En infraestructuras de red modernas, las redes son complejas, la verdad de las cosas es que se debe tener mucho cuidado con bloquear esto o dejar pasar esto otro, esto es debido a que se debe tener si o si, una política de seguridad de la empresa pero no estática y este es el mayor error de los Administradores de red en lo que seguridad respecta la Política debe ser Dinámica, ahora parece bastante simple y sencillo pero no lo es por ello hay que estar constantemente actualizando esas políticas de acuerdo a la evolución de los ataques, ingenios, y fallas de los sistemas en la plataforma designada.

Estas políticas mencionadas no significan que se debe de cerrar la red del mundo exterior, de hecho algunos piensan en usar OOB en varios segmentos de la red mas adelante veremos que significa, por otra parte existe el CSI, no es la serie de Miami que veo en la mañana, cuando como unos huevos revueltos, sino el Computer Secure Institute (www.gocsi.com) que es un organismo que estudia estadísticas de seguridad entre otras cosas,  ellos determinan que en un rango de 60 a 80 % los ataques provienen no desde afuera en donde nos muestran hackers invadiendo los sistemas, a propósito Swordfish es una de mis favoritas, sino son quien lo pensaría desde adentro, así es Inside, y de allí la explicación de varias anécdotas sucedidas a diferentes gobiernos, recordando estados unidos, cuando prohibieron los pendrives, efectivamente sus redes era muy seguras prácticamente una Muralla China, pero desde adentro se propago el famoso gusano Agent.BTZ luego pueden buscar mas al respecto hay demasiadas ocasiones en que no solo estados unidos varios países han tenido serios problemas, ahora quiero que te hagas la pregunta ¿Es necesario una política de seguridad dinámica? Yo diría que si, de hecho nada es seguro pero se amortiguan y reducen las posibilidades y probabilidades de que tu empresa, organización o donde estés trabajando sufra de algún ataque o amenaza exponencial.

Quizás en base a lo ya descrito te estés preguntando si los ataques que provienen desde dentro de mi red son del 60 a 80 % entonces que saco con cerrar el exterior de mi red, lo que sucede es lo siguiente existe un balance para todas las cosas como el la fuerza del bien y del mal en StarWars, como los Jedi y los Sid, hay 2 factores clave en el diseño de una buena política de seguridad dinámica:

1. La necesidad de que probablemente tu red disponga de un sistema el cual tiene que estar disponible las 24 horas hacia un cliente, debe tener un mecanismo el cual este seguro, mas adelante lo veremos no se me adelanten.
2. Cuando las empresas u organizaciones crecen, por que si van a seguir el camino de la seguridad deben ser visionarios, existen muchas estrategias de las cuales Cisco tiene varias demasiado efectivas el realidad como el Cisco Self Defending Network, que protege la privacidad, información personal, e información de negocio entre muchas cosas mas.

Fuera de todo lo que hemos hablado existen estándares, buenas practicas, diseños pero vuelvo a recalcar sean dinámicos, nunca hagan una política de seguridad y la dejen allí en 3º cajón, sino van a estar en graves problemas pueden obtener información adicional en diferentes lugares les dejo los links, o si quieren en la curricula si es que la tienen aunque prefiero que cuando tengan mas tiempo libre se pasen por aquí:

http://insecure.org/ Para mi es como leer el mercurio, véanlo siempre.

http://www.sans.org/ Otro sitio de mas dosis de información en lo que respecta seguridad.

Describir y listar los métodos de mitigación de ataques a una red común

En realidad son demasiados ataques para realizar una lista y descripción de estos, pero los trataremos de que sean los mas importantes de acuerdo al examen de certificación, antes de poder comprender los ataques debemos saber el ¿Por qué? Bueno da la casualidad que tu para hacer algo debes de tener una motivación, es como este curso me motivanque Uds. aprendan y le saquen provecho y ventaja pero mas que eso me motiva saber que tendrán una lección importante en su vida, que es la de compartir sus conocimientos y ser humilde en vez de encerrarse en un frasco de negatividad recuerdo que cuando partí llegue a una empresa x, y vaya los tipos nadie te enseñaba, decía o hablaba jajajaa, era como clases de mimo, se ah demostrado que el ser humano aprende mucho mejor cuando esta libre de tensiones. Bueno existen otras empresas como mi consultora antigua, que los tipos vayan que tenían experiencias, conocimientos de calibres de niveles Enterprise, pero te enseñaban y fue muy bueno de hecho todavía tengo contacto con ellos, es lo mismo aquí en el enfoque de seguridad existen factores de motivación que te llevan a resultados buenos o malos.

Para definir a un Hacker debemos tener claro quien es, que piensa, pero mas importante que lo anterior es el porque, ¿que es lo que lo motiva?, para esto existe una clasificación de diferentes tipos de Hackers:

Hacker: Un tipo quien entra en las redes de computadoras y sistemas para aprender mas acerca de estos, es así de simple, generalmente aquí existe una gran importancia en los Hats se apodo Black Hat, White Hat y Gray Hat a diferentes individuos con diferentes propósitos, ahora no confundir no es que ellos se levanten en la mañana y tengan 3 sombreros, quien seré hoy? En realidad es mas en base a sus acciones cuando cruzan la línea es en donde caen, veamos de que estamos hablando.

Black Hat: Los famosos de sombrero negro, es alguien que no tiene ética en lo que respecta nivel de clasificación de información, generalmente están catalogados como evil, pero no lo veo desde ese punto de vista, mas los veo como quienes sacan provecho de lo que saben, claro que vender información confidencial o hacer trabajos eliminando a la competencia esta sancionado por la ley, ahora cabe destacar que hay una delgada línea entre sacar provecho para el bien, o para el mal. Uno se rige bajo el código y estándar de entrenamiento ético el cual dice claramente que no usare los conocimientos para realizar un abuso de poder en beneficio para mi mismo. En otra ocasión podríamos hablar de la certificación Ethical Hacker de eccouncil. Por ultimo basta decir que también son conocidos como crackers (Criminal Hackers).

White Hat: Trabajan como pentester la mayoría de ellos, irrumpen en el sistema sin ser detectados, verifican que fallas por donde entraron es posible hacer esto o esto otro, en un análisis ellos sacan una retroalimentación de lo que hicieron, como, y por supuesto la solución a esto. Luego crean los procedimientos, securizan las fallas, claro que no mágicamente en base a un equipo que los respalda diferentes personas, en donde se dividen los puestos y cargos, analistas de información, investigadores forense de informática, Ingenieros de seguridad de red, etc.

Grey Hat: Bueno en este caso ellos realizan la misma tarea que el anterior, pero con la diferencia de que si ve una falla a la cual sacarle provecho no la revela en el reporte, es decir es como si me la dejara para mi, y luego la exploto en base a mis propios fines.

Phreakers: Expertos en romper seguridad en base a sistemas telefónicos, conectan y desconectan líneas, irrumpen en servicios de larga distancia, etc. Cabe destacar Cisco tiene características sensacionales en lo que seguridad respecta de líneas telefónicas, para esto es necesario comprender el CCNA Voice.

Hacktivists: Personas quienes tienen los trabajos políticos, gobiernos, entre otras cosas como por ejemplo vean el caso Wikileaks que dio mucho que hablar y sigue en los medios, no voy a adentrarme en ese tema para no perder el objetivo.

Script Kiddies: Bueno en realidad estos individuos se autoproclaman y se autodenominan hackers con bajas habilidades en realidad, bajan un software de Internet hace el trabajo por ti y luego ok, ya lo logre. Por algo el termino Script usan de hecho software que es proveído por otros, pero son felices haciendo eso.

Ahora, fuera de lo que hemos visto en simples palabras existen grupos de hackers, los cuales comparten su conocimiento como si fuera una fraternidad lo bueno de las certificaciones en el caso de seguridad de alto calibre es que cuando vas a dar tu certificación, tu te comprometes a usar tus conocimientos no para realizar payasadas o irrumpir en sistemas de información de otros. Ese es el verdadero código ético, muchas veces pasa que alguien mueve un dedo, y echan a todos dentro del saco. En mi opinión no es defender pero saber identificar quienes tienen los ideales y están de acuerdo al código ético. Es por esto que todos los años se realizan festivales en donde van Hackers de todo el mundo a dar conferencias, demostraciones, competir con colegas, en realidad yo diría que son personas expertas en seguridad con un sentido común, compartir, enseñar y aprender a la vez en comunidad en vez de llamarlos y apuntarlos con un dedo Hacker.

Muchas veces se da el caso, de que no es una sola persona la que tiene un fin con ese objetivo, pueden ser naciones o estados, terroristas, criminales, corporaciones que quieren eliminar la competencia, empleados descontentos (este me da risa) se imaginan un empleado descontento no le subieron el sueldo este mes, y bang! Al otro mes adiós a la base de datos, web, facturación, etc. Bueno y en las películas siempre son las agencias de gobierno que quieren controlar todo, no es tan así, pero puede suceder que también sea un adversario. Así que sabiendo esto, no le echemos la culpa a una sola persona, sino que podría ser cualquiera de las ya nombradas.

Acerca de sus motivaciones, lo primero y es lo que siempre ah sido, probarse a si mismo que eres capaz, bueno no lo pensaste bien y después te preguntas por que te dieron 10 años, mejor irrumpe en tus propios sistemas y hazlo mas entretenido entrénate tu mismo o con tus colegas como jugar age of empires, ese juego es bastante viejo pero créanme que aun lo juego, de hecho ni siquiera tengo una PS3 y lo otro prueba tus habilidades dentro de tu propio perímetro de seguridad. El segundo factor es el dinero, cantidades grandes de dinero en tu cuenta rompo las reglas y nadie dice nada, bueno tarde o temprano a cada quien le llega su navidad. Y lo tercero aprender,  mejorar, y perfeccionar el conocimiento ya adquirido, que rara vez es así, pero yo estoy a favor del tercero, aparte si puede compartirlo mucho mejor no!

Señores les tengo que decir que ah sido una mega dosis de información, vamos con los ataques me interesa que quede claro el tema de las categorías de Hackers, motivaciones, y por supuesto la reflexión de quien generalmente tiene la culpa no es una persona. Nos vemos en el la continuación de este articulo Amenazas de seguridad, métodos, mitigación de ataques y Arquitectura CSDN, Parte II.

Use Facebook to Comment on this Post