PDF de programación - Aseguramiento de Equipos de red en ambientes Empresariales

Universidad de Buenos Aires

Facultades de Ciencias Económicas

Cs. Exactas y Naturales e Ingeniería







Carrera de Especialización en Seguridad Informática







Trabajo Final

Aseguramiento de Equipos de red en ambientes Empresariales













Autor: Ing. Diego Rafael Forero Pulido

Tutor: Diego Alonso





Cohorte 2011





Declaración Jurada de Origen de los contenidos.





Por medio de la presente, el autor manifiesta conocer y aceptar el

Reglamento de Trabajos Finales vigente y se hace responsable que la

totalidad de los contenidos del presente documento son originales y de su

creación exclusiva, o bien pertenecen a terceros u otras fuentes, que han

sido adecuadamente referenciados y cuya inclusión no infringe la legislación

Nacional e Internacional de Propiedad Intelectual





FIRMADO



DIEGO RAFAEL FORERO



DNI: 94.773.947











2

Tabla de contenido
Nomina de Abreviaturas ................................................................................ 4

Introducción ................................................................................................... 6

Metodología de Trabajo… ............................................................................. 7

1.

Identificación. “Que debemos proteger” ........................................... 7

2. Análisis amenazas. “Contra que debemos protegernos” ................. 7

3. Tratamiento. “Como nos protegemos” ............................................. 7

Etapas de Aseguramiento .............................................................................. 8

Identificación. .............................................................................................. 8

Ping Scan (IP Angry Scan) ...................................................................... 9

Port Scan (Zenmap ) ............................................................................. 11

Scan Equipos de red (Cisco Network Assistant CNA) ........................... 12

Verificación de Configuración y comandos CLI para equipos Cisco
(Switches y Routers) ............................................................................. 15

Análisis Amenazas ................................................................................... 24

MAC-Flooding ....................................................................................... 24

VLAN Hopping ....................................................................................... 26

VLAN Hopping por Trunk Falso. ............................................................ 26

VLAN Hopping por Doble Tag . ............................................................. 27

DHCP Starvation ................................................................................... 29

Rogue DHCP Server ............................................................................. 31

ARP Poisoning ...................................................................................... 33

Manipulación de Arquitectura STP ....................................................... 36

Tratamiento. ............................................................................................. 39

Aseguramiento de acceso administrativo. ............................................ 39

Aseguramiento Puertos ......................................................................... 40

Puertos de Usuario Final. ...................................................................... 41

Puertos Switch a Switch. ....................................................................... 44

Puertos de Servidores. .......................................................................... 48

Seguridad Router .................................................................................. 54

Conclusiones ............................................................................................... 58

Fuentes ........................................................................................................ 60

Bibliografía Específica. ................................................................................ 61

Bibliografía General ..................................................................................... 63



3

Nomina de Abreviaturas


AAA: Authentication, Authorization, Accounting

ARP: Address Resolution Protocol, Protocolo de la capa de enlace de datos
responsable de la resolución de una Dirección IP a una Dirección MAC.

BID: Bridge ID: Numero de identificación de los Switches en la estructura
de Spanning Tree Protocol, consistente de 8 Bytes de longitud. 2 bytes de
Prioridad y 6 Bytes de la dirección MAC del Switch.

BPDU: Bridge Protocol Data Units, paquetes de datos del protocolo STP,
para comunicación de Información de estado, conexión y notificaciones de
los Switches.

CAM: Content Addressable Memory: Parte de la memoria usada en los
Switches para almacenar la tabla de direcciones MAC Dinámicas.

CDP: Cisco Discovery Protocol. Protocolo propietario cisco desarrollado para
el descubrimiento de dispositivos en capa de enlace de datos.

CLI: Command Line Interface, Interface de línea de comandos

CNA: Cisco Network Assistant: Programa de administración centralizada de
equipos de red Cisco.

DTP: Dynamic Trunking Protocol: Protocolo propietario cisco desarrollado
para realizar la negociación automática puertos Trunk entre dos Switches.

DoS: Denial of Service. Ataque informático, consistente en el agotamiento
de recursos de conexión de un equipo o servicio.

GC: Global Catalog: Servicio usado por la infraestructura Active Domain
Microsoft.

HTTP: Hypertext Transfer Protocol: Protocolo de aplicación, para
intercambio y/o transferencia de Hipertexto.

HTTPS: Secure Hypertext Transfer Protocol: Protocolo de aplicación, para
intercambio y/o transferencia de hipertexto a través de un canal cifrado.

IPS: Intrusion Prevention System. Equipo de seguridad.

LDAP: Ligthweigth Directory Access Protocol: Protocolo de aplicación, para
acceso y mantenimiento de servicios de información sobre IP.

MAC: Media Access Control. Identificador de interfaces o dispositivos I/O de
redes de datos.



4

MITM: Man In the Middle: Ataque Informático, consistente en la intercepción
del tráfico generado y recibido por un equipo.

KRBS: Kerberos : Protocolo de Autenticación para redes de datos.

RPC: Remote Procedure Call: Método de invocación remota de un
procedimiento o rutina.

SMB: Server Message Block, Protocolo de capa de red, principalmente
usado para acceso compartido a recursos.

SNMP: Simple Network Managment Protocol: Protocolo para administración
de equipos en redes IP.

STP: Spanning tree protocol: Protocolo de capa de enlace de datos, usado
para evitar loops en capa 2.

SSH: Secure Shell. Protocolo de acceso seguro a interface de comandos.

VLAN: Virtual Local Area Network.

WAF: Web Application Firewall. Equipo de red.







5

Introducción


En la actualidad las empresas están empezando a darse cuenta de la
importancia que tiene la seguridad de la información en el desarrollo de sus
actividades productivas, el crecimiento de Internet como medio de alcanzar
a nuevos clientes y nuevos tipos de negocio ha hecho que se tomen cada
día mas medidas para proteger las redes empresariales de posibles ataques,
desde la adopción de modelos de gestión de riesgo de la seguridad de la
información, hasta el montaje de infraestructura tecnológica específicamente
diseñada para proteger los activos informáticos de las empresas (Firewalls,
IPSs, WAFs…).

Pero como sabemos, la implementación de seguridad de la información es
un proceso que conlleva muchas capas y ninguna de ellas puede ser tomada
a la ligera. Los equipos de red (capa 2) son el portal de entrada a las redes
empresariales, muchas de las amenazas informáticas que se presentan en
la actualidad pueden ser detectadas e incluso evitadas, si se aprovecharan
las funcionalidades en seguridad que tienen estos equipos, todo esto sin
incurrir en mayores gastos en infraestructura tecnológica.

Durante el desarrollo de mi carrera profesional en la implementación de
Seguridad en redes de datos, he observado que la mayoría de las empresas
que piensan en seguridad se centran en la adquisición de hardware o
software específicamente diseñado para la protección de los datos, pero
descuidan el aseguramiento de los equipos que ya se encuentran en
funcionamiento; se tiene la concepción que los equipos como switches y
routers no tienen mucho que aportar a la seguridad de la información y que
sus funciones están únicamente ligadas a las tareas de networking; en
consecuencia no es requerida
la verificación de configuraciones y
funcionalidades activas, esta idea no podría estar mas alejada de la realidad.

Este trabajo dará lineamientos, consejos, herramientas y organización para
el aseguramiento de los equipos de red en ambientes empresariales.















6

Metodología de Trabajo…


Las tareas de aseguramiento de una red de datos requieren experiencia y un
nivel de conocimiento técnico amplio, esto las puede convertir en tareas
tediosas, de gran dificultad y en muchos casos abrumadoras. Para evitar
estas situaciones, en este trabajo se propone dividir estas tareas en tres
grandes grupos, descriptos brevemente a continuación:





1. Identificación. “Que debemos proteger”

El primer problema que se enfrenta en el aseguramiento de red es (en
su gran mayoría) el desconocimiento de lo que debemos asegurar. Es
una práctica muy común de las empresa