Cantabria Net 2011 Sistemas de red David Cristóbal López “Osito” 10 al 13 de Noviembre de 2011
Índice <ul><li>Introducción </li></ul><ul><li>Montaje </li></ul><ul><li>Esquemas de red </li></ul><ul><li>Funcionamiento d...
<ul><li>INTRODUCCIÓN </li></ul>
Introducción <ul><li>Juventud Cantabria Net se celebra desde 2001 </li></ul><ul><li>Esta es su 11ª edición </li></ul><ul><...
Introducción <ul><li>Participantes </li></ul><ul><li>600 participantes </li></ul><ul><li>Aprox. 50 personas de organizació...
Introducción <ul><li>Infraestructura eléctrica </li></ul><ul><li>35.000m de cable de red UTP Cat. 6 </li></ul><ul><li>3.00...
Introducción <ul><li>2 Switches Cisco 6509 </li></ul><ul><li>- 1 Supervisora </li></ul><ul><li>- 8 Controladoras 48 bocas ...
Introducción <ul><li>2 Switches Cisco 3560 </li></ul><ul><li>Conexión de Telefónica de fibra 1Gb a internet </li></ul>
Introducción <ul><li>1 Allot NetEnforcer 1440 </li></ul><ul><li>Monitorización y filtrado en tiempo real 2Gbps </li></ul>
Introducción <ul><li>1 Balanceador Ascenlink </li></ul><ul><li>Balanceador de líneas ADSL, como backup a la salida de inte...
Introducción <ul><li>2 Racks de Servidores </li></ul><ul><li>Utilizados para toda la infraestructura: </li></ul><ul><li>- ...
Introducción <ul><li>2 Cámaras de vigilancia </li></ul><ul><li>Transmisión en tiempo real al público de imágenes de la par...
Introducción <ul><li>Mainframe IBM 7040-681 &quot;Regatta&quot; </li></ul><ul><li>- 64 GB RAM </li></ul><ul><li>- 32 Proce...
<ul><li>MONTAJE </li></ul>
Montaje <ul><li>Cableado eléctrico estructurado </li></ul><ul><li>Cada media fila lleva su propio magnetotérmico </li></ul...
Montaje <ul><li>SAI de 6KVA </li></ul><ul><li>Alimenta núcleo de comunicaciones  </li></ul><ul><li>(Switches, NetEnforcer,...
Montaje <ul><li>Redundancia de hardware de salida a internet </li></ul><ul><li>Doble switch de salida a internet de Telefó...
Montaje <ul><li>Balanceador de líneas ADSL </li></ul><ul><li>Balancea 8 líneas ADSL </li></ul><ul><li>Encendido pero en es...
Montaje <ul><li>Monitorización – filtrado de salida a internet </li></ul><ul><li>Allot NetEnforcer, 2Gbps de velocidad </l...
<ul><li>ESQUEMAS DE RED </li></ul>
Esquemas de red <ul><li>Topología </li></ul>
Esquemas de red <ul><li>Red General </li></ul>
Esquemas de red <ul><li>Flujo de tráfico </li></ul>
Esquemas de red <ul><li>Centro de comunicaciones </li></ul>
<ul><li>FUNCIONAMIENTO  </li></ul><ul><li>DE UNA RED </li></ul>
Funcionamiento de una red <ul><li>MODELO OSI </li></ul>
Funcionamiento de una red <ul><li>Capa 2 </li></ul><ul><li>Funciona en base a la dirección MAC  </li></ul><ul><li>Utilizad...
Funcionamiento de una red <ul><li>Capa 3 </li></ul><ul><li>Funciona en base a la dirección IP </li></ul><ul><li>Utilizado ...
Funcionamiento de una red <ul><li>Segmentación y VLAN </li></ul><ul><li>- Para evitar exceso de tráfico ARP, se crean VLAN...
<ul><li>FUNCIONAMIENTO  </li></ul><ul><li>DE UN SWITCH </li></ul>
Funcionamiento de un switch <ul><li>Tablas ARP </li></ul><ul><li>Funcionan en capa 2 </li></ul><ul><li>Asignan MACs a boca...
Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>Origen 0000.0000.AAAA Destino 0000.0000.BBBB  1.- El equipo c...
Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 2.- El switch anota en qué puerto está la...
Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 3.- El switch, al no saber en qué puerto ...
Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 Origen 0000.0000.BBBB Destino 0000.0000.A...
Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 0000.0000.BBBB G0/2 5.- El switch apunta ...
Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 0000.0000.BBBB G0/2 6.- El switch manda e...
Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 0000.0000.BBBB G0/2 7.- A partir de este ...
<ul><li>SEGURIDAD Y CONTROL </li></ul>
Seguridad y control <ul><li>Spanning-tree Protocol - Definición </li></ul><ul><li>Protocolo utilizado para evitar bucles e...
Seguridad y control <ul><li>Spanning-tree Protocol - Ataques </li></ul><ul><li>Un atacante puede monitorizar el tráfico de...
Seguridad y control <ul><li>Spanning-tree Protocol - Defensa </li></ul><ul><li>spanning-tree guard root </li></ul><ul><li>...
Seguridad y control <ul><li>Cisco Discovery Protocol - Definición </li></ul><ul><li>Protocolo utilizado para descubrimient...
Seguridad y control <ul><li>Cisco Discovery Protocol - Ataques </li></ul><ul><li>Obteniendo uno de los paquetes de datos, ...
Seguridad y control <ul><li>Cisco Discovery Protocol - Defensa </li></ul><ul><li>no cdp enable </li></ul><ul><li>Desactiva...
Seguridad y control <ul><li>Broadcast - Definición </li></ul><ul><li>Sistema utilizado para enviar un mismo paquete de red...
Seguridad y control <ul><li>Broadcast - Ataques </li></ul><ul><li>Si un equipo manda demasiados paquetes de broadcast, pue...
Seguridad y control <ul><li>Broadcast - Defensa </li></ul><ul><li>Segmentación con VLANs </li></ul><ul><li>Al segmentar la...
Seguridad y control <ul><li>DHCP - Definición </li></ul><ul><li>El protocolo DHCP se utiliza para asignar automáticamente ...
Seguridad y control <ul><li>DHCP - Ataques </li></ul><ul><li>Un atacante puede dar IP a un equipo antes que el servidor of...
Seguridad y control <ul><li>DHCP - Defensa </li></ul><ul><li>DHCP snooping </li></ul><ul><li>El DHCP snooping impide que u...
Seguridad y control <ul><li>DTP - Definición </li></ul><ul><li>Dinamyc Trunking Protocol  es un protocolo que gestiona de ...
Seguridad y control <ul><li>DTP - Ataques </li></ul><ul><li>Mediante la creación de un puerto en modo troncal, un atacante...
Seguridad y control <ul><li>DTP - Defensa </li></ul><ul><li>Switchport mode access </li></ul><ul><li>Configurando todos lo...
Seguridad y control <ul><li>ARP - Definición </li></ul><ul><li>ARP es un protocolo utilizado para funcionar en la capa 2 d...
Seguridad y control <ul><li>ARP - Ataques </li></ul><ul><li>MAC Floding:  Saturando la tabla ARP de un switch con MAC fals...
Seguridad y control <ul><li>ARP - Defensa </li></ul><ul><li>Switchport port-security maximum address <número> </li></ul><u...
Seguridad y control <ul><li>Monitorización - Definición </li></ul><ul><li>Monitorizar es la mejor manera de controlar la r...
Seguridad y control <ul><li>Monitorización - Cacti </li></ul>
Seguridad y control <ul><li>Mapeo - Definición </li></ul><ul><li>Es importante tener cada puerto del switch relacionado co...
Seguridad y control <ul><li>Mapeo – Mapa de bocas </li></ul>
<ul><li>PORTAL CAUTIVO </li></ul>
Portal cautivo <ul><li>Para poder controlar el acceso y facilitar el mapeo de usuarios, se decidió usar un portal cautivo,...
Portal cautivo <ul><li>Configuración general del switch </li></ul><ul><li>Comunidad SNMP </li></ul><ul><li>Recuperación de...
Portal cautivo <ul><li>Configuración de los puertos </li></ul><ul><li>VLAN de acceso preparty </li></ul><ul><li>Seguridad ...
Portal cautivo <ul><li>Configuración de Packet Fence </li></ul><ul><li>URL de redirección </li></ul><ul><li>RADIUS </li></...
Portal cautivo
Portal cautivo
Portal cautivo
Portal cautivo <ul><li>Funcionamiento </li></ul>1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al...
Portal cautivo <ul><li>Funcionamiento </li></ul>1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al...
Portal cautivo <ul><li>Funcionamiento </li></ul>1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al...
Portal cautivo <ul><li>Funcionamiento </li></ul>G1/1 0022.c4fa.bada 20 1.- El equipo se conecta a la red, en una VLAN de a...
Portal cautivo <ul><li>Funcionamiento </li></ul>G1/1 0022.c4fa.bada 20 1.- El equipo se conecta a la red, en una VLAN de a...
Portal cautivo <ul><li>Funcionamiento </li></ul>G1/1 0022.c4fa.bada 12 1.- El equipo se conecta a la red, en una VLAN de a...
Portal cautivo <ul><li>Funcionamiento </li></ul>G1/1 0022.c4fa.bada 12 1.- El equipo se conecta a la red, en una VLAN de a...
Portal cautivo <ul><li>Problemas detectados / solucionados </li></ul><ul><ul><li>Equipos que no finalizan el registro corr...
<ul><li>PROBLEMA CANTABRIANET 2010 </li></ul>
Problema CantabriaNet 2010 <ul><li>Síntomas detectados </li></ul><ul><li>Demasiados paquetes rechazados </li></ul><ul><ul>...
Problema CantabriaNet 2010 <ul><li>Síntomas detectados </li></ul><ul><li>Sesiones finalizadas </li></ul><ul><ul><li>Las se...
Problema CantabriaNet 2010 <ul><li>Intentos de solución </li></ul><ul><li>Modificación de las colas de tráfico </li></ul><...
Problema CantabriaNet 2010 <ul><li>Intentos de solución </li></ul><ul><li>Captura con Wireshark </li></ul><ul><ul><li>Se o...
Problema CantabriaNet 2010 <ul><li>Solución </li></ul><ul><li>Un equipo está saliendo con una MAC de multicast </li></ul><...
Problema CantabriaNet 2010 <ul><li>Solución - Actuación </li></ul><ul><ul><li>Se acude al puesto y se desconecta ese equip...
Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>Origen 0100.0000.AAAA Destino 0000.0000.BBBB  1.- El equipo ma...
Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>2.- El switch recibe el paquete. La MAC de origen, al ser una ...
Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>3.- El switch manda el paquete por la boca en la que tiene la ...
Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>Origen 0000.0000.BBBB Destino 0001.0000.AAAA  0000.0000.BBBB G...
Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>0000.0000.BBBB G0/2 5.- El switch recibe el paquete. Al ser un...
Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>0000.0000.BBBB G0/2 6.- De esta manera, todos los equipos reci...
Problema CantabriaNet 2010 <ul><li>Solución - Medidas </li></ul><ul><ul><li>El portal cautivo, a la hora de hacer el login...
<ul><li>¿Preguntas? </li></ul><ul><li>¿Dudas? </li></ul><ul><li>&quot;Quien pregunta lo que ignora puede pasar por tonto c...
<ul><li>Glosario de términos utilizados en la presentación </li></ul><ul><li>Información obtenida de la Wikipedia </li></ul>
<ul><li>GRACIAS </li></ul><ul><li> </li></ul><ul><li>David Cristóbal López </li></ul><ul><li>“ Osito” </li></ul><ul><li>[...
Próxima SlideShare
Cargando en…5
×

La red de la Cantabria Net al descubierto

2.362 visualizaciones

Publicado el

Charla impartida dentro de la LAN Party "Juventud Cantabria Net", en Santander, del 10 al 13 de Noviembre de 2011. Está modificada para omitir las animaciones y contiene un glosario de terminología.

Publicado en: Educación
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
2.362
En SlideShare
0
De insertados
0
Número de insertados
965
Acciones
Compartido
0
Descargas
18
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

La red de la Cantabria Net al descubierto

  1. 1. Cantabria Net 2011 Sistemas de red David Cristóbal López “Osito” 10 al 13 de Noviembre de 2011
  2. 2. Índice <ul><li>Introducción </li></ul><ul><li>Montaje </li></ul><ul><li>Esquemas de red </li></ul><ul><li>Funcionamiento de una red </li></ul><ul><li>Funcionamiento de un switch </li></ul><ul><li>Seguridad y control </li></ul><ul><li>Portal cautivo </li></ul><ul><li>Problema CantabriaNet 2010 </li></ul><ul><li>Preguntas - Dudas </li></ul>
  3. 3. <ul><li>INTRODUCCIÓN </li></ul>
  4. 4. Introducción <ul><li>Juventud Cantabria Net se celebra desde 2001 </li></ul><ul><li>Esta es su 11ª edición </li></ul><ul><li>Empezó en el Astillero, trasladándose en 2008 al Palacio de Congresos de Santander </li></ul>
  5. 5. Introducción <ul><li>Participantes </li></ul><ul><li>600 participantes </li></ul><ul><li>Aprox. 50 personas de organización (logística) </li></ul><ul><li>Aprox. 20 técnicos (Servidores, redes, juegos) </li></ul><ul><li>Stands </li></ul><ul><li>Future Modding Tournament </li></ul><ul><li>Cámaras vigilancia </li></ul>
  6. 6. Introducción <ul><li>Infraestructura eléctrica </li></ul><ul><li>35.000m de cable de red UTP Cat. 6 </li></ul><ul><li>3.000m de cable eléctrico </li></ul><ul><li>7 Armarios de cableado </li></ul><ul><li>350 Magnetotérmicos y diferenciales </li></ul><ul><li>245.000 W de potencia eléctrica </li></ul><ul><li>50 m de fibra óptica </li></ul><ul><li>1000Mbps de conectividad </li></ul>
  7. 7. Introducción <ul><li>2 Switches Cisco 6509 </li></ul><ul><li>- 1 Supervisora </li></ul><ul><li>- 8 Controladoras 48 bocas Gigabit Ethernet </li></ul><ul><li>384 bocas Gigabit cada switch </li></ul><ul><li>2 Conexiones 10Gb </li></ul>
  8. 8. Introducción <ul><li>2 Switches Cisco 3560 </li></ul><ul><li>Conexión de Telefónica de fibra 1Gb a internet </li></ul>
  9. 9. Introducción <ul><li>1 Allot NetEnforcer 1440 </li></ul><ul><li>Monitorización y filtrado en tiempo real 2Gbps </li></ul>
  10. 10. Introducción <ul><li>1 Balanceador Ascenlink </li></ul><ul><li>Balanceador de líneas ADSL, como backup a la salida de internet, con 8 líneas </li></ul>
  11. 11. Introducción <ul><li>2 Racks de Servidores </li></ul><ul><li>Utilizados para toda la infraestructura: </li></ul><ul><li>- Portal Cautivo, DHCP, Bases de datos </li></ul>
  12. 12. Introducción <ul><li>2 Cámaras de vigilancia </li></ul><ul><li>Transmisión en tiempo real al público de imágenes de la party </li></ul>
  13. 13. Introducción <ul><li>Mainframe IBM 7040-681 &quot;Regatta&quot; </li></ul><ul><li>- 64 GB RAM </li></ul><ul><li>- 32 Procesadores POWER4 1,3 GHz, 5,6 MB shared L2 Cache, 128 MB L3 ECC cache. </li></ul><ul><li>- 12 tarjetas de Red Gigabit Ethernet. </li></ul><ul><li>Armario de discos EMC Clariion CX700 </li></ul><ul><li>- 8 canales de fiber-channel a 2 Gbps SW multimodo </li></ul><ul><li>- 4 cajones con 15 discos de 146 GB Fiber-channel </li></ul><ul><li>- 7 cajones con 15 discos de 300 GB Fiber-channel </li></ul>Urtzi Larrieta www.yggdrasil.tv
  14. 14. <ul><li>MONTAJE </li></ul>
  15. 15. Montaje <ul><li>Cableado eléctrico estructurado </li></ul><ul><li>Cada media fila lleva su propio magnetotérmico </li></ul><ul><li>Cada fila lleva un térmico diferencial </li></ul><ul><li>Objetivo: Evitar un apagón general de la party en caso de cortocircuito o sobrecarga </li></ul>
  16. 16. Montaje <ul><li>SAI de 6KVA </li></ul><ul><li>Alimenta núcleo de comunicaciones </li></ul><ul><li>(Switches, NetEnforcer, balanceador) </li></ul><ul><li>Autonomía de 1 hora aproximadamente </li></ul><ul><li>Objetivo: En caso de apagón, eliminar demoras en el arranque de los switches y comunicaciones (unos 20 min.) </li></ul>
  17. 17. Montaje <ul><li>Redundancia de hardware de salida a internet </li></ul><ul><li>Doble switch de salida a internet de Telefónica </li></ul><ul><li>Configuración clonada de uno a otro </li></ul><ul><li>Objetivo: Si hay avería en el switch de salida, se cambian los cables y no hay interrupción de servicio </li></ul>
  18. 18. Montaje <ul><li>Balanceador de líneas ADSL </li></ul><ul><li>Balancea 8 líneas ADSL </li></ul><ul><li>Encendido pero en espera, para no demorar arranque </li></ul><ul><li>Objetivo: Si cae la salida por fibra, se utilizan las líneas ADSL para no estar sin internet </li></ul>
  19. 19. Montaje <ul><li>Monitorización – filtrado de salida a internet </li></ul><ul><li>Allot NetEnforcer, 2Gbps de velocidad </li></ul><ul><li>Continuamente monitorizando, pero sin filtrar </li></ul><ul><li>Objetivo: En caso de saturación de la salida a internet por programas P2P o cualquier otra incidencia, filtrar por políticas para garantizar servicio </li></ul>
  20. 20. <ul><li>ESQUEMAS DE RED </li></ul>
  21. 21. Esquemas de red <ul><li>Topología </li></ul>
  22. 22. Esquemas de red <ul><li>Red General </li></ul>
  23. 23. Esquemas de red <ul><li>Flujo de tráfico </li></ul>
  24. 24. Esquemas de red <ul><li>Centro de comunicaciones </li></ul>
  25. 25. <ul><li>FUNCIONAMIENTO </li></ul><ul><li>DE UNA RED </li></ul>
  26. 26. Funcionamiento de una red <ul><li>MODELO OSI </li></ul>
  27. 27. Funcionamiento de una red <ul><li>Capa 2 </li></ul><ul><li>Funciona en base a la dirección MAC </li></ul><ul><li>Utilizado por los switches </li></ul><ul><li>Tráfico ARP </li></ul>
  28. 28. Funcionamiento de una red <ul><li>Capa 3 </li></ul><ul><li>Funciona en base a la dirección IP </li></ul><ul><li>Utilizado por los routers </li></ul><ul><li>En LAN, se asocia a una MAC mediante la tabla ARP </li></ul>
  29. 29. Funcionamiento de una red <ul><li>Segmentación y VLAN </li></ul><ul><li>- Para evitar exceso de tráfico ARP, se crean VLANs </li></ul><ul><li>- Cada VLAN precisa de su propio direccionamiento IP </li></ul>
  30. 30. <ul><li>FUNCIONAMIENTO </li></ul><ul><li>DE UN SWITCH </li></ul>
  31. 31. Funcionamiento de un switch <ul><li>Tablas ARP </li></ul><ul><li>Funcionan en capa 2 </li></ul><ul><li>Asignan MACs a bocas del switch </li></ul><ul><li>Se van rellenando dinámicamente </li></ul><ul><li>Las entradas tienen timeout </li></ul><ul><li>Las tablas son limitadas, en caso de llenarse, elimina las entradas más antiguas </li></ul>
  32. 32. Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>Origen 0000.0000.AAAA Destino 0000.0000.BBBB 1.- El equipo con la MAC 0000.0000.AAAA manda un paquete para comunicarse con el equipo con la MAC 0000.0000.BBBB                 Pto. MAC
  33. 33. Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 2.- El switch anota en qué puerto está la MAC origen dentro de la tabla ARP                 Pto. MAC
  34. 34. Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 3.- El switch, al no saber en qué puerto está la MAC destino, manda el paquete por todos los puertos excepto por el que lo ha recibido                 Pto. MAC
  35. 35. Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 Origen 0000.0000.BBBB Destino 0000.0000.AAAA 4.- El equipo con la MAC 0000.0000.BBBB responde a la petición mandando un paquete con su MAC de origen y la del equipo 0000.0000.AAAA de destino                 Pto. MAC
  36. 36. Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 0000.0000.BBBB G0/2 5.- El switch apunta la MAC 0000.0000.BBBB y la añade a la tabla ARP, en el puerto G0/2 que es donde ha recibido el paquete                 Pto. MAC
  37. 37. Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 0000.0000.BBBB G0/2 6.- El switch manda el paquete únicamente por el puerto G0/1 que es donde tiene registrado que está la MAC 0000.0000.AAAA                 Pto. MAC
  38. 38. Funcionamiento de un switch <ul><li>Funcionamiento </li></ul>0000.0000.AAAA G0/1 0000.0000.BBBB G0/2 7.- A partir de este momento, la comunicación se realiza directamente, sin mandar paquetes a otros puertos, ya que el switch conoce la ubicación de ambas MACs                 Pto. MAC
  39. 39. <ul><li>SEGURIDAD Y CONTROL </li></ul>
  40. 40. Seguridad y control <ul><li>Spanning-tree Protocol - Definición </li></ul><ul><li>Protocolo utilizado para evitar bucles en la red </li></ul><ul><li>Se basa en un switch root que es el que centraliza toda la comunicación </li></ul><ul><li>Utiliza BPDUs para obtener la topología de la red y notificar cambios </li></ul>
  41. 41. Seguridad y control <ul><li>Spanning-tree Protocol - Ataques </li></ul><ul><li>Un atacante puede monitorizar el tráfico de red y ver que le llegan BPDUs a su equipo </li></ul><ul><li>Después, transmitir BPDUs modificadas, indicando que él es el switch root para redirigir el tráfico a su equipo para hacer un Man in the Middle </li></ul>
  42. 42. Seguridad y control <ul><li>Spanning-tree Protocol - Defensa </li></ul><ul><li>spanning-tree guard root </li></ul><ul><li>Evita que en esa boca del switch lleguen peticiones para ser root , aunque permite BPDUs </li></ul><ul><li>spanning-tree bpdu filter enable </li></ul><ul><li>Filtra las BPDUs, evitando que se publiquen por el interfaz donde se ha aplicado el comando </li></ul><ul><li>spanning-tree bpduguard enable </li></ul><ul><li>En caso de llegar una BPDU por ese puerto, lo desactiva para evitar problemas </li></ul>
  43. 43. Seguridad y control <ul><li>Cisco Discovery Protocol - Definición </li></ul><ul><li>Protocolo utilizado para descubrimiento de equipos Cisco, versiones de IOS y demás información </li></ul><ul><li>Utilizado para configuración de teléfonos VoIP </li></ul>
  44. 44. Seguridad y control <ul><li>Cisco Discovery Protocol - Ataques </li></ul><ul><li>Obteniendo uno de los paquetes de datos, se obtiene información precisa del hardware de red y topología </li></ul><ul><li>Conociendo estos datos, pueden buscarse bugs conocidos en ese hardware y realizar un ataque </li></ul>
  45. 45. Seguridad y control <ul><li>Cisco Discovery Protocol - Defensa </li></ul><ul><li>no cdp enable </li></ul><ul><li>Desactiva la publicación de CDP en esa boca del switch, para evitar obtención de los datos </li></ul>
  46. 46. Seguridad y control <ul><li>Broadcast - Definición </li></ul><ul><li>Sistema utilizado para enviar un mismo paquete de red a todos los equipos de la red </li></ul><ul><li>Usado para resoluciones ARP, juegos en red, descubrimiento de equipos… </li></ul><ul><li>Utiliza la IP de broadcast de la red o la MAC de broadcast FF:FF:FF:FF:FF:FF </li></ul>
  47. 47. Seguridad y control <ul><li>Broadcast - Ataques </li></ul><ul><li>Si un equipo manda demasiados paquetes de broadcast, puede saturar a los demás, ralentizando la red </li></ul><ul><li>Los equipos utilizan continuamente este sistema, por lo que no puede eliminarse </li></ul>
  48. 48. Seguridad y control <ul><li>Broadcast - Defensa </li></ul><ul><li>Segmentación con VLANs </li></ul><ul><li>Al segmentar la red con VLANs, se crean diferentes dominios de broadcast </li></ul><ul><li>Así, se evita que el broadcast de una VLAN llegue a los equipos de otra VLAN </li></ul>
  49. 49. Seguridad y control <ul><li>DHCP - Definición </li></ul><ul><li>El protocolo DHCP se utiliza para asignar automáticamente una IP a un equipo cuando se conecta a una red </li></ul><ul><li>Se basa en un intercambio de paquetes: Discover, Offer, Request, ACK </li></ul>
  50. 50. Seguridad y control <ul><li>DHCP - Ataques </li></ul><ul><li>Un atacante puede dar IP a un equipo antes que el servidor oficial, creando un ataque Man in the Middle </li></ul><ul><li>De esa manera, puede filtrar el tráfico y robar datos </li></ul>
  51. 51. Seguridad y control <ul><li>DHCP - Defensa </li></ul><ul><li>DHCP snooping </li></ul><ul><li>El DHCP snooping impide que una boca configurada como no confiable mande paquetes Offer , evitando respuestas no autorizadas </li></ul><ul><li>Las bocas de los switches donde están conectados los servidores DHCP deben estar configuradas como confiables </li></ul>
  52. 52. Seguridad y control <ul><li>DTP - Definición </li></ul><ul><li>Dinamyc Trunking Protocol es un protocolo que gestiona de manera dinámica la creación de puertos troncales </li></ul><ul><li>Intercambia paquetes DTP para comprobar si al otro lado del cable hay un hardware que necesita un modo trunk </li></ul>
  53. 53. Seguridad y control <ul><li>DTP - Ataques </li></ul><ul><li>Mediante la creación de un puerto en modo troncal, un atacante puede obtener información sobre VLANs, mensajes de control de la red, etc. </li></ul>
  54. 54. Seguridad y control <ul><li>DTP - Defensa </li></ul><ul><li>Switchport mode access </li></ul><ul><li>Configurando todos los puertos no troncales como de acceso, se desactiva el DTP </li></ul><ul><li>Cualquier paquete recibido en esas bocas referente a DTP, será descartado </li></ul>
  55. 55. Seguridad y control <ul><li>ARP - Definición </li></ul><ul><li>ARP es un protocolo utilizado para funcionar en la capa 2 del modelo OSI </li></ul><ul><li>Mediante la tabla ARP, el equipo asigna una IP a una MAC, para no tener que preguntar cada vez que se quiera conectar a un equipo remoto con el que ya ha establecido conexiones anteriores </li></ul>
  56. 56. Seguridad y control <ul><li>ARP - Ataques </li></ul><ul><li>MAC Floding: Saturando la tabla ARP de un switch con MAC falsas, conseguimos que mande tráfico a todas las bocas, al eliminar la MAC de su tabla </li></ul><ul><li>ARP Spoofing: También podemos mandar paquetes falseando identidad, para que los equipos asignen una IP concreta a una MAC de nuestra elección </li></ul>
  57. 57. Seguridad y control <ul><li>ARP - Defensa </li></ul><ul><li>Switchport port-security maximum address <número> </li></ul><ul><li>Marcando un límite de MACs aprendidas por cada boca, elilminamos riesgos de bombardeo de MAC flooding </li></ul><ul><li>Binding de IP-MAC </li></ul><ul><li>Estableciendo una relación IP-MAC de confianza para los servidores críticos, evitamos que, en caso de que alguien lance un paquete para cambiar la relación, afecte al funcionamiento de la red </li></ul>
  58. 58. Seguridad y control <ul><li>Monitorización - Definición </li></ul><ul><li>Monitorizar es la mejor manera de controlar la red y detectar fallos y problemas </li></ul><ul><li>También nos permite obtener estadísticas de tráfico de cara a mejorar para futuras ediciones </li></ul><ul><li>Para poder hacerlo, utilizamos Cacti, un programa open-source que se puede manejar vía web </li></ul>
  59. 59. Seguridad y control <ul><li>Monitorización - Cacti </li></ul>
  60. 60. Seguridad y control <ul><li>Mapeo - Definición </li></ul><ul><li>Es importante tener cada puerto del switch relacionado con el puesto que conecta </li></ul><ul><li>Así, en caso de tener un problema con un equipo en una boca, al momento sabemos el sitio físico donde está </li></ul><ul><li>De esta manera, se reduce el tiempo de respuesta en caso de una incidencia </li></ul>
  61. 61. Seguridad y control <ul><li>Mapeo – Mapa de bocas </li></ul>
  62. 62. <ul><li>PORTAL CAUTIVO </li></ul>
  63. 63. Portal cautivo <ul><li>Para poder controlar el acceso y facilitar el mapeo de usuarios, se decidió usar un portal cautivo, llamado Packet Fence </li></ul><ul><li>El control se realiza por MAC mediante los sistemas de seguridad del hardware de red </li></ul><ul><li>Utiliza el protocolo SNMP para las notificaciones </li></ul><ul><li>www.packetfence.org </li></ul>
  64. 64. Portal cautivo <ul><li>Configuración general del switch </li></ul><ul><li>Comunidad SNMP </li></ul><ul><li>Recuperación de errores automática </li></ul>
  65. 65. Portal cautivo <ul><li>Configuración de los puertos </li></ul><ul><li>VLAN de acceso preparty </li></ul><ul><li>Seguridad en el puerto </li></ul><ul><li>MAC falsa fijada por configuración </li></ul><ul><li>Envío de traps SNMP cuando se añada una dirección </li></ul>
  66. 66. Portal cautivo <ul><li>Configuración de Packet Fence </li></ul><ul><li>URL de redirección </li></ul><ul><li>RADIUS </li></ul><ul><li>DHCP </li></ul><ul><li>DNS </li></ul><ul><li>Configuración de los switches </li></ul><ul><ul><li>VLANs </li></ul></ul><ul><ul><li>SNMP </li></ul></ul><ul><ul><li>IPs </li></ul></ul><ul><ul><li>Fabricante – Modelo </li></ul></ul><ul><ul><li>Puertos no gestionados (Trunks) </li></ul></ul>
  67. 67. Portal cautivo
  68. 68. Portal cautivo
  69. 69. Portal cautivo
  70. 70. Portal cautivo <ul><li>Funcionamiento </li></ul>1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al switch automáticamente G1/1 001d.0001.0001 20 VLAN PARTY VLAN 20 G1/1 VLAN MAC Puerto
  71. 71. Portal cautivo <ul><li>Funcionamiento </li></ul>1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al switch automáticamente 2.- El switch detecta una MAC diferente a la configurada y lanza un aviso al servidor, indicando la nueva MAC G1/1 001d.0001.0001 20 VLAN PARTY VLAN 20 G1/1 VLAN MAC Puerto
  72. 72. Portal cautivo <ul><li>Funcionamiento </li></ul>1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al switch automáticamente 2.- El switch detecta una MAC diferente a la configurada y lanza un aviso al servidor, indicando la nueva MAC 3.- El switch sustituye la MAC previa por la actual del equipo conectado G1/1 0022.c4fa.bada 20 VLAN PARTY VLAN 20 G1/1 VLAN MAC Puerto
  73. 73. Portal cautivo <ul><li>Funcionamiento </li></ul>G1/1 0022.c4fa.bada 20 1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al switch automáticamente 2.- El switch detecta una MAC diferente a la configurada y lanza un aviso al servidor, indicando la nueva MAC 3.- El switch sustituye la MAC previa por la actual del equipo conectado 4.- El servidor registra esa MAC en ese puesto y le da una IP de rango privado VLAN PARTY VLAN 20 G1/1 VLAN MAC Puerto
  74. 74. Portal cautivo <ul><li>Funcionamiento </li></ul>G1/1 0022.c4fa.bada 20 1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al switch automáticamente 2.- El switch detecta una MAC diferente a la configurada y lanza un aviso al servidor, indicando la nueva MAC 3.- El switch sustituye la MAC previa por la actual del equipo conectado 4.- El servidor registra esa MAC en ese puesto y le da una IP de rango privado 5.- El usuario abre un navegador y le pide usuario y password VLAN PARTY VLAN 20 G1/1 VLAN MAC Puerto
  75. 75. Portal cautivo <ul><li>Funcionamiento </li></ul>G1/1 0022.c4fa.bada 12 1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al switch automáticamente 2.- El switch detecta una MAC diferente a la configurada y lanza un aviso al servidor, indicando la nueva MAC 3.- El switch sustituye la MAC previa por la actual del equipo conectado 4.- El servidor registra esa MAC en ese puesto y le da una IP de rango privado 5.- El usuario abre un navegador y le pide usuario y password 6.- El servidor valida en base de datos el usuario, cambia en el switch la VLAN VLAN PARTY G1/1 VLAN MAC Puerto
  76. 76. Portal cautivo <ul><li>Funcionamiento </li></ul>G1/1 0022.c4fa.bada 12 1.- El equipo se conecta a la red, en una VLAN de acceso, y se notifica al switch automáticamente 2.- El switch detecta una MAC diferente a la configurada y lanza un aviso al servidor, indicando la nueva MAC 3.- El switch sustituye la MAC previa por la actual del equipo conectado 4.- El servidor registra esa MAC en ese puesto y le da una IP de rango privado 5.- El usuario abre un navegador y le pide usuario y password 6.- El servidor valida en base de datos el usuario, cambia en el switch la VLAN 7.- El servidor otorga una IP pública al equipo VLAN PARTY G1/1 VLAN MAC Puerto
  77. 77. Portal cautivo <ul><li>Problemas detectados / solucionados </li></ul><ul><ul><li>Equipos que no finalizan el registro correctamente porque no cambia la VLAN el switch </li></ul></ul><ul><ul><li>Consolas (Se registran manualmente) </li></ul></ul><ul><ul><li>Switches (Configuración a mano en el switch) </li></ul></ul><ul><ul><li>Equipos con IP fija (Pasar a DHCP) </li></ul></ul><ul><ul><li>Bloqueos en el servidor Packet Fence (Reinicio del servicio) </li></ul></ul><ul><ul><li>Equipos que aleatoriamente utilizan otra MAC (Sobre todo MAC OS X Lion) </li></ul></ul><ul><ul><li>Y los que lleguen…. </li></ul></ul>
  78. 78. <ul><li>PROBLEMA CANTABRIANET 2010 </li></ul>
  79. 79. Problema CantabriaNet 2010 <ul><li>Síntomas detectados </li></ul><ul><li>Demasiados paquetes rechazados </li></ul><ul><ul><li>Interfaces rechazando hasta 3.000.000 de paquetes por hora </li></ul></ul><ul><ul><li>Interfaces sin tráfico propio rechazando paquetes </li></ul></ul><ul><li>Salida a internet saturada pero sin tráfico </li></ul><ul><ul><li>La salida a internet (1Gbps) iba gradualmente bajando el ancho de banda </li></ul></ul><ul><ul><li>No había tráfico útil (http, ftp, P2P) </li></ul></ul><ul><li>Aumento considerable de CPU en los switches </li></ul><ul><ul><li>Subida hasta un 20% (Normalmente usan un 5%) </li></ul></ul><ul><li>Ralentización de la comunicación </li></ul><ul><ul><li>Pings con 800ms de retardo o más </li></ul></ul>
  80. 80. Problema CantabriaNet 2010 <ul><li>Síntomas detectados </li></ul><ul><li>Sesiones finalizadas </li></ul><ul><ul><li>Las sesiones del navegador se cortaban sin motivo aparente </li></ul></ul><ul><li>Reinicio sin efecto </li></ul><ul><ul><li>Reiniciar los switches no solucionaba el problema </li></ul></ul><ul><li>Colas de tráfico sin problemas </li></ul><ul><ul><li>Las colas de paquetes de los switches no daban problemas de configuración </li></ul></ul><ul><li>Sin tráfico malicioso </li></ul><ul><ul><li>No había indicios de ataque </li></ul></ul><ul><ul><li>No había avisos de virus de red </li></ul></ul><ul><ul><li>Todas las bocas estaban afectadas por igual </li></ul></ul>
  81. 81. Problema CantabriaNet 2010 <ul><li>Intentos de solución </li></ul><ul><li>Modificación de las colas de tráfico </li></ul><ul><ul><li>Cambio en las colas de tráfico, filtrando tráfico crítico y etiquetándolo </li></ul></ul><ul><li>Listas de acceso </li></ul><ul><ul><li>Intento de filtrar mediante ACLs el tráfico “prescindible” y potencialmente problemático </li></ul></ul><ul><li>Verificación de puertos del switch </li></ul><ul><ul><li>Algunos puertos estaban a 10Mbps y podían estar ralentizando la red </li></ul></ul><ul><li>Cambios en las VLANs de algunos puertos de prueba </li></ul><ul><ul><li>Cambio a otra VLAN diferente hace que funcione bien, por lo que el problema está en la propia VLAN de la party </li></ul></ul>
  82. 82. Problema CantabriaNet 2010 <ul><li>Intentos de solución </li></ul><ul><li>Captura con Wireshark </li></ul><ul><ul><li>Se observa mucho tráfico TCP/IP (algo lógico en una party) </li></ul></ul><ul><li>Análisis paquete a paquete de la captura </li></ul><ul><ul><li>Sesiones TCP/IP enteras de un equipo que no es el que ha capturado </li></ul></ul>
  83. 83. Problema CantabriaNet 2010 <ul><li>Solución </li></ul><ul><li>Un equipo está saliendo con una MAC de multicast </li></ul><ul><ul><li>Las MACs de multicast no se registran en tablas ARP </li></ul></ul><ul><ul><li>El tráfico multicast lo reciben todos los equipos de la red </li></ul></ul><ul><li>Localizar el equipo </li></ul><ul><ul><li>Al no registrarse en la tabla ARP, no se puede localizar desde el switch </li></ul></ul><ul><ul><li>La captura muestra MAC e IP </li></ul></ul><ul><ul><li>Se lanza un ataque de descubrimiento de equipo a esa IP, el nombre de equipo no dice nada </li></ul></ul><ul><ul><li>Mediante el portal cautivo, tenemos relacionados IP, MAC y usuario </li></ul></ul><ul><ul><li>¡¡LOCALIZADO!! Fila X Puesto X </li></ul></ul>
  84. 84. Problema CantabriaNet 2010 <ul><li>Solución - Actuación </li></ul><ul><ul><li>Se acude al puesto y se desconecta ese equipo </li></ul></ul><ul><ul><li>Deja de haber paquetes rechazados, se restablecen todos los puertos, internet vuelve a ir correctamente y los pings vuelven a ser normales </li></ul></ul><ul><ul><li>Se analiza el equipo </li></ul></ul><ul><ul><li>La dirección MAC es correcta en el adaptador de red pero Windows la invierte al salir a la red </li></ul></ul><ul><ul><li>Ej: 1234.5678.9111 => 1191.7856.3412 </li></ul></ul><ul><ul><li>Se revisa el equipo en busca de virus, no se detectan </li></ul></ul><ul><ul><li>Es un Windows descargado de internet ya “tuneado” </li></ul></ul><ul><ul><li>Se fuerza la MAC a salir correctamente y el equipo se reintegra en la red sin dar problemas </li></ul></ul>
  85. 85. Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>Origen 0100.0000.AAAA Destino 0000.0000.BBBB 1.- El equipo manda un paquete a otro equipo, con MAC destino 0000.0000.BBBB 0000.0000.BBBB G0/2                 Pto. MAC
  86. 86. Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>2.- El switch recibe el paquete. La MAC de origen, al ser una MAC de broadcast (8º bit a uno), no se guarda en la tabla ARP 0000.0000.BBBB G0/2                 Pto. MAC
  87. 87. Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>3.- El switch manda el paquete por la boca en la que tiene la MAC de destino 0000.0000.BBBB G0/2                 Pto. MAC
  88. 88. Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>Origen 0000.0000.BBBB Destino 0001.0000.AAAA 0000.0000.BBBB G0/2 4.- El equipo 0000.0000.BBBB contesta al paquete con la MAC 0100.0000.AAAA                 Pto. MAC
  89. 89. Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>0000.0000.BBBB G0/2 5.- El switch recibe el paquete. Al ser una MAC de broadcast, automáticamente lo envía a todos los puertos excepto en el que lo ha recibido                 Pto. MAC
  90. 90. Problema CantabriaNet 2010 <ul><li>Funcionamiento </li></ul>0000.0000.BBBB G0/2 6.- De esta manera, todos los equipos reciben, aparte de los paquetes de red destinados a ellos, los destinados al equipo 0100.0000.AAAA, provocando saturación en los interfaces y pérdida de paquetes, ya que el switch, al no poder enviar tantos, descarta los últimos recibidos                 Pto. MAC
  91. 91. Problema CantabriaNet 2010 <ul><li>Solución - Medidas </li></ul><ul><ul><li>El portal cautivo, a la hora de hacer el login del usuario, verifica que la MAC sea correcta (ni broadcast ni multicast) </li></ul></ul><ul><ul><li>En caso de haber un problema, mueve ese equipo a una VLAN aislada y avisa al usuario que pase por control </li></ul></ul><ul><ul><li>El equipo de la persona que generó el problema ha sido revisado nada más llegar a la party </li></ul></ul>
  92. 92. <ul><li>¿Preguntas? </li></ul><ul><li>¿Dudas? </li></ul><ul><li>&quot;Quien pregunta lo que ignora puede pasar por tonto cinco minutos; pero quien jamás se atreve a formular pregunta alguna, será tonto toda su vida&quot;. </li></ul><ul><li>Proverbio chino </li></ul>
  93. 93. <ul><li>Glosario de términos utilizados en la presentación </li></ul><ul><li>Información obtenida de la Wikipedia </li></ul>
  94. 94. <ul><li>GRACIAS </li></ul><ul><li> </li></ul><ul><li>David Cristóbal López </li></ul><ul><li>“ Osito” </li></ul><ul><li>[email_address] </li></ul><ul><li>www.nosecnofun.com </li></ul>

×