El documento explica la naturaleza de las LAN parties y los aspectos técnicos involucrados, incluyendo protocolos de red y medidas de seguridad críticas. Aborda problemas comunes de seguridad, como el ARP spoofing y sniffing, y sugerencias para mitigarlos, así como la importancia de la documentación y la monitorización en el mantenimiento de redes. Además, enfatiza la necesidad de estar actualizado ante nuevas amenazas en el mundo informático.

1. Gumiparty 007 Sistemas de red y seguridad Ataques y defensa David Cristóbal López “ Osito”

2. ¿Qué es una LAN Party? Una concentración de personas aficionadas a la informática y la tecnología

3. ¿Quién acude? Todo tipo de gente. Profesionales, aficionados y gente que “no tiene ni idea”

4. ¿Qué se hace? Hablar, jugar, intercambios de ficheros, exponer – ver equipos modeados… En definitiva: APRENDER

5. Cosas necesarias para una party Participantes con un ordenador Electricidad RED ETHERNET

6. Protocolos que intervienen en la red DIRECTOS: Comunican directamente equipos y ofrecen servicios INDIRECTOS: Facilitan la comunicación, resolución de equipos, monitorización…

7. HTTP – Navegación web, correo, juegos online FTP – Descargas puntuales de ficheros POP3, SMTP – Correo Direct Connect – Intercambio de ficheros PROTOCOLOS DIRECTOS

8. ARP – Resolución de direcciones en capa 2 STP – Prevenir y corregir bucles de conmutación LLDP, CDP – Descubrimiento de sistemas de red DHCP – Asignación dinámica de IP DNS – Resolución de nombres de dominio PROTOCOLOS INDIRECTOS

9. SEGURIDAD

10. ARP Flooding Inundar la tabla ARP del switch para saturarla y recibir tráfico destinado a otros equipos Solucion: Limitar las MACs aprendidas por cada boca

11. ARP Spoofing – Man in the Middle Enviar datos envenenados para cambiar la asignación IP-MAC de un equipo Solucion: Establecer enlaces fijos IP-MAC en el switch para las direcciones críticas. IDS para controlar actualizaciones ARP

12. DHCP Snooping Suplantar al servidor DHCP ofreciendo una IP falsa que mande a nuestro equipo para poder interceptar el tráfico Solucion: Configurar todas las bocas del switch como “no confiables” excepto la que lleva el servidor DHCP

13. STP root spoofing – info sniffing Suplantar el switch root de STP para interceptar el tráfico de toda la red. Obtener información del proceso de STP mirando las BPDUs publicadas Solucion: STP root guard, BPDU guar y BPDU filter en las bocas que no son de confianza

14. Sniffing Obtencion mediante un sniffer de información sensible en la red, como usuarios, passwords, direcciones de gestión… Solucion: Usar encriptación, SSH, HTTPS…

15. LLDP/CDP Protocolos de descubrimiento de equipos en la red. Pueden ofrecer a un usuario información sensible de la red. Solución: Desactivar esos servicios. Activarlos sólo en las bocas necesarias

16. MTU - Giants MTU es la cantidad de información que se puede mandar en un paquete. Si se cambia, puede saturar un interfaz de red. Solución: Configurar las bocas del switch con un tamaño preestablecido

17. Acceso no autorizado al hardware Los sistemas de red llevan gestión que solamente debe ser accesible por el administrador Solución: Usuarios, passwords, restricciones de gestión por IP-MAC

18. Malware Virus, troyanos, rootkits… que circulan por la red. Es tan importante evitar que entren como evitar que salgan, ya que un equipo puede infectar a otros o enviar información sensible. Solución: Proxy, firewall, SNORT, SinkHole

19. Monitorización y documentación

20. Monitorización de alertas Es importante monitorizar la red, recogiendo las alertas que puedan generarse, para atajar los problemas en el menor tiempo posible y evitar que se magnifiquen. Para ello, se usan sistemas de recolección y correlación de logs, alertas, SNMP…

21. Mapas de bocas Con el fin de localizar cuanto antes a un usuario, es importante saber en todo momento dónde está cada conexión en el switch. Para ello, se generan “Mapas de bocas”, indicando cada boca y qué está conectado a ella

22. Línea de base de configuración y ARP Cuando hay un fallo, la configuración y la tabla ARP pueden quedar inservibles. Por ello, es importante tener una copia de seguridad de la configuración funcional, para poder reemplazar y solucionar el problema más rápidamente

23. Documentación Una red sin documentar es un tremendo puzzle, imposible de mantener y de resolver problemas. Por ello, es importante documentar bien toda la conectividad.

24. Mapas de cableado

26. Esquemas de flujo de datos

27. Estandarización Mediante la estandarización se consigue que cualquiera pueda resolver problemas sin necesidad de estudiar toda la documentación Hay protocolos establecidos para cableado estructurado, crimpado de conectores RJ45…

28. Otros problemas - Humanos No todos los problemas son derivados de fallos técnicos o de atacantes. El factor humano es muy importante, no dejarse llevar por la vanidad, infravalorar a los demás o la desinformación

29. Vanidad No importa lo bueno que seas, lo que sepas o lo que hayas sido capaz de crear. Siempre hay alguien mejor que tú, nunca hay que bajar la guardia ni confiarse. La mejor manera de prevenir un problema mayor, es atajarlo desde el principio y eso sólo se logra estando atento a lo que pueda surgir

30. Infravalorar al “enemigo” Muchas veces se infravalora a una persona porque no se dedica al mundo de la informática o la seguridad, o incluso que sean de regiones “poco informáticas” Los ataques pueden venir de las personas que menos te esperas y alguien con tiempo puede adquirir conocimientos que pongan en jaque nuestra red.

31. Mundo dinámico La informática no es estática, está “viva”. Todos los días surgen nuevos virus, ataques, programas, sistemas. Mantenerse informado (blogs, revistas, congresos, podcasts, webcasts) es vital para poder estar al día. También es importante actualizar los equipos (software, firmware) para evitar vulnerabilidades conocidas

32. Demostración de ataques

33. ¿Preguntas?

34. David Cristóbal López “ Osito” www.nosecnofun.com [email_address] GRACIAS 