domingo, 20 de noviembre de 2016

Segmenta la red por seguridad [Parte I]

Segmentar la red es algo muy aconsejable para mejorar tu seguridad. Si segmentas la red, en caso de que un intruso entre en tu red, podría acceder a menos recursos que si la red no estuviese segmentada, por eso, hoy quiero empezar una serie de artículos para mejorar tu red, comenzando desde lo más básico, hasta lo más complejo.



Lo primero, obviamente, es saber cómo está distribuida tu red para así poder protegerla, es obvio ¿Cómo vas a proteger algo que no sabes cómo está montado?


Supongamos que disponemos de la siguiente distribución de red, en la que en dos switch tenemos unidos 2 equipos terminales y en otros 2 switch, tenemos conectados 3 equipos terminales. Ojo, debo recordar que para tener equipos conectados a la red, no se necesita que estén conectados a Internet.



Lo primero que deberíamos hacer es crear una diferentes VLAN. Vamos a imaginarnos que estamos montando de la red de un aula con 10 equipos.




Haremos que cada equipo, pertenezca a una VLAN determinada, para ésto, deberemos de irnos al switch y configurarlo mediante comandos, algo bastante sencillo.


Lo siguiente será, para que un equipo pueda enviar tramas a otro equipo que esté en otro switch, se deberá de poner los switch en modo truncado, al menos uno, los demás podrían ponerse en desirable, pues éstos se autoconfigurarán a modo truncado.


Obviamente, un equipo podrá enviar tramas a otro equipo en otro switch, si ese otro equipo pertenece a la misma VLAN que a la que pertenece el equipo 1, de lo contrario, no podría enviar tramas.


Haciendo un ping desde el equipo 0 al equipo 2 -con IP 192.168.1.3- veremos que nos aparece el mensaje de Reply from, lo que indica que ha sido posible enviar las tramas.


Si quisiéramos probar a hacer un Ping desde el equipo 3-con IP 192.168.1.4- hacia el equipo 0-con IP 192.168.1.1- vemos que no es posible hacer el ping, es decir, que de 4 tramas enviadas, se han perdido las 4. Esto ocurre porque PC0 y PC3 no están en la misma VLAN, aunque los switch sí que estén en modo truncado y permitan enviar las tramas.

Desde el modo simulación, quedaría algo tal que así, enviando un NACK.

Conclusiones

Si un atacante tuviese acceso a nuestra red, solamente podría comunicarse con los equipos que pertenezcan a la misma VLAN que al equipo al que ha conseguido conexión-por SSH por ejemplo-. Una medida aún mejor, sería hacer filtrado por la MAC, pero eso es algo que toca en siguientes entradas, por el momento, podéis hacer vosotros vuestras pruebas.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...