martes, 17 de enero de 2017

Segmenta la red y comienza a ganar la partida

Empezar una partida o un partido ganando es algo muy importante, pues puedes seguir atacando y conseguir más puntuación o goles o limitarte a defender el resultado, te permite cierta "tranquilidad". Es por eso, que creo que todo el mundo está de acuerdo en que todo está conectado a una red, absolutamente todo. Tu cuenta de Twitter, está conectada a una red, Whatsapp tiene que usar una red informática, los correos que envías, también son redes. En la Informática, muy raro es algo que no esté conectado a la red. Pues bien, si todo o casi todo está conectado a la red, saber proteger esa red, es algo primordial, por eso, hoy os voy a enseñar a cómo comenzar ganando la partida de la seguridad sabiendo proteger, en este caso segmentando tu red.



En la Informática, el modelo TCP/IP es algo esencial, algo básico. El modelo TCP/IP es una mejora del modelo OSI. Ambos modelos se diferencian en que el modelo OSI presenta 7 capas y el TCP/IP 5. Las capas del modelo TCP/IP son, de abajo hacía arriba: Física, Enlace, Internet, Transporte y Aplicación.




Es lógico pensar, que conforme nos preocupemos de la seguridad de los niveles más bajos del modelo, la seguridad será mayor. Puede que ahora no lo creáis si no sabéis mucho sobre Informática, pero por eso, hoy os lo voy a demostrar, para que veáis que no miento.


Imaginemos que disponemos del siguiente esquema de red en el que tenemos un total de 12 equipos. Cada uno configurado con una dirección IP, es decir, que están bien configurados hasta donde un administrador podría administrar, el nivel de Internet.


Como he dicho, hemos configurado el nivel de Internet, pero también he dicho que cuanto más bajo del modelo TCP/IP, más seguridad, pues bien, sabemos que el nivel inferior al nivel de Internet, es el nivel de Enlace. Lo que haremos es distribuir los equipos en 4 vlans previamente creadas. Como tenemos 12 equipos, en cada Vlan tendrán que haber 3 equipos. Esto se ha realizado en la captura anterior, donde hemos configurado las bocas del Switch.


Resumiendo, tenemos al equipo 0,1 y 2 en la Vlan 1; el equipo 3,4 y 5 en la Vlan 2; el equipo 6,7 y 8 en la Vlan 3 y el equipo 9,10 y 11 en la cuarta. Lo que nos dice la teoría, es que los equipos que se pertenecen a una misma Vlan, podrán enviarse tramas entre sí, y los que pertenezcan a Vlan diferentes, no se podrán enviar tramas y por tanto, la comunicación no llegará a buen cauce. Todo esto por que, reitero, nos estamos preocupando por la seguridad del nivel de enlace, el segundo más bajo del modelo TCP/IP.


Los equipos 0, 1 y 2-pertenecientes a la Vlan 1- disponen de la IP 192.1.1.1, 192.1.1.2 y 192.1.1.3 respectivamente; y como sigue lo estandarizado, con la máscara 255.255.255.0, es decir, de tipo C. Como vemos por la captura anterior, la teoría que os he comentado, hasta el momento, es cierta, pues los equipos pertenecientes a la Vlan 1, reciben correctamente los paquetes enviados mediante el por por el equipo 0.


En cambio, si tratamos de realizar un ping desde el equipo 0 a cualquier equipo de la Vlan 2 y 3, vemos que la teoría se ha cumplido al 100% lo que os he comentado y, por pertenecer a Vlans distintas, no reciben los paquetes enviados por el ping.


A continuación, se han cambiado los equipos y sus respectivas IP, utilizando aún la máscara 255.255.255.0, pero con todos los equipos con la dirección 192.168.1.X excepto los equipos 0 y 5 que vienen definidos por sus direcciones 192.168.0.X. Esta vez nos hemos olvidado de las Vlan, pues van a estar todos los equipos en la misma Vlan, con lo que si nos vamos de nuevo a la teoría, nos dice que todos los equipos cuya IP cumpla los los mismos octetos que hacen referencia a la red iguales, podrán conectarse. Es decir, como nuestra red es de tipo C, con la máscara 255.255.255.0, todas las IP.



Se demuestra una vez más la teoría que he mencionado, pues si se trata de realizar un ping desde el PC0 -con IP 192.168.0.X- a cualquier equipo de la red que no sea el 5, se ve que no reciben los paquetes aquellos equipos con IP 192.168.1.Y. Esto ocurre porque los octetos que definen la red son 192.168.0 y la X definirá a los equipos de esa red. Si un equipo perteneciente a la red 192.168.0 intenta enviar paquetes a un equipo de una red 192.168.1, no podrá, pues en el último octeto que define a la red, son números diferentes, un 0 y un 1.

Como veis, existe una mayor seguridad si nos encargamos del enlace, pues aunque todos cumplan con que los octetos que definen la red sean iguales, al estar cada equipo ubicados en vlans distintas, un equipo que entre en la red-estará conectado a la Vlan 1 por defecto- solamente podrá comunicarse con los equipos pertenecientes a la vlan1.

Es cierto que un atacante que entre podría comunicarse con los equipos de la vlan1, pero los administradores de sistemas, al saber esto, podrían situar, en esa Vlan a los trabajadores que realicen un trabajo dentro de la empresa, que, si pierden un dato, no sea "importante". Se me ocurre por ejemplo, a los que diseñan los banners antes que los que llevan la contabilidad o manejan documentos confidenciales de la empresa.

Es una opción 100% eficaz, ya que un atacante podría, mediante diversos métodos, saber la configuración de la red y saber qué dispositivos están conectados en la red y así saber a quién es mejor atacar, pero la cuestión es hacer la vida lo más difícil posible a los atacantes y así, a no ser que el atacante se empeñe en atacar a tu empresa, lo normal, es que al ver que tienen que trabajar mucho, lo dejen, pues encuentran muchas barreras.

Por supuesto, todo esto no sirve de nada si ahora los que llevan la contabilidad, por ejemplo, se comen un phishing clásico, algo que es muy común. Es por eso que es necesario educar a los trabajadores para que sepan qué deben y qué no deben hacer en Internet ¿Acaso le diríais a alguien que no sabe llevar la contabilidad, que lleve la contabilidad? Si la respuesta es que no ¿por qué ponéis un ordenador/tablet/smartphone a quien no sabe usarlo?

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...