CCNP Switch

Hace ya un año que comencé a prepararme la certificación CCNP y en una anterior entrada os hablé sobre mi experiencia con el primer módulo CCNP Route, por tanto en esta nueva entrada comentaré mis impresiones sobre el examen CCNP Switch que aprobé la semana pasada.

Primero quiero reflejar el material utilizado para prepararme este nuevo módulo, he utilizado exactamente el mismo material que con el módulo CCNP Route y ha consistido en la asistencia a clases mediante videoconferencias, el libro “Foundation Learning Guide” de CiscoPress, laboratorios de Netlab, el “Quick Reference” de CiscoPress y por último los vídeos de CBT Nuggets.

Según Cisco las habilidades obtenidas al aprobar el examen 642-813 son las siguientes:

• Implementar, monitorizar, y mantener switches en una red de campus empresarial.
• Implementar el Protocolo Spanning Tree en redes campus.
• Implementar VLANs en redes campus.
• Configurar y optimizar switches redundantes y en alta disponibilidad.
• Describir e implementar características de seguridad LAN.
• Planificar y preparar servicios avanzados en una infraestructura campus.

Profundizando en detalles técnicos, ¿qué podemos encontrar en el módulo de Switching?

• Comenzaremos estudiando el enfoque PPDIOO para implementar y diseñar redes.
• Aprenderemos los diferentes escenarios de despliegue de VLANs, tanto VLAN en modo local como VLAN de extremo a extremo mediante VTP, además se introduce el concepto de VLANs Privadas.
• Configuraremos los diferentes protocolos de Spanning Tree (STP, RSTP y MSTP), además de ver las técnicas de PortFast, BPDU Guard, STP Loop Guard, BPDU Filtering o Guard Filtering, y Root Guard.
• Implementaremos Routing Inter-VLAN donde se verá con detalle protocolos de agregados de enlace LACP y PAgP, servicios como DHCP y la avanzada técnica de conmutación CEF que nada tiene que envidiar al Process Switching o Fast Switching.
• Estudiaremos protocolos redundantes y de alta disponibilidad como VRRP, HSRP y GLBP, además de entender las técnicas de Stateful Switchover y Non-Stop Forwarding que incorporan las supervisoras Catalyst.
• Comprenderemos distintos tipos de ataques tanto en Capa 2 como en Capa 3 para posteriormente saber mitigarlos mediante Source Guard, Dynamic ARP Inspection o Port Security, además de conocer el funcionamiento de DTP (Dynamic Trunk Protocol) para configurarlo correctamente y evitar ataques contra VLAN como VLAN Hopping.
• Por último prepararemos la infraestructura para servicios avanzados como Wireless, Voz y Vídeo, entendiendo QoS o cuáles son los pasos que lleva a cabo un punto de acceso para asociarse a una controladora inalámbrica.

Personalmente el módulo de switching me ha parecido más sencillo que el módulo de routing, probablemente a que el temario en switching es la mitad que el temario de routing, así que tan solo me queda preparar el último módulo TSHOOT para finalmente obtener la certificación CCNP. Animo a todo Ingeniero de Redes que administre y despliegue redes diariamente a preparase y obtener la certificación CCNP ya que no sólo aprenderá a utilizar e implantar dispositivos Cisco, sino que también conocerá protocolos, estándares y tecnologías relacionadas con las redes.

HOMSEC

Esta semana he tenido la suerte de asistir al 4º Salón Internacional de Tecnologías de Seguridad y Defensa, o también llamado Homsec. Al salón han asistido altos mandos ministeriales, delegaciones oficiales internacionales del Ministerio de Defensa, especialistas en gestión de crisis, directivos e investigadores en I+D+i, es decir, personas de influencia y con decisiones de compra para mantener nuestro país sano y salvo.

Mi primera impresión nada más entrar en los pabellones de IFEMA fue, “parece que esta gente no sabe qué es la Guerra Electrónica o Guerra Cibernética”, nada más que había expositores de armamento como pistolas, metralletas, lanzagranadas, helicópteros, camiones y tanques, y ni tan solo un expositor de antivirus o soluciones de SGSI, me pregunto de entre las 8000 personas que asistieron al evento cuántos han oído hablar del malware Stuxnet o de la red de ciberespionaje Octubre Rojo.

Mi presencia allí no era para ver el famoso tanque Leopard sino para asistir a las jornadas de Ciberseguridad, la mayoría de las jornadas estaban orientadas a la respuesta a incidentes de seguridad de la información pero en ninguna de ellas se hacía referencia al Esquema Nacional de Seguridad o a la Estrategia de Ciberseguridad de la Unión Europea. Se presentaron equipos para cifrar por VPN las comunicaciones de las tropas y además me pareció interesante la presentación del proyecto flu-project donde se explicó a los asistentes el funcionamiento de una botnet y se hizo una demo de cómo obtener imágenes por la webcam de un equipo infectado.

Flu-project es un proyecto diseñado para aprender y conocer cómo funciona una botnet, tiene una arquitectura cliente/servidor que nos permitirá estudiar herramientas de administración remota, es decir, instalaremos el troyano Flu (consiste en una conexión en reversa) en cualquier equipo Windows y lo podremos gestionar desde una consola central que es el servidor, o cuadro de control de la botnet. Con este proyecto los creadores, además de mostrarnos las técnicas de administración remota, intentan concienciar a los usuarios sobre los peligros del malware, ya que podemos ver de manera sencilla cómo una organización criminal puede llegar a controlar botnets de más de 4 millones de ordenadores. Como la mayoría de asistentes a las jornadas de Ciberseguridad de Homsec eran personas pertenecientes al Cuerpo de Seguridad del Estado, se intentó mostrar el proyecto de tal manera que la Policía y la Guardia Civil utilizasen el troyano Flu para infectar los equipos de los delincuentes y así realizar un mayor seguimiento a los criminales, pero esto en España hasta el momento no es legal sin autorización del juez.

Por tanto tan solo espero, y estoy convencido que será así, que para el 5º Homsec se tenga en cuenta más la seguridad por medios electrónicos y no tanto armamento pesado, ya que hoy por hoy está mucho más cerca la Ciberguerra, y si no que se lo pregunten al Gobierno Chino o de EEUU.

Security Information and Event Management

Comenté en una anterior entrada que no deberíamos dejar recaer la seguridad de la información de la organización tan solo en el cortafuegos, ya que existen multitud de puntos de entrada a la información y servicios que el cortafuegos no puede detectar y controlar. Aquí es donde entra el papel tan importante que desempeña los equipos SIEM.

Security Information and Event Management (SIEM) es una herramienta capaz de monitorizar el estado en cuanto a seguridad de una organización, debe estar perfectamente integrada con todos los sistemas ya que debe entender el comportamiento de toda la infraestructura TIC. Mediante la recopilación de eventos de login, acceso a BBDD, logs de firewall, proxy, IPS, logs de aplicaciones, etc, un SIEM es capaz de monitorizar y predecir el comportamiento futuro de la plataforma TIC de tal manera que ante una conducta inusual de la plataforma puede generar una alerta y/o realizar una acción determinada.

¿Por qué necesitamos un SIEM? Es una pregunta fácil de responder, ya que las organizaciones cada vez tienen más servicios que dependen de los sistemas y por tanto cada vez hay más sistemas que mantener en una organización. No conozco a ningún administrador de sistemas que analice todos los logs de todos los sistemas que mantiene, ya que esto es una tarea ardua y que requiere mucho tiempo, así que este es un buen motivo por el cual se hace necesario la instalación de un equipo SIEM ya que éste nos avisará cuando un determinado servicio esté comprometido o esté siendo atacado, además mediante la correlación cruzada que tienen los equipos SIEM podremos ser alertados ante un comportamiento anómalo producido por varios sistemas, que analizando evento por evento nosotros mismos no seríamos capaces de detectar.

Algunos SIEM son los siguientes:

• RSA EnVision
• Arcsight
• OSSIM
• LogICA
• LogRhythm

Sabemos que la seguridad absoluta no existe y por eso debemos ayudarnos de herramientas como estas, aunque vuelvo a recordar que la seguridad de una organización no se mide por el número de herramientas que disponga, sino por la concienciación, controles y procedimientos de seguridad que se establezcan y se cumplan por todo el personal de la organización.

¿OWASP en la Universidad?

Open Web Application Security Project es un proyecto nacido en 2001 con la finalidad de aunar todo el conocimiento recabado por las Universidades, empresas y particulares sobre seguridad informática, especialmente todo aquello referente a aplicaciones web. Entre sus proyectos más relevantes está la Guía OWASP que se ocupa de las cuestiones de seguridad para construir aplicaciones y servicios web seguros, desde las más antiguas como la inyección SQL a las más modernas como la suplantación de identidad, en esta guía encontraremos multitud de ejemplos y recomendaciones para desarrollar aplicaciones web con un alto grado de seguridad. Otro proyecto interesante es el Top 10 OWASP sobre vulnerabilidades en aplicaciones web, un año más vemos como la principal vulnerabilidad es la inyección SQL y LDAP, que ocurre introduciendo datos no confiables en el intérprete de comandos de la base de datos alterando las consultas y obteniendo resultados inesperados por el programador. Por último quiero destacar el proyecto WebGoat que es un entorno de formación donde podremos probar y entender los problemas de seguridad, aprovechando vulnerabilidades web como SQL Injection o XSS en un entorno de pruebas.

Es una lástima que proyectos como OWASP no se enseñen en las Ingenierías Informáticas de la Universidad, en mi carrera universitaria tuve muchas asignaturas relacionadas con las matemáticas como Álgebra, Cálculo, Cálculo Numérico, Matemática Discreta o Estadística, también tuve asignaturas relacionadas con el desarrollo como Elementos de Programación, Laboratorio de Programación I y II, Estructuras de Datos y Algoritmos, Análisis y Diseño de Sistemas, Programación Concurrente o Ingeniería del Software, pero en ninguna de ellas se hacía hincapié en el desarrollo seguro de aplicaciones, así que creo que el principal motivo por el que la mayoría de aplicaciones presentan agujeros de seguridad es porque desde nuestros inicios no se nos ha mostrado la importancia que tiene la seguridad en el desarrollo de aplicaciones. Aún recuerdo la única asignatura relacionada con la seguridad, llamada Seguridad y Protección de la Información, que al ser optativa muy pocos alumnos se decidían por ella, en esta asignatura se nos presentaba la problemática de la seguridad informática, se nos mostraban políticas de seguridad y se profundizaba en la criptografía, que obviamente en cuatro meses era imposible verlo todo en detalle.

Vemos que cada día la informática y las telecomunicaciones están más extendidas en la sociedad y eso se ha notado en los títulos de grado, ya que han dividido la Ingeniería Informática en dos itinerarios: Ingeniería de Computadores e Ingeniería del Software, pero analizando las asignaturas de ambos itinerarios veo que el número de asignaturas relacionadas con la seguridad tiende a cero, y por tanto los alumnos continuarán abandonando la Universidad sin conocer la metodología OWASP, el Esquema Nacional de Seguridad, las Estrategias de Ciberseguridad o el Estándar de Seguridad de Datos PCI-DSS, así que si quieren adentrarse en el mundo de la seguridad de la información deberán realizar un máster en seguridad tras el grado.