Práctica 5.2. Cazadores de Amenazas

Esta sesión práctica integra los conceptos de la teoría en un escenario real controlado.

Objetivos

• Detectar dispositivos intrusos en la red local.
• Identificar protocolos inseguros y capturar información sensible.
• Verificar la integridad de las tablas ARP.

Fase 1: Reconocimiento y Auditoría

• Mapeo de Red: Cada alumno debe usar nmap para descubrir las IPs de sus compañeros de fila.
• Inventario de Servicios: Elige una IP de un compañero y descubre qué puertos tiene abiertos (sudo nmap -sV [IP]).
• Análisis de Vulnerabilidades: Busca en la base de datos de CVE Details si la versión del servicio detectado tiene alguna vulnerabilidad conocida.

Fase 2: Intercepción de Datos

• El “HoneyPot” (Servidor Inseguro): El profesor habilitará un servidor con un servicio telnet o http básico.
• Captura: Los alumnos iniciarán Wireshark con el filtro tcp.port == 23 (telnet) o http.
• El Reto: Un alumno voluntario se conectará al servidor. El resto debe capturar el tráfico y adivinar la “palabra clave” que el voluntario ha escrito en la sesión remota.

Fase 3: Detección de Spoofing

• Línea Base: Anota la MAC de tu puerta de enlace (ip neighbor).
• Simulacro: El profesor realizará un escaneo ARP masivo.
• Verificación: Los alumnos deben comprobar si su tabla ARP ha cambiado de forma inesperada.
• Defensa: Investigar y aplicar el comando para hacer una entrada ARP estática:

  sudo ip neighbor add [IP_ROUTER] lladdr [MAC_REAL] dev [INTERFAZ]