Akamai en general es mucho más que lo que voy a comentar, que sólo es lo que me resultó útil o interesante, no es mi idea reproducir la información institucional o el curso, más por que hay partes confidenciales. ¿A qué se debe esta confidencialidad? Pues a que el conocimiento de ciertos detalles de cómo se usa la herramienta, podrían ser beneficiosos para un atacante. No uno de alto nivel, que simplemente contrata y toma el curso, si no para los script kiddies.
Lo administrativo, son 13.5 horas brutas en dos días, quedan unas doce netas.
Es un curso bastante pesado, tiene un poco del inevitable humito de
venta, un ratito breve al comienzo, aceptable. Lo bueno es que no profundiza en
explicar las vulnerabilidades, solo un checkpoint. Es que está orientado no sólo a quien sabe si no tambien a un perfil más operativo, que bien puede ser capaz de lidiar con el problema en general de configurar la herramienta aunque no entre en el detalle y termine de comprender cada vulnerabilidad y ataque.
Los labs son del tipo haz como te digo paso a paso y luego algunos casos haz igual a lo que te dije.
Antes despreciaba esa metodología, pero cuando transité leer y practicar zynq book y mpsoc zynq book aprendí a apreciarla, cuando el tema es muy difícil como en ese caso o la cabeza ya no te dá para tanto como este, si los labs hubiesen sido de los copados tipo arreglate para hacer esto con estos recursos, no estoy seguro de que hubiese entendido aún de haber logrado hacerlos.
Cada alumno contaba con una cuenta con su "sitio", hubiese estado bueno que tuvieran alguna manera de inyectar tráfico tal que pudieramos ver algo en los reportes, les tiré la idea y quizás futuros cursantes lo tengan.
Durante el curso hubieron muchas recomendaciones de oficio, resultado de la experiencia de los instructores. Esto es realmente el valor del curso, la diferencia de leer el manual.
El examen es multiple choice, no particularmente difícil, saqué entre 80% y 90%, sufriéndolo pues estaba cansado y no había tomando muchas notas o al menos que me sirvieran para las preguntas.
Y ahora un poco de Akamai
 |
| Tráfico normal en Internet |
En Internet normal, cuando alguien quiere acceder a un sitio, pasa por los routers que hagan falta hasta llegar a este.
 |
| La red TOR en Internet |
Mi mejor manera de entender Akamai es la red TOR. TOR es una red montada encima de la red Internet con sus propias reglas de enrutamiento con el objetivo de anonimizar a los participantes. Se generan circuitos virtuales con varios pasos donde se logra el anonimato mediante un sencillo protocolo que he explicado en una charla dada hace años de la cual no he publicado ningún material pues es extremadamente interactiva. En la imagen podemos ver el primer paso en que la usuaria se conecta a un nodo y luego verías si tuvieras todas las imágenes como va pasando por los otros encirculados en amarillo y regresa la comunicación. Toda esa conexión es evidentemente transparente para la persona que navega, que sólo decide usar TOR.
 |
| La red Akamai en Internet |
Akamai es una red montada encima de la red Internet con sus propias reglas de enrutamiento con el objetivo de ser el punto de entrada de los servidores que protege. Está instalado en prácticamente todos los ISPs del mundo (Edge Servers) y enruta toda petición a un dominio por sus nodos hasta llegar al servidor. En esos Edge Servers tiene la capacidad de cachear con discernimiento de PII, dar contenido alternativo en caso de server caido y entendí que tambien aplicar reglas como para que no lleguen al Site Shield.
Nuevamente, todo este manejo es transparente para quien navega. Para el servidor hay un par de diferencias, como que el tráfico le llega de Akamai y debe buscar la IP original en un encabezado extra, debe agregar una ACL para sólo aceptar tráfico de la red Akamai y no de cualquier lado por si alguien tuviera su IP.
El tráfico TLS entre el cliente y el Edge Server es bajo el certificado del dominio, el ES es endpoint TLS para poder aplicar reglas. Luego usa nuevamente TLS hasta llegar al Site Shield y el servidor.
La herramienta
Por lo dicho antes, no voy a entrar en mucho detalle pero tiene todo lo que uno esperaría, reglas por ip, geo, encabezados, reputación de clientes. Se pueden combinar lógicamente y en modo alerta y bloqueo, etc...
Lo que no tiene según comprendí es el tema de correlaciones complejas, esto es, dada una regla activada tomar un valor y usarlo como input de otra regla.
Finalmente, por haber aprobado el curso, me dieron un Bagde en Acclaim, que no sé cómo usar, pues me pide que conecte mi cuenta de Linkedin, cosa que no pienso hacer. En algún lado debe haber un link para compartir, ya lo voy a encontrar...
No hay comentarios:
Publicar un comentario