Protección lógica de una red cableada

En una publicación anterior, cubrí algunos pasos que las organizaciones pueden dar para ayudar a proteger sus redes cableadas simplemente asegurando el acceso físico a su equipo de red. Puede parecer un paso insignificante, pero el número de historias de hacker que comienzan con “Así que miré y había un puerto abierto (USB, red, lo que sea) y lo conecté y estaba en vivo” es lo suficientemente significativo como para que justifique prestar atención a ese paso.

Ahora, voy a tratar algunos pasos lógicos que se pueden tomar para ayudar a proteger su red cableada desde una perspectiva lógica. Aunque la mejor práctica incluye una solución de control de acceso a la red (NAC), los NAC tienden a ser caros si tiene muchos puertos que gestionar; también pueden requerir mucho trabajo para alimentarse y apoyarse. Es posible que las organizaciones más pequeñas no tengan el tiempo y la experiencia para instituir una solución NAC. Las organizaciones más grandes, capaces de contar con la experiencia necesaria para operar un NAC, pueden encontrar el coste y el esfuerzo necesarios para asumirlo.

¡Esto no quiere decir que no debería usar un NAC ni mirarlo! En cualquier caso, CADA organización debe utilizar una solución NAC. Sin embargo, para la mayoría de las personas que leen esto, todos sabemos que las mejores prácticas a menudo sufren cuando se cumplen los requisitos del mundo real y las operaciones diarias. Aquí no hay vergüenza, solo un esfuerzo por ofrecer otras soluciones u opciones para asegurar lo que tiene con las herramientas disponibles para usted.

Puertos de la consola

En la publicación anterior, hablé sobre cómo cualquier atacante que valga la pena su sal tendrá un cable de consola en su bolsa de trucos. Por lo tanto, contar con el “cable especial de la consola” que ninguno de sus amigos tiene para mantener seguros los puertos de la consola en sus dispositivos de red es una mala idea. Lógicamente, en la configuración de oro para todos los switches de su organización, incluya el comando habilitar consola aaa en ese script de configuración. Este sencillo comando garantiza que el/los puerto(s) de la consola se incluyan en el resto de los servicios de autenticación, autorización y contabilidad (AAA) del switch. Una vez que AAA está habilitado en los puertos de la consola, si un atacante obtiene acceso al equipo de red y conecta el cable de la consola, se le pedirá que autentique las credenciales para acceder al hardware en lugar de tener un viaje gratuito a la red.

Una vez más, no es la defensa más sofisticada, pero si el atacante no tiene las credenciales, este único obstáculo podría ralentizarlo lo suficiente como para seguir adelante, tropezar y activar una alerta, o pasar tanto tiempo atrapado.

Aunque suena gracioso, detectar una violación en el acto es realmente algo bueno. Aunque nunca nos gusta que nuestras redes se vean comprometidas, si sucede, es muy bueno saber exactamente cuándo ocurrió y quién fue responsable. Capturar a alguien en el acto responde a muchas preguntas que se harán más tarde.
Uso de VLAN confinadas

Todos sabemos que deberíamos utilizar VLAN. Estas redes de área local virtual ayudan a segmentar la red para reducir los dominios de difusión y el tráfico separado. Hay varias formas de lograr esto (ACL, firewalls) que no cubriré aquí, pero hay un truco que los ingenieros pueden hacer para disparar a los atacantes utilizando el estándar básico de VLAN IEEE para instalar una VLAN confinada en su red.

Una VLAN confinada es simplemente una ID de VLAN que está designada para ser sacrificada a los dioses de Seguridad de la Información (InfoSec). Puede ser cualquier ID de VLAN válida, solo necesita ser designado y conocido por todo el equipo de redes. Una vez que se ha identificado el ID, el elemento crucial de esta VLAN confinada es que el ID NUNCA debe aparecer en los enlaces ascendentes del switch. La VLAN se aplica a todos y cada uno de los puertos SIN USAR del switch.

Configuración de VLAN confinada

Estos puertos deben desenchufarse del cable que va al conector de pared, y también deben deshabilitarse administrativamente, pero en caso de que se omitan estos pasos (porque nadie le dijo a nadie que el puerto no estaba en uso) asignar esta VLAN confinada al puerto significa que incluso si un atacante obtiene acceso al puerto, ya sea mediante un conector de pared o estando en la sala, conectarse a estos puertos no utilizados no les permitirá salir del switch. Sin DHCP y sin capacidad para salir del switch, están confinados al switch.

Una ventaja adicional de utilizar esta VLAN confinada es que puede enviar rápidamente una señal al equipo de red a los puertos no utilizados con solo observar la asignación de VLAN. Si esa VLAN confinada (888 en el ejemplo anterior) se asigna a un puerto, saben que el puerto no está configurado para su uso. Si está habilitado, es un problema que hay que investigar. Si muestra una conexión, de nuevo indica un problema que debe investigarse.

Menos privilegiado

El concepto de menos privilegio es de nuevo una configuración de seguridad que reside en la mayoría del hardware empresarial, pero que no se utiliza lo suficiente. Aunque no son tan coloridos y llamativos como los firewalls de próxima generación y la inspección profunda de paquetes, el concepto de menor privilegio es la idea de que no todo el mundo necesita acceso de superusuario a las configuraciones de red, y no las necesita todo el tiempo. El privilegio mínimo también implica políticas y procedimientos que los usuarios siguen para utilizar la menor cantidad de acceso necesario para realizar una tarea, y solo el acceso “actualizado” según sea necesario para tareas más sensibles.

Al configurar el acceso de un usuario a un dispositivo o a un grupo de dispositivos, configure una cuenta de usuario únicaque solo tenga el nivel de acceso que necesita esa persona. El uso de credenciales genéricas de superadministrador como las únicas credenciales de la red significa que si esa contraseña se ve comprometida, los atacantes ahora tienen acceso completo a la red. Todas las demás funciones de seguridad no importan si los atacantes pueden cambiar las configuraciones a su propio gusto.

Otra ventaja de las credenciales únicas es que, si es necesario, los registros de auditoría son mucho más fáciles de leer y descifrar. Si todos utilizan las mismas credenciales genéricas de administrador/contraseña, los registros de auditoría no pueden indicar quién accedió a los dispositivos. Credenciales únicas como jpalmer/jimlikescookies significan que el registro de auditoría mostrará que fue Jim quien accedió al switch y realizó los cambios. Si esas credenciales no tienen permiso para realizar cambios de configuración (menos privilegiados), entonces no se pueden realizar cambios, o incluso para mostrar las credenciales elevadas necesarias para realizar esos cambios.

Por último, las credenciales únicas significan que cuando Jim deja la empresa, solo sus credenciales deben eliminarse de la red, no todas (debido a algo como un nombre de usuario y contraseña comunes de administrador). Si bien esto se hace más fácil utilizando un servidor AAA centralizado para autenticarse, sigue siendo algo que se puede hacer incluso sin ese servidor de autenticación central.

Obligar a los usuarios a elevar sus privilegios, cuando sea necesario, y usar una frase de contraseña única separada puede ser un pequeño retraso para los usuarios autorizados del que pueden quejarse. Pero esos dos pasos pueden ser un muro de piedra para un atacante incluso si obtiene acceso a la red.

Recuerda, puede ser el obstáculo más pequeño que frustre un ataque; queremos asegurarnos de que tenemos suficiente de ellos que los atacantes se rindan y continúen.

Error de enlace deshabilitando

La última configuración lógica que quiero cubrir es probablemente mi favorita. Los atacantes generalmente intentan ser sigilosos mientras entran en la red para que su plan no pueda detenerse hasta que sea demasiado tarde. Como tal, generalmente no les gusta desenchufar ningún dispositivo activo en caso de que haya alertas en la red para dispositivos que se apaguen. Además, dado que algunos dispositivos, como los puntos de acceso Wi-Fi®, se encuentran en áreas públicas y estos dispositivos pueden bajar y subir con poca frecuencia por sí solos, resulta difícil saber si algo se ha desconectado de forma inocente o debido a una intención maliciosa. Por lo tanto, simplemente comprobar los dispositivos de bajada/subida no es suficiente.

Debido a su accesibilidad, los atacantes ven los puntos de acceso Wi-Fi como una puerta de entrada a la red que está abierta y, como tal, favorecen atacarlos. Hay pasos que se pueden tomar para protegerlos utilizando cosas como el aprendizaje MAC o NAC, pero NAC puede ser costoso y la dirección MAC normalmente se imprime en el dispositivo. LosRUCKUS conmutadores ICX® de redes tienen un comando que se puede utilizar, de forma gratuita, para ayudar a proteger contra cualquier persona que intente utilizar estos puntos de acceso como una puerta frontal abierta a la red.

enlace-error-desactivar-cambio-umbral-tiempo-de-muestreo-en-seg-tiempo-de-espera-en-seg

Este comando, que se aplica por puerto, de uno en uno o a una serie de puertos, parece imponente, pero es bastante sencillo de usar. Para un dispositivo de red que se identifica como un objetivo potencial (por ejemplo, un punto de acceso en un vestíbulo abierto al público y al que se puede acceder a la toma de pared), la configuración sería algo así:

dispositivo(config)# interfaz ethernet 1/1/1
dispositivo(config-if-e10000-1/1/1)# enlace-error-deshabilitar 1 1 0

Lo que esta configuración de muestra indica al switch es que si el puerto 1 del switch se apaga una vez (el verde 1) durante el intervalo de tiempo de un segundo (el naranja 1), el puerto se desactivará por error (se apagará) y NUNCA se volverá a encender (el rojo 0). Estos parámetros se pueden ajustar según sea necesario, como desactivar solo durante unos segundos o incluso horas, y cuántas veces el puerto tendría que bajar en el transcurso de unos segundos (10 veces en 5 minutos como ejemplo). Pero para las áreas que se han identificado como vulnerables, mantener el puerto permanentemente desactivado, hasta que se restablezca manualmente, permite a la organización enviar a un técnico para inspeccionar físicamente el hardware para asegurarse de que no se ha manipulado.

¿Le lleva mucho tiempo? ¡SÍ!

¿Afecta al servicio? ¡SÍ!

¿Es un inconveniente? ¡SÍ!

¿Es más laborioso, afecta al servicio e inconveniente que una violación completa de la red con todos los datos robados de la organización y los sistemas operativos cifrados, esperando un rescate para descifrarlo? ¡NO!

Estas alertas se pueden vincular a otras plataformas que incluso pueden enviar mensajes y correos electrónicos, lo que permite a los administradores saber exactamente cuándo ocurrió este evento, lo que es una parte crítica de la información para cualquier investigación.

Pensamientos finales

Hay suficientes configuraciones lógicas y productos disponibles para proteger sus redes para llenar un libro de mil páginas. El objetivo aquí no era cubrirlos todos, sino destacar algunos que se pueden implementar sin ser costosos.

No me malinterpreten, todavía querrán ir a gastar algo de dinero en su seguridad de TI y tomar otras medidas para proteger su red, pero estos pasos que he descrito pueden ser la única pieza del manual de InfoSec que protege su red y evita un ataque antes de que pueda ocurrir. Sinceramente, las probabilidades son casi las mismas o mejores que estos simples pasos evitarán un ataque en lugar de una inversión de valor de un millón de dólares que detendrá un ataque 0-Day.

Recuerde, debemos asegurarnos de centrarnos en las pequeñas cosas para proteger nuestras redes, así como en los ataques más grandes, complicados y de alto perfil sobre los que leemos. Los atacantes no se arriesgarán a exponer una explotación supersecreta si pueden usar una puerta trasera simple y abierta.

Acompáñenme en la próxima entrega, donde comenzaré a hablar sobre la seguridad inalámbrica. Si puede creerlo, la seguridad inalámbrica puede ser más fácil de implementar y controlar que la seguridad cableada.