Seguridad Activa: Acceso a Redes.
1. Redes cableadas.
Obviamente también hay que protegerse de los ataques que provengan de la red. Las máquinas que ofrecen servicios TCP/IP debe abrir ciertos puertos. Estos puertos solicitan conexión de máquinas fiables siguiendo el protocolo estándar o máquinas maliciosas siguiendo una variación del protocolo que produce un fallo en nuestro servidor (en algunos casos se toma el control de la máquina, por eso se ejecutan con el mínimo de privilegios).
Las redes conmutadas tiene sus propias vulnerabilidades:
Además de mejorar la seguridad, porque cada usuario tiene su contraseña (con su caducidad) y en cualquier momento podemos añadir o eliminar un usuario, con WPA empresarial podemos llevar un registro de quién entra a la red en cada momento.
3. VPN.
Podemos montar una VPN. El objetivo principal es que el empleado no note si está en la empresa o fuera de ella. En ambos casos recibe un configuración IP privada. El responsable de esto es el software de la VPN. En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, de manera que para el sistema operativo es una tarjeta más. Ese driver se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión, para introducir los paquetes en la LAN. Consiste en:
Las redes conmutadas tiene sus propias vulnerabilidades:
- Hay que proteger el switch físicamente: Encerrarlo en un armario con llave dentro de una sala de control, así no evitaríamos solo el robo, si no también que alguien acceda al botón de reset y lo configure de otra forma.
- Hay que proteger el switch lógicamente: Usuario y contraseña para acceder a su configuración.
- Hay que hacer grupos de puertos: En switch suelen estar conectadas algunas máquinas que nunca se comunican entre sí. Debemos de aislarlas y evitaremos problemas de rendimiento y seguridad.
- Controlar los equipos que se conectan y a qué puertos: En una empresa de procesadores solo pueden entrar máquinas de procesadores.
1.1. VLAN.
Los grupos de máquinas conectados a un switch constituyen una VLAN (LAN virtual). Lo llamamos virtual porque parece estar en una LAN propia, que la red montada para ellos solos. Utilizar VLAN mejora su rendimiento y seguridad, ya que únicamente las máquinas hablan entre ellas. Si ocurre un problema en una VLAN (ataques informáticos), las demás VLAN no se verán afectadas. Un ecxceso en el tráfico de red si afectaría a todos, debido que comparten switch.
Es raro que las VLAN estén completamente aisladas de el mundo, ya que necesitan acceso a Internet, así como conectarse con otros servidores internos de la empresa (discos, correo..). Para interconectar VLAN (capa 2), utilizaremos un router (capa 3).
- Capa 2: Tiene una visión local de la red. Sabe como intercambiar los paquetes de datos con los equipos de su misma red. La comunicación es directa "origen-destino".
- Capa 3: Tiene una visión global de la red. Sabe como llegar paquetes de datos hasta los equipos que no están en la misma red. La comunicación necesita pasar por el router.
El router necesitará conectarse con cada una de las VLAN, reservándose un puerto en cada uno, pero nos llevaría instalar muchas tarjetas en el router. La solución es utilizar un segundo tipo de VLAN (VLAN etiquetada).
1.2. Autenticación en el puerto . MAC y 802.1X.
Para evitar posibles desastres, los switch permiten establecer autenticación en el puerto. Solo podrá conectar aquel cuya MAC este dentro de lista realizada en el propio swictch, o, dado que las MAC se pueden falsificar, autentificarnos mediante RADIUS en el estándar 802.1X.
2. Redes inalámbricas.
El medio de transmisión (el aire) es compartido por todos los equipos y cualquier tarjeta en modo promiscuo puede perfectamente escuchar lo que no debe.
Lo más habitual son las redes de infraestructura, un equipo hace de switch, mientras los demás ordenadores se conectan a él, le envían sus paquetes y él decide como enviarlos (aire o cable). Por el cable es la configuración más habitual en empresas, donde WLAN es una extensión de la red cableada.
Al igual que ocurría con el switch, en la redes cableadas debemos de:
1.2. Autenticación en el puerto . MAC y 802.1X.
Para evitar posibles desastres, los switch permiten establecer autenticación en el puerto. Solo podrá conectar aquel cuya MAC este dentro de lista realizada en el propio swictch, o, dado que las MAC se pueden falsificar, autentificarnos mediante RADIUS en el estándar 802.1X.
El medio de transmisión (el aire) es compartido por todos los equipos y cualquier tarjeta en modo promiscuo puede perfectamente escuchar lo que no debe.
Al igual que ocurría con el switch, en la redes cableadas debemos de:
- Proteger el access point físicamente: La protección es más complicada en cuanto al switch, porque el AP tiene que estar cerca de los usuarios para que puedan captar la señal, mientras que para conectar la toma de red de la mesa solo utilizamos un cable.
- Proteger el access point lógicamente: Usuario y contraseña.
- Controlar que clientes pueden conectarse: Autenticación.
- Separar dos grupos de usuarios: El mismo AP emite varias SSID distintas, con autenticaciones distintas. Suelen tener asociadas una VLAN etiquetada.
- Encriptar la transmisión: Entre el ordenador y el AP, para no sacar nada claro.
2.1. Asociación y transmisión.
En wifi se establecen dos fases:
- Asociación.
- Transmisión.
Durante la asociación el usuario elige la SSID a la que se quiere conectar y entonces su tarjeta inalámbrica contacta con el AP que ofrece esa SSID. Negocian varias características de la comunicación (protocolo b/g/n, velocidad, etc.), pero sobre todo el AP puede solicitar algún tipo de autenticación para decidir si debe dejarle asociarse o no. Generalmente es una clave alfanumérica que se registra en la confi guración del AP y que el usuario debe introducir para poder trabajar con él.
Los AP admiten varios tipos de autenticación:
- Abierta: No hay autenticación, cualquiera puede asociarse con el AP
- Compartida: La misma clave que usamos para cifrar la usamos para autenticar.
- Acceso seguro: Usamos distintas claves para autenticar y cifrar. El usuario nsolo necesita saber la clave de autenticación: la clave de cifrado se genera automáticamente.
- Autenticación por la MAC: El AP tiene una lista de MAC autorizadas y solo ellas pueden autorizarse.
Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP. Si queremos evitar que un tercero capture los paquetes intercambiados e intente conocer lo que transmitimos, el cliente y el AP deberán activar el cifrado de cada paquete. El tipo de cifrado (algoritmo, longitud de la clave, etc.) se negocia durante la asociación
El AP admite varias combinaciones:
- Autenticación abierta y sin cifrado: Utilizado en lugares públicos, la intención es no molestar al usuario tener que poner una clave.
- Autenticación abierta y transmisión de cifrado: Esquema de las primeras redes wifi.
- Autenticación compartida y transmisión de cifrado: Es una mala combinación, porque la autenticación es muy vulnerable y conocida esa clave tendrán acceso a descuifrar las comunicaciones de cualquier ordenador a ese AP.
- Autenticación segura y transmisión de cifrado: Utiliza una clave distinta para cada cosa. La más conocida es WPA.
2.2. Cifrado: WEP, WPA, WPA2.
Se crean una serie de estándares, el primero se llamo WEP, intentando compensar las dos realidades:
- En redes cableadas es difícil al acceso de cable, si alguien lo consigue puede capturas cualquier comunicación.
- En redes inalámbricas cualquiera puede capturar comunicaciones, pero van cifradas.
Al poco tiempo se encontraron debilidades al algoritmo de cifrado WEP. Se creó un nuevo estándar llamado WPA. Dispone de las siguientes características:
- Algoritmos más seguros: Aumento de la longitud de la clave, dificulta ataques.
- Rotación automática de claves: Cada cierto tiempo el AP y el usuario negocian nuevas claves.
- Diferenciación entre ámbito personal y empresarial: En el ámbito personal es suficiente con una única clave. En el ámbito empresarial, WPA empresarial introduce un servidor RADIUS donde se puede almacenar un usuario y la clave correspondiente.
2.3. WPA empresarial: RADIUS.
Veamos el funcionamiento de el esquema empresarial:
- Dentro de la LAN se ejecuta un software servidor RADIUS. En el servidor hay una base de datos de usuarios y contraseñas.
- Los AP de la empresa tienen conexión con ese ordenador.
- Los AP ejecutan un software cliente RADIUS (formula preguntas y analiza las respuestas).
- El servidor RADIUS tiene una lista de direcciones IP de los AP que le pueden preguntar. El AP necesita que le configuremos una contraseña definida en el servidor.
- Cuando un cliente intenta asociarse a un AP, le solicita usuario y contrasña. Pero no lo comprueba el mismo sino el servidor RADIUS.
3. VPN.
Podemos montar una VPN. El objetivo principal es que el empleado no note si está en la empresa o fuera de ella. En ambos casos recibe un configuración IP privada. El responsable de esto es el software de la VPN. En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, de manera que para el sistema operativo es una tarjeta más. Ese driver se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión, para introducir los paquetes en la LAN. Consiste en:- Autentificar al cliente VPN: Se utiliza usuario y contraseña, tarjetas inteligentes, etc.
- Establecer un túnel: El driver de la VPN en el cliente le ofrece una dirección privada de la LAN de la empresa pero cualquier paquete que intente salir por esa tarjeta es encapsulado dentro de otro paquete. Este segundo paquete viaja por Internet desde la IP pública del empleado hasta la IP pública del servidor VPN en la empresa. Una vez allí, se extrae el paquete y se inyecta en la LAN. Para que alguien de la LAN envíe un paquete a la IP el proceso es similar.
- Proteger el túnel: Los paquetes encapsulados estarán encriptados.
- Liberar el túnel: El cliente y el servidor pueden interrumpir la conexión cuando lo consideren necesario.
El software VPN en el cliente suele llevar una opción para que las conexiones a Internet se hagan directamente en la conexión del usuario, sin tener que pasar por el túnel y salir por la conexión a Internet de la empresa. Es decir, el túnel se usa solo para comunicaciones internas.
4. Servicios en red. Nmap y netstat.
La herramienta Nmap (para Windows y Linux), además del escaneo de puertos para determinar
los servicios disponibles en una máquina, podemos pedir a la herramienta que intente la conexión a cada uno de ellos. Después analiza los mensajes que generan estos servidores para identificar la versión concreta del sistema operativo y la versión concreta del software de servidor (server fingerprint) que está escuchando en cada puerto.
La información de versión es muy útil para un atacante porque puede consultar en su base de datos las vulnerabilidades de cada versión de un servicio y así elegir mejor el tipo de ataque que puede lanzar contra la máquina.
Para cada puerto la herramienta ofrece cuatro posibles estados:
- Open: La máquina acepta paquetes dirigidos a ese puerto, donde algún servidor está escuchando y los procesará adecuadamente.
- Closed: Ningún servidor escuchando.
- Filtered: Nmap no puede decir si ese puerto está abierto o cerrado porque alguien está bloqueando el intento de conexión.
- Unfiltered: El puerto no está bloqueado, pero no se puede saber si está abierto o cerrado.
Vídeo:
:
No hay comentarios:
Publicar un comentario