Segmentación de la redProtección frente a

amenazas

Juan Luis García RamblaConsultor seguridad y sistemasjlrambla@informatica64.com

UNA VISIÓN DE LA REALIDAD

Introducción

Las redes internas de una organización están sujetas a múltiples ataques.

Cuanto mayor sea su tamaño, mayor será la exposición y más complejo determinar que ha podido pasar.

Aumentar la superficie de la red, disminuye el control que de la misma se tuviera lugar.

Amenazas

Ataque en redes de datos.

Equipos inseguros y accesos no controlados.

Gusanos de red.

Ataques adicionales como los de impersonalización.

Ataques en redes de datos

Técnicas de Sniffing, Spoofing y Hijacking.

Una de las técnicas principales el Man in the Middle.

El ataque se realiza en capa 2.

Permite la realización de otros ataques adicionales.

El sniffing en una red conmutada solo es factible mediante una técnica adicional de MITM.

Equipos inseguros

¿Se sabe realmente si quien está en la red es realmente quien debería estar?

Los equipos conectados a la red son realmente seguros.

Siguen la política de seguridad de la organización.

El riesgo normalmente lo representan los equipos externos de la organización.

Ataques de Malware.

Blaster, Sasser, Slammer, Conficker… de que me suenan.

Aprovechan la comunicación a través de la red de los sistemas (principalmente inseguros), para dispersarse.

Pueden inundar un segmento físicos, provocando la denegación de servicio.

Los últimos ataques de gusanos han sido programados para su cambio de comportamiento dinámico.

DIVIDE ET VINCES

Introducción

Segmentar permitirá garantizar una mejora en la seguridad y dimensionamiento para mejor velocidad.

La segmentación de las redes pueden producirse a dos niveles:• Lógicas.• Fisicas.

La segmentación lógica no garantiza totalmente la seguridad.

Mecanismos de segmentación

División de la arquitectura en Capa 2.

División de la arquitectura en Capa 3.

Aplicación de listas de control.

Controlar el acceso a redes.

Virtual LAN

Las VLan vienen a proporcionar una respuesta a las planteadas anteriormente.

Segmentan físicamente los puertos de un dispositivos para evitar la comunicación entre ellos.

La generación y gestión de las VLan vendrá determinada por las necesidades de implementación de las organizaciones.

VLAN entre dispositivos

Las VLAN fueron ideadas originalmente para la segmentación de un dispositivo

La evolución y el número de dispositivos tipo Switch en las empresas requerían tecnologías mejoradas que permitieran la compartición de VLAN, entre los diferentes dispositivos

De esta forma una VLAN 1 y 2 podría contener puertos de un dispositivos Switch 1 y 2, independientemente de sus características

Esto permite una mayor flexibilidad para la generación y configuración de este tipo de redes

VLAN estática

La configuración y pertenencia a una VLAN viene determinada por la configuración manual del administrador del dispositivo

La asignación puede darse por:• Puerto• MAC• Protocolo

Valido para entornos pequeños o de sistemas de control específicos

VLAN dinámicas

El puerto y los parámetros de la conexión, determinarán a que VLAN pertenecen

Existen diversos protocolos para el establecimiento de VLan dinámicas• GVRP• Doble VLAN Q in Q• 802.1Q Tagged VLAN• 802.1V

La configuración de VLan vendrá precedido por el tipo de dispositivo

Interconexión entre Vlan

La conexión entre las Vlan a través de capa 3 permitirá la comunicación de las mismas.

La aplicación de listas de control de acceso permitirá limitar el intercambio de datos bien entre equipos o por protocolos.

La funcionalidad de capa 2 y 3 en los dispositivos de conmutación permite el control de flujo del tráfico.

Configuración de ACL

VLAN dinámicas y el acceso a la red

La utilización de VLAN dinámicas permiten la extensión para garantizar el control de acceso a las redes.

El acceso a red extensible a múltiples dispositivos de red permitirá o denegará una acción a un cliente de red.

En el caso de los dispositivos de conmutación, el sistema permitirá determinar la pertenencia a una u otra Vlan dependiendo de la configuración de seguridad del cliente.

Integración NAP

Dentro de las arquitecturas de seguridad actuales de las organizaciones, la protección de acceso a redes, constituirá un pilar básico de control.Dispositivos Switch de D-LINK, permiten la integración en topologías NAP de Microsoft.El Switch solicitará vía 802.1x un procedimiento de autenticación y solicitud de estado de salud.Una vez revisado dicho estado, el equipo entrara en una VLAN u otra en función del mismo.

Arquitectura NAP

Network Policy Server

Quarantine Server (QS)

Client

Quarantine Agent (QA)

Health policyUpdatesHealth

Statements

NetworkAccess

Requests

System Health Servers

Remediation Servers

HealthCertificate

Network Access Devices and Servers

System Health Agent (SHA)MS and 3rd Parties

System Health Validator

Enforcement Client (EC)(DHCP, IPSec, 802.1X, VPN)

Autenticación 802.1x

Nace con la premisa de que un dispositivo de red, pueda solicitar un proceso de autenticación para las conexiones

Implementa el sistema EAPOL (EAP Over Lan)

Aunque es ampliamente conocido en las topologías de redes seguras WIFI introduce una variante de uso en las tecnologías de seguridad de acceso a redes

Como trabaja NAP

NetworkAccess

Requests Not Compliant

Policy Compliant

Restricted Network

WindowsClient

NetworkAccessDevices

NPS

ActiveDirectory

RemediationServers

HealthStatements

QASHA

EC QS

SHV

DEMO

ASEGURANDO UNA REDGENERACION DE VLAN

NETWORK ACCESS PROTECTION

GARANTIZANDO LA SEGURIDAD EN LA RED

Protección contra ataques de MITM

La protección contra ataques de spoofing en capa 2 se pueden minimizar mediante la segmentación en Vlan.

Sin embargo esta segmentación reduce el ataque pero no lo mitiga totalmente. Sería factible el ataque dentro de la Vlan.

Existen medidas alternativas:• Implementación Software.

• Control en dispositivos.

Filtrado de direcciones MAC

Los dispositivos permiten especificar un filtro de direcciones MAC que impidan que puedan comunicarse a través de un puerto estaciones no autorizadas

Aunque supone una medida preventiva no puede evaluarse como una de tipo definitiva sino como accesorias de otras para el control del acceso al medio

Vinculación Puerto-IP-MAC

Prevenir contra técnicas de ataques en redes de datos es uno de los objetivos en las comunicaciones

Este sistema identifica IP con MAC y Puertos

Cualquier transmisión que no cumpla con los requisitos establecidos será descartadas

Mecanismo preventivo contra las técnicas de ataque tipo ARP Spoofing

Vinculación Puerto-IP-MAC dinámica

Para reducir el esfuerzo de administración los dispositivos admiten la vinculación IP-MAC por aprendizaje a través de DHCP.

Portal Cautivo

Es una página Web que obliga a establecer una autenticación previa, antes de poder seguir utilizando la red

Es un paso ineludible por el usuario

Garantiza que la información y los servicios sean solo accesibles por usuarios autenticados

Permite autenticación local y RADIUS

DEMO

PROTECCIÓN DINÁMICA DE UNA RED CONTRA MITM

¿PREGUNTAS?

FORMACIÓN DLINK