En seguretat de xarxes corporatives podem tenir en compte dues coses importants:
Les amenaces de seguretat causades per intrusos en xarxes corporatives o privades d'una organització poden originar-se tant de forma interna com externa.
Per protegir-nos de les amenaces internes o corporatives:
Per les amenaces externes o d'accés remot ho veurem més endavant en la Seguretat Perimetral
Un sistema de detecció d'intrusos (IDS) és un programa usat per detectar accessos no autoritzats a un computador o a una xarxa. Aquests accessos poden ser atacs d'hàbils hackers, o de Script Kiddies que usen eines automàtiques.
Busquen patrons prèviament definits que impliquen qualsevol activitat sospitosa o maliciosa sobre la nostra xarxa o host, aporten a la nostra seguretat una capacitat de prevenció i d'alerta anticipada davant qualsevol activitat sospitosa.
Existeixen dos tipus de sistemes de detecció d'intrusos:
L'arquitectura d'un IDS principalment està formada per:
Quant a la ubicació es recomana disposar un davant i un altre darrere del tallafocs perimetral de la nostra xarxa, per obtenir informació exacta dels tipus d'atacs que rep la nostra xarxa, ja que si el tallafocs està ben configurat pot aturar o filtrar molts atacs.
Un dels pincipals NIDS és l'SNORT (www.snort.org) amb llicència GPL, gratuït i multiplataforma. Pot funcionar com a sniffer.
TCP/IP és l'arquitectura de protocols que utilitzen els ordinadors per comunicar-se a Internet i actualment, quasi en qualsevol xarxa. Utilitzen ports de comunicació que s'assigna per a identificar cadascuna de les connexions de xarxa, tant en l'origen com en el destí.
El model TCP/IP
La numeració dels ports s'agrupa de la forma següent:
Rang 0 - 1023 Ports Predeterminats
20 i 21 FTP
22 SSH
80 HTTP
443 HTTPS
...
Rang 1024 - 49151 Registrats (Ports que alguna companyia ha registrat per els seus serveis)
Rang 49152 - 65535 Dinàmics i/o privats
L'anàlisi i control dels ports es pot realitzar des de diferents llocs:
Existeixen protocols que utilitzen comunicacions xifrades com l'SSH. Però existeixen altres alternatives per establir comunicacions segures entre dos sistemes, xifrant les comunicacions a diferents nivells (SSL, TLS i IPSEC).
És un protocol que permet accedir a màquines remotes i executar comandes a través d'una xarxa, mitjançant una comunicació segura xifrada a través del port 22. Permet copiar dades de forma segura , gestionar claus mitjançant certificats per no escriure contrasenyes al connectar als dispositius i transferència de dades d'aplicacions per un canal segur tunelat de forma senzilla. Per Linux utilitzaríem el client que ja ve per defecte i per a Windows l'aplicació Putty que és gratuita.
L'SSL (Secure Sockets Layer) i el seu succesor TLS (Transport Layer Security) són protocols criptogràfics que proporcionen comunicacions segures per una xarxa, habitualment Internet. Aquests protocols s'executen en una capa entre els protocols d'aplicació i protocol de transport de l'arquitectura TCP/IP.
Entre d'altres, s'utilitza a través de ports específics com són HTTPS(443), FTPS(990), SMTPs(465), POP3s(995), etc.
IPSEC (Internet Protocol Security) és un conjunt de protocols que tenen com a funció assegurar les comunicacions sobre el Protocol d'Internet (IP) autenticant i/o xifrant cada paquet IP en un flux de dades. Actuen en la capa de Xarxa el que fa que sigui més flexible, ja que pot ser utilitzat per protegir protocols de les capes de Transport i d'Aplicacions, incloent TCP i UDP. Un avantatge important davant d'altres mètodes que operen en capes superiors, és que perquè una aplicació pugui utilitzar IPSEC no s'ha de fer cap canvi.
IPsec està implementat per un conjunt de protocols criptogràfics per assegurar el flux de paquets, garantir l'autenticació mútua i establir paràmetres criptogràfics.
És el protocol estàndard que utilitzen les xarxes privades virtuals (VPN)
Recomanació:
Sempre que s'hagi de configurar serveis tant client com servidors, que requereixin la utilització i enviament de contrasenyes, és recomanable la utilització de configuracions i ports que transmetin els seus missatges xifrats.
Una xarxa privada virtual (VPN) és una tecnologia de xarxa que permet una extensió de la xarxa local sobre una xarxa pública o no controlada, com per exemple Internet.
Per fer-ho possible de manera segura és necessari proporcionar els mitjans per garantir l'autenticació, integritat i confidencialitat de tota la comunicació:
Bàsicament hi ha tres arquitectures de connexió VPN:
El primer protocol que va sorgir per solucionar els problemes d’autenticació i confidencialitat en les xarxes sense fil va ser el protocol WEP (Wired Equivalent Privacy), és a dir, que pretén atorgar una privacitat que equival a la de les xarxes de cable.
El protocol WEP ha provocat molts problemes de seguretat a causa, principalment, del fet que l’algorisme criptogràfic en què es basa (RC4) ha resultat inadequat.
Quan no feia gaire que havia aparegut el WEP, es va descobrir que tenia una vulnerabilitat: si s’aconseguia un volum prou gran de dades xifrades, es podia esbrinar la clau per desxifrar-les.
Actualment, un atacant sense gaires coneixements de hacking és capaç de trencar la seguretat del protocol WEP gràcies a eines que circulen per Internet.
Des de l’any 2004, l’organisme regulador de les comunicacions a les xarxes sense fil desaconsella el protocol WEP. Tanmateix, encara hi ha molts punts d’accés que el fan servir.
El protocol WEP té dos modes d’autenticació: l’OSA i l’SKA.
Per solucionar els problemes que ocasionava el protocol WEP va aparèixer el protocol WPA (Wireless Protected Access). Fins ara, el protocol WPA ha demostrat ser un protocol robust.
El protocol WPA soluciona tant la problemàtica de l’autenticació dels usuaris com la de la confidencialitat de les comunicacions. Té dos mecanismes d’autenticació possibles, el WPA-PSK i WPA-TKIP. Per xifrar les dades fa servir l’algorisme TKIP.
El WPA2 és l’evolució del WPA. Incorpora les mateixes funcionalitats i característiques que el WPA, però, a més, inclou el xifratge basat en l’algorisme AES. Fins al 2017, era l’algorisme més robust que hi havia per al xifratge de dades. Però es va trobar una vulnerabilitat (CVE-2017-13082, Afectació vulnaribilitat en productes CISCO).
L’AES va ser escollit, entre molts altres estàndards que es van presentar a concurs, l’algorisme oficial per xifrar dades. També se’l coneix com a Rinjdael.
Hauríem de mencionar també el protocol 802.1X. L’autenticació basada en el 802.1X permet utilitzar diferents tipus de mecanismes (certificat electrònic, Kerberos, etc.) per al procés d’autenticació entre un dispositiu i un punt d’accés. Aquest sistema d’autenticació fa ús d’un servidor d’autenticació (per exemple RADIUS), és a dir, delega l’autenticació en un altre dispositiu. Habitualment, el 802.1X no s’aplica en xarxes domèstiques.
Recomanacions de seguretat en xarxes sense fil:
- Assegurar l'administració del punt d'accés (AP) canviant la contrasenya.
- Utilitzar encriptació WEP, WPA/WPA2 o servidor Radius i canviant les claus regularment.
- Canviar el SSID per defecte i desactivar el broadcasting SSID.
- Desactivar el servidor DHCP i assignar manualment les IPs.
- Canviar les IPs per defecte del punt d'accés i el rang per defecte de la xarxa.
- Activar el filtrat de màquines a través de MAC
- Establir un nombre màxim de dispositius que es puguin connectar.
- Analitzar periòdicament el usuaris connectats verificant si estan autoritzats o no.
- Desconnexió de l'AP quan no s'utilitzi.
- Actualitzar el firmware del dispositiu, per evitar vulnerabilitats.
- Desactivar el WPS.