Seguretat en xarxes corporatives

Introducció

En seguretat de xarxes corporatives podem tenir en compte dues coses importants:

• Amenaces:
  • Interrupcció: alguna cosa en el sistema (objectes, serveis o dades) es perd, queda inutilitzada o no disponible.
  • Interceptació: un element no autoritzat aconsegueix accés a un determinat element del sistema.
  • Modificació: a més d'interceptar, ens poden modificar o destruir l'element interceptat.
  • Fabricació: modificació destinada a aconseguir un objecte similar a l'atacat de manera que sigui difícil distingir entre l'original i el "fabricat".
• Técniques d'atac en xarxes:
  • Denegació de servei (DoS): interrupció del servei. Ja hem vist que mitjançant botnet o xarxes zombi es poden controlar cents de màquines i provocar atacs de saturació de servidors.
  • Sniffing: tècnica d'interceptació mitjançant el rastreig monitoritzant el tràfic d'una xarxa.
  • Man in the Middle (MitM): interceptació i modificació d'identitat. Un atacant es situa en mig de la comunicació, falsificant les identitats dels dos components de la comunicació.
  • Spoofing (suplantació): tècnica de fabricació, suplantant la identitat o realitzant una còpia o falsificació (per exemple falsificació d'IP, MAC, web, mail,....). Un dels més utilitzats o coneguts és l'ARP Spoofing (la millor defensa en aquest cas és utilitzar taules ARP estàtiques, tot i que en xarxes grans és difícil de mantenir i en aquest cas utilitzaríem el DHCP snooping, tot i que hi ha altres mètodes també).
  • Pharming (desencaminament): tècnica de modificació. S'aprofita de les vulnerabilitats en el software dels servidors DNS o en els equips dels usuaris, permetent modificar les taules DNS redirigint a un nom de domini conegut a una altra màquina falsificada i segurament fraudulenta.

Les amenaces de seguretat causades per intrusos en xarxes corporatives o privades d'una organització poden originar-se tant de forma interna com externa.

Per protegir-nos de les amenaces internes o corporatives:

• Bon disseny de la xarxa local (subnetting, VLAN, DMZ, etc.)
• Servidors i routers amb polítiques d'administració d'encaminament estàtic.
• Monitorització del tràfic de xarxa, de les assignacions d'encaminament dinàmic i les seves taules ARP.
• En xarxes sense fil utilitzar el màxim nivell de seguretat.

Per les amenaces externes o d'accés remot ho veurem més endavant en la Seguretat Perimetral

Sistema de detecció d'intrusos (IDS)

Un sistema de detecció d'intrusos (IDS) és un programa usat per detectar accessos no autoritzats a un computador o a una xarxa. Aquests accessos poden ser atacs d'hàbils hackers, o de Script Kiddies que usen eines automàtiques.

Busquen patrons prèviament definits que impliquen qualsevol activitat sospitosa o maliciosa sobre la nostra xarxa o host, aporten a la nostra seguretat una capacitat de prevenció i d'alerta anticipada davant qualsevol activitat sospitosa.

Existeixen dos tipus de sistemes de detecció d'intrusos:

• HIDS (HostIDS): el principi de funcionament d'un HIDS, depèn de l'èxit dels intrusos, que generalment deixessin rastres de les seves activitats en l'equip atacat, quan intenten apropiar-se d'aquest, amb propòsit de dur a terme altres activitats. El HIDS intenta detectar tals modificacions en l'equip afectat, i fer un report de les seves conclusions. Protegeixen un únic servidor, PC o host.
• NIDS (NetworkIDS): un IDS basat en xarxa, detectant atacs a tot el segment de la xarxa. La seva interfície ha de funcionar en manera promíscua capturant així tot el tràfic de la xarxa. Actua de forma semblant a un sniffer i després, analitza els paquets capturats, buscant patrons que suposin algun tipus d'atac.

L'arquitectura d'un IDS principalment està formada per:

• La font de recollida de dades (log, dispositiu de xarxa, o el mateix sistema).
• Regles i filtres sobre les dades i patrons per detectar anomalies de seguretat en el sistema.
• Dispositiu generador d'informes i alarmes. En alguns casos amb la sofisticació suficient per a enviar alertes via mail o SMS.

Quant a la ubicació es recomana disposar un davant i un altre darrere del tallafocs perimetral de la nostra xarxa, per obtenir informació exacta dels tipus d'atacs que rep la nostra xarxa, ja que si el tallafocs està ben configurat pot aturar o filtrar molts atacs.

Un dels pincipals NIDS és l'SNORT (www.snort.org) amb llicència GPL, gratuït i multiplataforma. Pot funcionar com a sniffer.

Serveis de Xarxa. Riscos potencials

TCP/IP és l'arquitectura de protocols que utilitzen els ordinadors per comunicar-se a Internet i actualment, quasi en qualsevol xarxa. Utilitzen ports de comunicació que s'assigna per a identificar cadascuna de les connexions de xarxa, tant en l'origen com en el destí.

El model TCP/IP

Protocols per cada capa:

• Aplicació: HTTP, FTP, TFTP, SMTP, POP3, IMAP, DNS, IRC, SSH, Telnet, TLS i SSL, NFS, NNTP, NTP, SMB/CIFS, SNMP, Gopher, RTP, RTCP, SOAP, SIP
• Transport: TCP, UDP, SCTP, SPX, NetBIOS
• Xarxa: IP (IPv4, IPv5, IPv6), ICMP, IGMP, AppleTalk, IPX, NetBEUI, X.25
• Enllaç de dades: ARP, RARP, ATM, DSL, Ethernet, Frame Relay, HDLC, NDP, PPP, Token Ring, Wi-Fi, Medi Físic (Cable coaxial, Cable de fibra òptica, Cable de parells trenats, Microones, Ràdio, RS-232)

La numeració dels ports s'agrupa de la forma següent:

Rang 0 - 1023  Ports Predeterminats

    20 i 21    FTP

    22         SSH

    80         HTTP

    443        HTTPS

   ...

Rang 1024  - 49151 Registrats (Ports que alguna companyia ha registrat per els seus serveis)

Rang 49152 - 65535 Dinàmics i/o privats

L'anàlisi i control dels ports es pot realitzar des de diferents llocs:

• Màquina local
  • Netstat.
  • Tallafocs personal.
• Administració de xarxa
  • Nmap
  • Tallafocs i proxys perimetrals.

Comunicacions Segures

Existeixen protocols que utilitzen comunicacions xifrades com l'SSH. Però existeixen altres alternatives per establir comunicacions segures entre dos sistemes, xifrant les comunicacions a diferents nivells (SSL, TLS i IPSEC).

SSH

És un protocol que permet accedir a màquines remotes i executar comandes a través d'una xarxa, mitjançant una comunicació segura xifrada a través del port 22. Permet copiar dades de forma segura , gestionar claus mitjançant certificats per no escriure contrasenyes al connectar als dispositius i transferència de dades d'aplicacions per un canal segur tunelat de forma senzilla. Per Linux utilitzaríem el client que ja ve per defecte i per a Windows l'aplicació Putty que és gratuita.

SSL/TLS

L'SSL (Secure Sockets Layer) i el seu succesor TLS (Transport Layer Security) són protocols criptogràfics que proporcionen comunicacions segures per una xarxa, habitualment Internet. Aquests protocols s'executen en una capa entre els protocols d'aplicació i protocol de transport de l'arquitectura TCP/IP.

Entre d'altres, s'utilitza a través de ports específics com són HTTPS(443), FTPS(990), SMTPs(465), POP3s(995), etc.

IPSEC

IPSEC (Internet Protocol Security) és un conjunt de protocols que tenen com a funció assegurar les comunicacions sobre el Protocol d'Internet (IP) autenticant i/o xifrant cada paquet IP en un flux de dades. Actuen en la capa de Xarxa el que fa que sigui més flexible, ja que pot ser utilitzat per protegir protocols de les capes de Transport i d'Aplicacions, incloent TCP i UDP. Un avantatge important davant d'altres mètodes que operen en capes superiors, és que perquè una aplicació pugui utilitzar IPSEC no s'ha de fer cap canvi.

IPsec està implementat per un conjunt de protocols criptogràfics per assegurar el flux de paquets, garantir l'autenticació mútua i establir paràmetres criptogràfics.

És el protocol estàndard que utilitzen les xarxes privades virtuals (VPN)

Recomanació:

Sempre que s'hagi de configurar serveis tant client com servidors, que requereixin la utilització i enviament de contrasenyes, és recomanable la utilització de configuracions i ports que transmetin els seus missatges xifrats.

VPN

Una xarxa privada virtual (VPN) és una tecnologia de xarxa que permet una extensió de la xarxa local sobre una xarxa pública o no controlada, com per exemple Internet.

Per fer-ho possible de manera segura és necessari proporcionar els mitjans per garantir l'autenticació, integritat i confidencialitat de tota la comunicació:

• Autenticació i autorització: Qui està a l'altre costat? Usuari/equip i quin nivell d'accés ha de tenir.
• Integritat: que les dades enviades no han estat alterats. Per a això s'utilitza funcions de Hash (MD5) i el SHA.
• Confidencialitat: Atès que només pot ser interpretada pels destinataris d'aquesta. Es fa ús d'algorismes de xifrat com DES, 3DES i AES.
• No repudi: un missatge ha d'anar signat, i el que el signa no pot negar que el missatge el va enviar ell o ella.

Bàsicament hi ha tres arquitectures de connexió VPN:

• VPN d'accés remot: És potser el model més utilitzat actualment, i consisteix en usuaris o proveïdors que es connecten amb l'empresa des de llocs remots (oficines comercials, domicilis, hotels, avions preparats, etc.) utilitzant Internet com a vincle d'accés.
• VPN punt a punt: Aquest esquema s'utilitza per connectar oficines remotes amb la seu central de l'organització. El servidor VPN, que posseeix un vincle permanent a Internet, accepta les connexions via Internet provinents dels llocs i estableix el túnel VPN. Mitjançant la tècnica del Tunneling s'encapsularà un protocol de xarxa sobre un altre (protocol de xarxa encapsulat) creant un túnel dins d'una xarxa d'ordinadors.
• VPN over LAN: Aquest esquema és el menys difós però un dels més poderosos per utilitzar dins de l'empresa. Utilitza la mateixa xarxa d'àrea local (LAN) de l'empresa. Serveix per aïllar zones i serveis de la xarxa interna. Aquesta capacitat ho fa molt convenient per millorar les prestacions de seguretat de les xarxes sense fils (WiFi).

Seguretat en xarxes sense fil

El primer protocol que va sorgir per solucionar els problemes d’autenticació i confidencialitat en les xarxes sense fil va ser el protocol WEP (Wired Equivalent Privacy), és a dir, que pretén atorgar una privacitat que equival a la de les xarxes de cable.

El protocol WEP ha provocat molts problemes de seguretat a causa, principalment, del fet que l’algorisme criptogràfic en què es basa (RC4) ha resultat inadequat.

Quan no feia gaire que havia aparegut el WEP, es va descobrir que tenia una vulnerabilitat: si s’aconseguia un volum prou gran de dades xifrades, es podia esbrinar la clau per desxifrar-les.

Actualment, un atacant sense gaires coneixements de hacking és capaç de trencar la seguretat del protocol WEP gràcies a eines que circulen per Internet.

Des de l’any 2004, l’organisme regulador de les comunicacions a les xarxes sense fil desaconsella el protocol WEP. Tanmateix, encara hi ha molts punts d’accés que el fan servir.

El protocol WEP té dos modes d’autenticació: l’OSA i l’SKA.

• OSA. (Open System Authentication): Aquest sistema d’autenticació considera que qualsevol usuari que conegui l’SSID del punt d’accés és un usuari legítim. Es tracta d’un mecanisme d’autenticació extremadament feble.
• SKA (shared key authentication): En aquest sistema d’autenticació, el punt d’accés i els usuaris legítims tenen una clau comuna, és a dir, una contrasenya secreta. En el procés d’autenticació, el punt d’accés demana la clau als usuaris per comprovar que són legítims.

Per solucionar els problemes que ocasionava el protocol WEP va aparèixer el protocol WPA (Wireless Protected Access). Fins ara, el protocol WPA ha demostrat ser un protocol robust.

El protocol WPA soluciona tant la problemàtica de l’autenticació dels usuaris com la de la confidencialitat de les comunicacions. Té dos mecanismes d’autenticació possibles, el WPA-PSK i WPA-TKIP. Per xifrar les dades fa servir l’algorisme TKIP.

• WPA-PSK (WPA PreShared Key): L’usuari i el punt d’accés comparteixen una contrasenya secreta que té entre vuit i seixanta-tres caràcters i es fa servir en el procés d’autenticació. La comunicació entre el dispositiu i el punt d’accés està xifrada mitjançant un algorisme robust que fa molt difícil que un atacant pugui esbrinar la clau secreta. Els atacants poden intentar esbrinar la contrasenya secreta mitjançant atacs de diccionari, és a dir, provant, a partir de les paraules d’una llista, una infinitat de contrasenyes. És molt important escollir una contrasenya secreta que sigui difícil d’esbrinar, que combini lletres amb números i caràcters alfanumèrics.
• WPA-TKIP (Temporal Key Integrity Protocol): és l’algorisme que s’encarrega de xifrar les comunicacions en el protocol WPA. Es basa en la generació de valors aleatoris que es fan servir en el procés de xifratge per fer molt més difícil els atacs de possibles hackers.

El WPA2 és l’evolució del WPA. Incorpora les mateixes funcionalitats i característiques que el WPA, però, a més, inclou el xifratge basat en l’algorisme AES. Fins al 2017, era l’algorisme més robust que hi havia per al xifratge de dades. Però es va trobar una vulnerabilitat (CVE-2017-13082, Afectació vulnaribilitat en productes CISCO).

L’AES va ser escollit, entre molts altres estàndards que es van presentar a concurs, l’algorisme oficial per xifrar dades. També se’l coneix com a Rinjdael.

Hauríem de mencionar també el protocol 802.1X. L’autenticació basada en el 802.1X permet utilitzar diferents tipus de mecanismes (certificat electrònic, Kerberos, etc.) per al procés d’autenticació entre un dispositiu i un punt d’accés. Aquest sistema d’autenticació fa ús d’un servidor d’autenticació (per exemple RADIUS), és a dir, delega l’autenticació en un altre dispositiu. Habitualment, el 802.1X no s’aplica en xarxes domèstiques.

Recomanacions de seguretat en xarxes sense fil:

  - Assegurar l'administració del punt d'accés (AP) canviant la contrasenya.

  - Utilitzar encriptació WEP, WPA/WPA2 o servidor Radius i canviant les claus regularment.

  - Canviar el SSID per defecte i desactivar el broadcasting SSID.

  - Desactivar el servidor DHCP i assignar manualment les IPs.

  - Canviar les IPs per defecte del punt d'accés i el rang per defecte de la xarxa.

  - Activar el filtrat de màquines a través de MAC

  - Establir un nombre màxim de dispositius que es puguin connectar.

  - Analitzar periòdicament el usuaris connectats verificant si estan autoritzats o no.

  - Desconnexió de l'AP quan no s'utilitzi.

  - Actualitzar el firmware del dispositiu, per evitar vulnerabilitats.

  - Desactivar el WPS.