Charla impartida por la empresa D-Link durante el III Curso de verano de Seguridad Informática de la UEM en Valencia.

1. Segmentación de la redProtección frente a amenazasJuan Luis García RamblaConsultor seguridad y sistemasjlrambla@informatica64.com

2. Una visión de la realidad

3. Introducción Las redes internas de una organización están sujetas a múltiples ataques. Cuanto mayor sea su tamaño, mayor será la exposición y más complejo determinar que ha podido pasar. Aumentar la superficie de la red, disminuye el control que de la misma se tuviera lugar.

4. Amenazas Ataque en redes de datos. Equipos inseguros y accesos no controlados. Gusanos de red. Ataques adicionales como los de impersonalización.

5. Ataques en redes de datos Técnicas de Sniffing, Spoofing y Hijacking. Una de las técnicas principales el Man in the Middle. El ataque se realiza en capa 2. Permite la realización de otros ataques adicionales. El sniffing en una red conmutada solo es factible mediante una técnica adicional de MITM.

6. Equipos inseguros ¿Se sabe realmente si quien está en la red es realmente quien debería estar? Los equipos conectados a la red son realmente seguros. Siguen la política de seguridad de la organización. El riesgo normalmente lo representan los equipos externos de la organización.

7. Ataques de Malware. Blaster, Sasser, Slammer, Conficker… de que me suenan. Aprovechan la comunicación a través de la red de los sistemas (principalmente inseguros), para dispersarse. Pueden inundar un segmento físicos, provocando la denegación de servicio. Los últimos ataques de gusanos han sido programados para su cambio de comportamiento dinámico.

8. Divide et vinces

9. Introducción Segmentar permitirá garantizar una mejora en la seguridad y dimensionamiento para mejor velocidad. La segmentación de las redes pueden producirse a dos niveles: Lógicas. Fisicas. La segmentación lógica no garantiza totalmente la seguridad.

10. Mecanismos de segmentación División de la arquitectura en Capa 2. División de la arquitectura en Capa 3. Aplicación de listas de control. Controlar el acceso a redes.

11. Virtual LAN Las VLan vienen a proporcionar una respuesta a las planteadas anteriormente. Segmentan físicamente los puertos de un dispositivos para evitar la comunicación entre ellos. La generación y gestión de las VLan vendrá determinada por las necesidades de implementación de las organizaciones.

13. VLAN entre dispositivos Las VLAN fueron ideadas originalmente para la segmentación de un dispositivo La evolución y el número de dispositivos tipo Switch en las empresas requerían tecnologías mejoradas que permitieran la compartición de VLAN, entre los diferentes dispositivos De esta forma una VLAN 1 y 2 podría contener puertos de un dispositivos Switch 1 y 2, independientemente de sus características Esto permite una mayor flexibilidad para la generación y configuración de este tipo de redes

14. VLAN estática La configuración y pertenencia a una VLAN viene determinada por la configuración manual del administrador del dispositivo La asignación puede darse por: Puerto MAC Protocolo Valido para entornos pequeños o de sistemas de control específicos

15. VLAN dinámicas El puerto y los parámetros de la conexión, determinarán a que VLAN pertenecen Existen diversos protocolos para el establecimiento de VLan dinámicas GVRP Doble VLAN Q in Q 802.1Q Tagged VLAN 802.1V La configuración de VLan vendrá precedido por el tipo de dispositivo

16. Interconexión entre Vlan La conexión entre las Vlan a través de capa 3 permitirá la comunicación de las mismas. La aplicación de listas de control de acceso permitirá limitar el intercambio de datos bien entre equipos o por protocolos. La funcionalidad de capa 2 y 3 en los dispositivos de conmutación permite el control de flujo del tráfico.

17. Configuración de ACL

18. VLAN dinámicas y el acceso a la red La utilización de VLAN dinámicas permiten la extensión para garantizar el control de acceso a las redes. El acceso a red extensible a múltiples dispositivos de red permitirá o denegará una acción a un cliente de red. En el caso de los dispositivos de conmutación, el sistema permitirá determinar la pertenencia a una u otra Vlan dependiendo de la configuración de seguridad del cliente.

19. Integración NAP Dentro de las arquitecturas de seguridad actuales de las organizaciones, la protección de acceso a redes, constituirá un pilar básico de control. Dispositivos Switch de D-LINK, permiten la integración en topologías NAP de Microsoft. El Switch solicitará vía 802.1x un procedimiento de autenticación y solicitud de estado de salud. Una vez revisado dicho estado, el equipo entrara en una VLAN u otra en función del mismo.

20. Arquitectura NAP System Health Servers Remediation Servers Health policy Updates Network Access Requests Client Health Statements Network Policy Server System Health Agent (SHA) MS and 3rd Parties Health Certificate System Health Validator Quarantine Agent (QA) Network Access Devices and Servers Enforcement Client (EC) (DHCP, IPSec, 802.1X, VPN) Quarantine Server (QS)

21. Autenticación 802.1x Nace con la premisa de que un dispositivo de red, pueda solicitar un proceso de autenticación para las conexiones Implementa el sistema EAPOL (EAP OverLan) Aunque es ampliamente conocido en las topologías de redes seguras WIFI introduce una variante de uso en las tecnologías de seguridad de acceso a redes

22. Not Compliant Remediation Servers Policy Compliant Como trabaja NAP Active Directory Network Access Requests Windows Client Health Statements NPS SHA Restricted Network SHV QA Network Access Devices QS EC

23. DEMO ASEGURANDO UNA RED GENERACION DE VLAN NETWORK ACCESS PROTECTION

24. Garantizando la seguridad en la red

25. Protección contra ataques de MITM La protección contra ataques de spoofing en capa 2 se pueden minimizar mediante la segmentación en Vlan. Sin embargo esta segmentación reduce el ataque pero no lo mitiga totalmente. Sería factible el ataque dentro de la Vlan. Existen medidas alternativas: Implementación Software. Control en dispositivos.

26. Filtrado de direcciones MAC Los dispositivos permiten especificar un filtro de direcciones MAC que impidan que puedan comunicarse a través de un puerto estaciones no autorizadas Aunque supone una medida preventiva no puede evaluarse como una de tipo definitiva sino como accesorias de otras para el control del acceso al medio

27. Vinculación Puerto-IP-MAC Prevenir contra técnicas de ataques en redes de datos es uno de los objetivos en las comunicaciones Este sistema identifica IP con MAC y Puertos Cualquier transmisión que no cumpla con los requisitos establecidos será descartadas Mecanismo preventivo contra las técnicas de ataque tipo ARP Spoofing

29. Vinculación Puerto-IP-MAC dinámica Para reducir el esfuerzo de administración los dispositivos admiten la vinculación IP-MAC por aprendizaje a través de DHCP.

30. Portal Cautivo Es una página Web que obliga a establecer una autenticación previa, antes de poder seguir utilizando la red Es un paso ineludible por el usuario Garantiza que la información y los servicios sean solo accesibles por usuarios autenticados Permite autenticación local y RADIUS

31. DEMO PROTECCIÓN DINÁMICA DE UNA RED CONTRA MITM

32. ¿PREGUNTAS?

33. FORMACIÓN DLINK