Seguridad activa: Acceso a redes

Redes cableadas

Generalmente en las empresas las máquinas están conectadas a una red de área local para utilizar los recursos de otras máquinas y para que otras aprovechen los suyos.

También hay que protegerse de los ataques que vengan por la red, ya que una máquina que ofrece servicios TCP/IP debe abrir ciertos puertos. A estos puertos pueden solicitar conexión máquinas fiables siguiendo el protocolo estándar, o máquinas maliciosas siguiendo una variación del protocolo que provoca un fallo en nuestro servidor. Puede quedar el servicio interrumpido o que tomen el control de la máquina.
Actualmente utilizamos la arquitectura en estrella, cada equipo tiene un cable directo a un puerto de un conmutador de red (switch) y por ahí se envían sus paquetes, el switch los recibe y decide por qué puerto va a enviarlos para que lleguen al destino. Mejoramos la seguridad y el rendimiento.
Las redes conmutadas tiene vulnerabilidades propias:

• Hay que proteger el switch físicamente, encerrarlo en un armario/rack con llave,etc.
• Hay que proteger el switch lógicamente, poner usuario/contraseña para acceder.
• Hay que hacer grupos de puertos, porque en un switch suelen estar conectados grupos de máquinas que nunca necesitan comunicarse entre sí.
• Hay que controlar qué equipos se pueden conectar y a qué puertos.

VLAN

Una VLAN es un grupo de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas . Utilizar esto mejora el rendimiento y la seguridad. Si ocurre un problema en una VLAN, las otras no se ven afectadas. Aunque en un exceso de tráfico en una VLAN sí afectaría a todos, ya que comparten el switch.

Una VLAN basada en grupos de puertos no queda limitada a un switch; uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto forma parte de otro grupo de puertos, etc.

Sin embargo, es raro que las VLAN estén completamente aisladas del resto del mundo. Como mínimo, necesitarán acceso a Internet, así como conectar con otros servidores internos de la empresa ). Para interconectar VLAN (capa 2) generalmente

utilizaremos un router (capa 3).

• Capa 2: En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe como intercambiar paquetes de datos con los equipos que están en su misma red. La comunicación es directa entre origen y destino.
• Capa 3: La capa de red tiene una visión global de la red: sabe como hacer llegar paquetes de datos hasta equipos que no están en su misma red. La comunicación es indirecta, necesita pasar por el router.

El router necesitará conectividad con cada una de las VLAN que interconecta. Para que suceda debemos reservarle un puerto en cada una, pero nos llevaría a instalar muchas tarjetas en el router. Otra solución es usar un segundo tipo de VLAN, la VLAN etiquetada.

Autenticación en el puerto. MAC y 802.1X

Para evitar que alguien se conecte con un cable RJ45 de otro ordenador a un portátil y lanze ataque, los switch permiten establecer autenticación en el puerto: solo podrá conectar aque cuya MAC está dentro de una lista definida en el propio switch. Pero ya que las MAC son muy fáciles de falsificar, también tenemos la posibilidad de que sea autentificado mediante RADIUS en el estándar 802.1X

Redes inalámbricas

Lo más normal son las redes de tipo infraestructura, un equipo llamado access point (AP) hace de switch, de manera que los demás ordenadores se conectan a él, le envían sus paquetes y él decide cómo hacerlos llegar al destino, ya sea de nuevo por el aire o sacarlo por el cable que lleva al resto de la red, que es lo más habitual en las empresas.

En las redes cableadas debemos de:

• Proteger el access point físicamente: El AP tiene que estar cerca de los usuarios para que puedan captar la señal inalámbrica, es más complicada que el switch para protegerla.
• Proteger el access point lógicamente: Usuario/contraseña.
• Controlar qué clientes pueden conectarse a él mediante autenticación.
• Separar dos grupos de usuarios, para hacer que el mismo AP emita varias SSID distintas.
• Encriptar la transmisión entre el ordenador y el AP.

Asociación y transmisión

La autenticación es más habitual en redes inalámbricas que en redes cableadas, ya que podemos captar la señas inalámbrica desde fuera. Aunque intentemos evitar que salga la señal limitando la potencia de la emisión , es imposible.

Los AP admiten varios tipos de autenticación:

• Abierto: No hay autenticación, cualquier equipo puede asociarse con el AP.
• Compartida: La misma clave que utilizamos para cifrar la usamos para autentificar.
• Acceso seguro: Usamos distintas claves para autentificar y cifrar. El usuario solo necesita saber la de autentificación. La clave de cifrado se genera automáticamente durante la asociación.
• Autenticación por MAC: El AP mantiene una lista de MAC autorizadas y solo ellas pueden asociarse.

Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP, para evitar que un tercero capture los paquetes intercambiados, el cliente y el AP deben de activar el cifrado de cada paquete. El tipo de cifrado se elige durante la asociación.

• Autenticación abierta y sin cifrado: Se utiliza en lugares públicos , damos la clave en un cartel dentro del establecimiento.
• Autenticación abierta y transmisión cifrada: Es el esquema habitual de las primeras redes wifi.
• Autenticación compartida y transmisión cifrada: Es mala combinación ya que la autenticación es muy vulnerable y una vez que conozcan esa clave, tendrán acceso a descifrar comunicaciones de cualquier ordenador que este conectado a esta AP.
• Autenticación segura y transmisión cifrada: Es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA.

Cifrado WEP

El primer estándar se llamó WEP que intentaba compensar las dos realidades:

• En redes cableadas es difícil es acceso al cable, pero si se consigue pueden capturar cualquier comunicación que pase por ahí.
• En redes inalámbricas cualquiera puede capturar las comunicaciones, pero al estar cifradas no les sirve de nada.

Se encontraron debilidades y empezaron a trabajar en un nuevo estándar: El WPA, que incluía muchas mejoras.

• Nuevos algoritmos más seguros, lo que dificulta los ataques.
• Rotación automática de claves.
• Se distingue entre los ámbitos personal y empresarial. En el ámbito personal solo se necesita una clave y en el empresarial, WPA empresarial introduce un servidor RADIUS. 

 WPA empresarial: RADIUS.

El esquema de funcionamiento de WPA empresarial es:

• Dentro de la LAN hay un pc con software servidor RADIUS, donde se aleja una base de datos de usuarios y contraseñas.
• Los AP de la empresa tienen conexión con ese pc.
• Los AP ejecutan un software cliente RADIUS capaz de formular preguntas y analizar respuestas.
• El servidor RADIUS tiene la lista de las IP de los AP que le pueden preguntar que además necesitará que le configuremos una contraseña para el servidor.
• Cuando un cliente quiere asociarse a un AP le formula la pregunta al RADIUS utilizando la contraseña configurada para el servidor y dependiendo de la respuesta, el AP lo aceptará o no.

Mejora la seguridad por que cada usuario tiene contraseña y podemos añadir o quitar un usuario, además de poder llevar un registro de quien entra a la red gracias a WPA.

 Los hackers al ser disuadido por la rotación de claves de WPA concentraron su trabajo en la clave PSK de la fase de asociación. Utilizaron la fuerza bruta de dos formas:

• Probando contraseñas una tras otra, ya que los AP no suelen tener un control del número de intentos fallidos.
• Si consiguieran capturar las tramas de inicio de conexión de un cliente podrían aplicar un ataque de diccionario sobre la información de esas tramas. 

VPN

Los empleados de las empresas además de en las oficinas necesitan acceder a esa red desde cualquier lugar de internet así que se montan VPNs que establecen una VLAN entre el ordenador del empleado y la LAN de la empresa.

En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, que se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión. La gestión consiste en:

• Autenticar al cliente VPN.
• Establecer un túnel a través de internet, para que cualquier paquete que quiera salir de ahí sea encapsulado dentro de otro paquete, que una vez que llega se inyecta en la LAN.
• Proteger el túnel, encriptando el tráfico.
• Liberar el túnel, que consiste en darle libertad al cliente o el servidor para interrumpir la conexión cuando lo consideren necesario.
• El túnel se puede usar solo para comunicaciones internas.

Servicios de red. Nmap y netstat

Hay riesgos cuando conectamos un equipo a una red por que nos pueden llegar conexiones de un cliente atacante o nos podemos conectar a un servidor atacante.

Debemos vigilar qué software tenemos activo y qué actualizaciones tiene pendientes.

Las actualizaciones llegarán por el mecanismo habitual del SO; el software lo podremos conocer mediante: Nmap y netstat.

La herramienta Nmap está disponible para Windows y Linux. Escanea e intenta establecer conexiones con los servicios. Después analiza los mensajes que generan éstos servidores para identificar la versión concreta del SO y la del software de servidor que está escuchando en cada puerto.

Para cada puerto, la herramienta ofrece cuatro posibles estados:

• Open: Acepta paquetes para ese puerto donde un servidor los escucha y procesa.
• Closed: No hay servidores escuchando.
• Filtered: Nmap no puede decir si ese puerto está abierto o cerrado por bloqueo de conexión.
• Unfiltered: Nmap no puede decir si ese puerto está abierto, pero no está bloqueado.

Bibliografía

• Apuntes del tema.
• Información de Internet.
• Youtube.