Seguretat Perimetral

Table of Contents

1 Seguretat perimetral

Quan parlem de seguretat perimetral em de ser concients que estem parlant d'un dels punts més importants a tractar alhora d'assegurar la infraestructura informàtica d'una empresa, ja que les defenses que establim aquí són les que lluitaràn contragran part dels atacs externs als que ens enfrontem.

1.1 Què entenem per el perímetre de la xarxa empresarial?

Entenem per perímetre tots aquells elements físics, com enrutadors o punts d'accés wifi, i tots aquells elements lògics (especialment subxarxes) de la xarxa empresarial que tenen contacte amb elements externs a la mateixa, com per exemple Internet o equips informàtics (portàtils, telèfons, etc) de tercers.

En essència hem d'entendre que tot el que estigui fora de l'empresa és potencialment agressiu i per tant hem de desconfiar-hi. A partir d'aquí, aquestes zones i elements perimetrals tindràn la funció de contenir, eliminar o mitigar qualsevol amenaça que s'hi pugui produïr (i que de ben segur succeirà).

És per aquests motius per els que haurèm de fer un anàlisis particular de l'empresa tractada i establir mecanismes de seguretat en tot el perímetre de la mateixa.

1.2 Elements típics en el perímetre de les empreses

Així doncs hem de ser concients que tots aquests elements que estiguin al perímetre de la xarxa de l'empresa estaràn sotmessos a molts atacs informàtics, i per tant en màxim risc. Això comporta que hem de tenir molt clar quins són aquests elements, identificar-los i fer-hi un tractament molt conscient a nivell de fortificació o hardering.

Alguns elements típics que trobarem en el perímetre de la xarxa són:

Enrutadors
Que donaràn accés tant als equips interns cap a Internet com als clients de Internet cap als serveis que els hi ofereix la nostra xarxa (web, email, ftp, etc).
Punts d'accés WiFi
Tindrem dos tipus de AP diferenciats per el seu us, per a ser utilitzats per treballadors interns i wifis obertes per a usuaris externs a l'empresa. Cada tipus presenta reptes diferents com veurem més endavant.
Serveis a Internet
Tots aquells servidors i serveis que ofereixin serveis, i per tant hagin de ser accessible, a Internet tindràn contacte amb entitats externes a l'empresa i per tant estaràn sota gran risc, acumulant la major part d'atacs (especialment els automatitzats).

Tot i que aquests siguin els elements més comuns, hem de fer un anàlisis de les necessitat i maneres de treballar de l'empresaja que poden existir altres elements més específics que també estiguin dins del perímetre de l'empresa, per exemple:

Xarxa de reparació (taller)
En una botiga informàtica on es faci reparació d'equips de clients, aquests equips no són pròpis de l'empresa sinó de tercers i per tant potencialment perillossos. Caldria una subxarxa per a connectar-los i tractar-la com a perimetral.
Equips itinerants
Podria donar-se el cas de que l'empresa utilitzi equios que "surten" de les instal·lacions i per tant queden fora del control de l'empresa durant aquests períodes, en tornar reconnecten (per exemple portàtils del personal comerçial). Fora assenyat assignar ungrau de desconfiança més elevat a aquests equips i que tan sols connectessin a una subxarxa específica més monitoritzada de l'habitual.

Per a fer-nos una millor idea, aquest sería un esquema típic de una xarxa identificant els element perimetrals de la mateix així com les subxarxes de baixa confiança. perimetral.png

1.3 Esquerdes al perímetre

Un cop establert el perímetre de la xarxa i implementat fortes messures de seguretat haurèm aconseguit assegurar en gran messura tota la infraestructura informàtica. Tanmateix hem de ser conscients de varis factors:

Monitoratge
Tot i la bona feina que haguem fet, caldrà fer un monitoratge de tots els elements de la xarxa per detectar errors i noves casuístiques que no haguem contemplat alhora de desplegar els mecanismes de seguretat.
Manteniment i millora
Caldrà realitzar tasques de manteniment i millora en tots els elements.
Avanç de la disciplina
Cal ser conscients de que cada dia apareixen nous vectors d'atac fins ara desconeguts i que ens poden afectar, per tant cal estar informat.
Insiders
No tots els atacs provenen de l'exterior de l'empresa, també podem tenir atacs dels nostres propis treballadors, que ja estaràn a la xarxa interna i tindràn certs permissos sobre els recursos informàtics.
Evasió del perímetre
Per últim, cal ser conscient de que existeixen tècniques per evadir totalment les messures de seguretat que hem establert al perímetre, com per exemple infectar un equip intern mitjançat un adjunt d'un email. No tots els atacs es fan "de cara" o "a les portes" de la xarxa.

2 Mecanismes de seguretat

2.1 Regla d'or: Mínima superfície d'atac

De forma anàloga a les arts marcials, la regla d'or és minimitzar la superfície d'atac o la superfíci expossada, alhora que mantenim les funcionalitats requerides per el procés productiu de l'empresa. Per tant haurèmde fer un anàlisis de les necessitats funcionals de l'empresa i intentar no caure en estereotips. Algunes preguntes a fer-se podrien ser:

  • Quins serveis cal que oferim als nostres clients d'Internet?
  • Els nostres treballadors necessiten accedir a algun recurs des de fora les instal·lacions de l'empresa?
  • Els nostres treballadors o equips necessiten connectar-se per WiFi per poder treballar?
  • Necessitem proporcionar connexió a Internet a les persones/equips que venen de fora?
  • Les persones/equips que ens venen de fora necessiten accedir a algun recurs intern de la nostra xarxa?

Per tant cercarem obrir cap al exterior el mínim de portes, ententent com a portes elemets de xarxes (punts d'accés, enrutadors, etc), també serveis i fins i tot informació. Això ho aconseguirem no afegint aquests elements a la xarxa i/o tancant-los amb tallafocs i altres tècniques com port knocking.

2.1.1 Port Knocking

Port Knocking és una técnica que consisteix en implementar un servidor d'aquesta aplicació en l'equip que fa de tallafocs i un client en el client que voldrà connectar a un servei determinat. Inicialment es tanca totalment el tallafocs, inclossos els ports on està escoltant el servei. Mitjançant el client Port Knocking el client llança una serie de paquets a determinats ports i en determinada seqüencia, aquests "Knocks" són escoltats per el servidor de Port Knocking i si són correctes obre el port del servei al tallafocs tan sols per al client que ha fet els "kncoks".

D'aquesta forma tenim un tallafocs totalment tancat que s'obre tan sols si el client "sap la combinació de tocs secrets" a fer. El servei per tant roman totalment invisible a qualsevol atacant i tan sols s'obrirà per a clients que han fet correctament els tocs,minimitzant molt els possibles atacs.

La contrapartida principal és que per a establir connexió per part del client calen ara dos passos, fer el "knocking" i després connectar, i per tant també dos programes. Tot plegat és interessant per a usuaris avançats i serveis crítics (com administradors i serveis de control remot) i massa farragòs per usuaris normals.

2.2 Ofuscació

L'ofuscació és l'estrategia d'intentar disuadir els atacants tot enganyant-los o amagant elements de la xarxa. Acostumen a ser tècniques no recomanades ja que proporcionen una falsa sensació de seguretat, tanmateix si s'utilitzen tenint això en compte poden ajudar a repelir atacs. Bàsicament per fer ofuscació podem:

Ofuscació per ocultació
Ocultar un recurs o element ja sigui ocultant-lo totlament o generant tant soroll que els recursos legítims siguin difícils de localitzar. Tècniques com aquestes seríen l'ocultació de la SSID de la WiFi o la simulació de l'obertura de tots els ports en algun servidor.
Ofuscació per des-informació
L'altre forma de fer ofuscació és des-informar, o directament mentir, és a dir proporcionar al atacant informació erronia sobre tecnologies, serveis, etc de forma que molts cops es crontradiguin i sigui difićil determinar la informació veràç de la falsa. Això es pot implementar típicament modificant els ports per defecte dels serveis, modificant els banners del serveris, etc.

Com podeu veure, aquestes estratègia no aturen un atacant sinó que intenten complicar-l'hi la vida amagant o donant informació falsa. Formes d'aplicar-les hi ha moltes i val la pena ser creatiu (per exemple també podriem ser posts a StackOverflow demanat dubtes tècnics amb el compte d'administrador o email empresarial i donant informació falsa com tecnologies, captures de pantalles falsos, etc).

2.3 Segmentació de xarxa

La segmentació de la xarxa ésla tècnica més bàsica i efectiva (si es fa bé) per evitar i/o contenir atacs dins de la xarxa empresarial. Els conceptes són els que ja teniu vistos de xarxes, per tant tan sols recordar elstres mètodes bàsics, mś algun bonus, mitjançant els quals podem aconseguir això:

Segmentació lògica
Utilitzant subnneting. Totalment desaconsellat ja que un simple canvi en la configuració de xarxa del equip atacant i ja hauría aconseguit evadir aquesta mesura de seguretat.
Segmentació física
Segmentar la xarxa utiltizant elements físics (conmutadors i cablejat) i permetent el canvi de xarxa tan sols mitjançant enrutadors i tallafocs. La millor opció però poc flexible (estructura física canviant).
Segmentació virtual
És a dir, utilizant vLan. Virtualitzem una segmentació física utilitzant elements de xarxes (enrutadors i conmutadors) que suportin vLan. Això permet totes les avantatges de la segmentació física però amb un alt grau de flexibilització i adaptabilitat a canvis (és a dir, elimina les des-avantatges).
SDN (Software Defined Network)
Tot i que bàsicament ho hem d'entendre com una segmentació virtual, en aquest cas la flexibilització, adaptabilitat i dinamisme de la xarxa és extrem, permetent per exemple que en detectar un atac la xarxa s'adapti i modifiqui la seva topologia.

Cal fer ènfasis en la importància de la segmentació de la xarxa ja que en cada subxarxa el grau de confiança dels elements que s'hi connectin serà homogèni i serà en elles, i en el canvi d'una subxarxa a un altre, on establirem elements de seguretat, monitoratge, control i autenticació per poder "passar d'un nivell de confiança a un altre".

2.3.1 Confiança i DMZ

El concepte de confiança dins d'una subxarxa ha acabat generant una estructura de xarxa típica anomenada DMZ (Des Militaritzed Zone). La DMZ es destina a contenir els servidors de l'empresa que ofereixen serveis a Internet, típicament servidor Web, email, FTP, etc. Objectiu principal és separar aquests servidors de la resta de la xarxa interna, ja en oferir serveis a Internet són els més susceptibles de ser atacats i compromessos. En estar dins d'aquest segmenet de xarxa, si han estat hackejats s'evitarà que l'atacant pugui pivotar cap a un segment de xarxa més intern i amb recursos més crítics, contenint així l'atac i mitigant els seus efectes.

Aquesta DMZ s'implementa mitjançant un o dos enrutadors+tallafocs.

dmz1.png Implementació de DMZ amb un sol enrutador+tallafocs.

dmz2.png Implementació de DMZ amb dos enrutadors+tallafocs.

Tanmateix aquest concepte de DMZ es pot aplicar d'igual forma per qualsevol subxarxa de baixa confiança. Ja que en el fons es tracta d'aïllar una subxarxa on tenim confiança baixa. Per tant les relges típiques de tallafos en aquesta xarxaseràn:

  • Internet -> DMZ: Tràfic dels serveis ofertats.
  • X.Interna -> DMZ: Tràfic dels serveis ofertats.
  • DMZ -> X.Interna: Cap tràfic.
  • DMZ -> Internet: Cap tràfic.
  • Internet -> X.Interna: Cap tràfic.
  • X.Interna -> Internet: Tràfic controlat.

2.4 Elements de control en el pas de subxarxes

Tallafocs
Els tallafocs determinaràn quins paquets i comunicacions poden passar d'una subxarxa a un altre, aplicant filtres més o menys restrictius.
NIDS
Els detectors d'intrussos de xarxa podràn analitzar tot el tràfic que passa d'una xarxa a un altre i determinar si existeixen atacs.
Autenticació d'usuaris
Molts cops per connectar a una xarxa concreta caldrà autenticar l'usuari o el equip amb serveis com AD, RADIUS, VPN, etc.

2.5 Elements de control dins de les subxarxes

NIDS
De forma similar al pas entre xarxes, es poden instal·lar NIDS en entorns no-conmutats (o utilitzar port-mirroring) per detectar atacs dins d'una subxarxa.
HoneyPots
Aquests elements simulen servidors o elements fàcilment vulnerables i serveixen com enganys i esques per a hackers i malware. En ser atacats poden generar una alarma i/o enregistrar l'activitat maliciosa de l'atacant.

3 Bibliografía

4 Glossari

5 [5/7] Tasques pendents

  • [X] Estructurar document
  • [X] Exportació HTML
  • [ ] Corrector
  • [X] Diagrames
  • [ ] Remarcar en negreta conceptes importants
  • [X] Explicar Port Knocking
  • [X] DMZ

6 Bitàcora

6.1 <2020-12-13 dg.>

Primera versió, amb coses importants per fer com passar el corrector encara…. XD.

Date: 13/12/20

Author: Raul Gimenez Herrada

Created: 2020-12-13 dg. 13:43

Validate