blog

Las redes continúan siendo una avenida la cual utiliza código malicioso para no solo atacar sistemas, sino también para propagarse a través de toda la red. Si bien muchos elementos de software pueden ser instalados sobre un host para protegerlo, las soluciones de hardware siguen siendo una de las mejores maneras para prevenir un ciberataque. Dos de los métodos más comunes para hacer esto es limitar el alcance de un sistema mediante LAN virtuales (VLAN), e impedir los sistemas se conecten hacia redes confiables mediante un Control de Acceso a la Red (NAC).

Una LAN virtual (VLAN) permite tomar un gran switch físico y sin importar donde los sistemas estén conectados, segmentarlos en diferentes redes según la función o el acceso requerido. Por ejemplo si 100 empleados y servidores están conectados hacia el mismo switch, se puede limitar el acceso o la visibilidad colocándolos sobre segmentos separados. El mínimo privilegio implica otorgar a cada usuario el acceso mínimo necesario para realizar su trabajo. Por ejemplo se pueden tomar todos los empleados de contabilidad y sus respectivos servidores para colocarlos en una VLAN separada.

Si 1,000 sistemas se conectan en un switch y los sistemas están en una red plana, cuando un sistema es comprometido, los demás 999 sistemas pueden potencialmente ser comprometidos. Sin embargo si se crean VLANs y se asignan 100 sistemas a 10 VLAN separadas, y se controla el tráfico entre las VLANs, cuando un sistema es comprometido solo se comprometen 100 sistemas, no 1,000. Las VLANs ayudan a controlar la visibilidad de los sistemas sobre una red.

Fuentes:

https://netcloudengineering.com/configuracion-vlan-cisco-switch/?lang=en
https://www.cisco.com/c/es_mx/support/docs/smb/switches/cisco-small-bus…

Aunque ayuda utilizar llaves previamente compartidas o certificados con SSH, aún existe un puerto abierto desde Internet. Un puerto abierto sigue siendo un riesgo para la seguridad, incluso si se implementan protecciones adicionales. La mejor opción es no tener puertos abiertos desde internet. La reacción inicial es cerrar todos los puertos abiertos, pero el router necesita ser accedible remotamente, y no puede accederse a este remotamente si no existe un puerto abierto. Esto en realidad no es cierto. El truco está en muchas organizaciones tienen un servidor VPN en una DMZ detrás del router. Por lo tanto la solución es acceder hacia la organización mediante una VPN, y luego desde la VPN conectarse hacia un puerto abierto en la interfaz interna del router. Esto proporciona una solución sencilla para los administradores y hace la vida más difícil para el ciberatacante.

El beneficio añadido es permite una detección temprana, pues la mayoría de los servidores VPN registran eventos, mientras la mayoría de routers no. Ahora si todo el acceso se realiza a través de un servidor VPN controlado con registro y vigilancia completo, incluso si un ciberatacante intenta acceder, existe mayor probabilidad de detección.

Fuentes:

https://www.cisco.com/c/en/us/support/docs/security-vpn/secure-shell-ss…
https://community.cisco.com/t5/routing/port-forward-ssh-to-internal-net…
 

Muchos routers típicamente se configuraron para permitir acceso remoto mediante Telnet. Telnet constantemente ha recibido críticas porque todo es enviado en texto plano. Por lo tanto si alguien ejecuta un sniffer y captura una petición de autenticación válida, un ciberatacante puede capturar la contraseña y acceder remotamente hacia el router. Basado sobre este riesgo, frecuentemente se recomienda utilizar SSH para acceder remotamente hacia los routers, porque toda la información está ahora encriptada. Esto presenta dos potenciales problemas y retos. Primero, para ejecutar SSH, librerías criptográficas deben ser instaladas y configuradas. Dado algunos routers pequeños tienen hardware y poder de cómputo limitado, esto presenta un reto en algunos casos. Ejecutar SSH no siempre es una opción sobre todos los routers.

El segundo problema es únicamente conmutar hacia SSH no resuelve el problema fundamental. El problema fundamental con acceder remotamente al router no es el ciberatacante pueda obtener la contraseña, sino un ciberatacante puede realizar fuerza bruta a la contraseña, pues las contraseñas no son frecuentemente muy complejas, no se cambian con frecuencia, no tienen bloqueo implementado, y son las mismas contraseñas utilizadas a través de toda la organización. Por lo tanto simplemente cambiar desde Telnet hacia SSH utilizando autenticación con contraseña proporciona a las organizaciones una falsa sensación de seguridad, pero no arregla el problema.

Para arreglar el problema de las contraseñas con SSH, se necesita utilizar certificados digitales o llaves previamente compartidas. El problema es esto añade recursos adicionales al router. Sin embargo en la mayoría de los casos, si un router admite e implementa SSH, puede generalmente soportar certificados o llaves previamente compartidas.

Fuentes:

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/…
https://www.cisco.com/c/es_mx/support/docs/ip/telnet/200718-Configure-T…

Cualquier dispositivo conectándose hacia una red típicamente tiene un sistema operativo controlando su funcionamiento. Para los dispositivos se comuniquen sobre una red, necesitan tener una dirección IP y puertos abiertos. Los puertos abiertos con una dirección IP visible se convierten en una avenida de ataque y potencial compromiso. Debido a la mayoría de los proveedores se enfocan sobre la funcionalidad, una instalación por defecto de un sistema es frecuentemente no muy seguro, porque tiene puertos externos abiertos y servicios en ejecución.

Los routers y switches no son diferentes de una computadora, y tienen un sistema operativo llamado  IOS. El IOS no únicamente permite el dispositivo realice su funcionalidad, sino frecuentemente también permite acceso remoto. Debido los routers conectan diferentes redes, muchas organizaciones tienen un router conectando la red de su organización hacia Internet. Para el acceso remoto con propósitos administrativos, los routers frecuentemente tienen direcciones IP públicas y puertos abiertos para conectividad. Esto proporciona una avenida de ataque para un adversario.

Aunque este acceso está frecuentemente basado en una contraseña, muchos routers no tienen controles robustos de contraseñas. Por ejemplo muchos routers no exigen la complejidad de contraseñas, expiración de contraseñas, o bloqueo de contraseñas. Además es común para una organización utilice la misma contraseña para múltiples routers y sitios. Además debido muchos routers carecen o no tienen un sistema robusto para loggins, las organizaciones típicamente tienen mínima o ninguna visibilidad sobre si alguien intentando comprometer un router.

Fuentes:

https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

La difusión dirigida por IP ayuda a implementar tareas para administración remota, como copias de seguridad o respaldo, y tareas de aplicaciones Wake-on-LAN (WOL), mediante el envío de paquetes de difusión dirigidos hacia los hosts de una subred de destino específica. Los paquetes de difusión dirigida por IP recorren la red de la misma manera lo hacen los paquetes IP unidifusión hasta alcancen la subred de destino.

Cuando alcanzan la subred de destino y la difusión dirigida por IP está habilitada en el switch receptor, el switch traduce (expande) el paquete de difusión dirigida por IP en una difusión la cual inunda la subred de destino con el paquete. Todos los hosts sobre la subred de destino reciben el paquete de difusión dirigida por IP.

Las transmisiones dirigidas rara vez son necesarias con los protocolos modernos.

Sin embargo muchos ataques DoS históricos los utilizan y algunos aún son viables.

Si se necesitan difusiones dirigidas, estas deben ser estrictamente restringidas.

Fuentes:

https://www.juniper.net/documentation/us/en/software/junos/interfaces-e…
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/syste…

El encaminamiento de origen es información en una cabecera IP la cual permite al host de origen dictamine la ruta utilizada por el paquete para llegar hacia su destino. Si la ruta estuviera determinada por puertas de enlace intermedias, podría permitir un origen eluda los dispositivos de seguridad los cuales típicamente están en la ruta entre el origen y el destino.

El encaminamiento de origen en el mundo real sería similar a conducir a través de un país de la manera más eficiente para el conductor, por ejemplo utilizando autopistas. Sin embargo si se conoce ciertas zonas tienen una alta concentración de controles policiales y de seguridad, una persona maliciosa quien desee evitar ser descubierta podría crear una ruta la cual evite estos controles principales, y al mismo tiempo llegue hacia su destino.

Fuentes:

https://community.cisco.com/t5/other-network-architecture-subjects/what…
 

Cisco IOS es el software utilizado en la gran mayoría de routers y switches de Cisco Systems. IOS es un paquete de funciones para encaminamiento, conmutación, trabajo de internet, y telecomunicaciones, el cual se integra de manera cercana con un sistema operativo multitarea.

Una parte importante del reforzamiento para la red es asegurarse de tener la más reciente versión del IOS. El reforzamiento es un proceso continuo para garantizar todo el software de red y el firmware del router estén actualizados con los parches y correcciones más recientes del proveedor.

Un IOS o cualquier sistema operativo debe considerarse un producto perecedero. Una vez disponible para el mundo, inmediatamente habrá gente utilizándolo y potencialmente encontrando fallos y errores, o gente buscando activamente explotarlo. Cuanto más tiempo transcurra más se aprenderá sobre las fortalezas y debilidades del sistema.

Afortunadamente el conocimiento de estas fortalezas y debilidades también alcanza al fabricante. Quienes entonces reparan las deficiencias y continúan realizando mejoras. Cisco por ejemplo incluye un IOS en cada dispositivo. Puede suscitarse el escenario donde este IOS nunca esté actualizado. Si el router ha estado almacenado durante un tiempo el IOS puede ser muy antiguo.

Es importante tener en consideración, si bien se menciona Cisco, esto aplica a la mayoría de los fabricantes de routers.

Fuentes:

https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
https://www.cisco.com/c/es_mx/support/docs/ios-nx-os-software/ios-softw…
 

El Hardening o Fortalecimiento es el proceso de reducir la superficie de vulnerabilidad para proteger un sistema. La superficie de vulnerabilidad es mayor cuando un sistema tiene más funcionalidades. Consecuentemente se puede teorizar un sistema con una única función suele ser más seguro comprado a uno con múltiples funciones.

Los routers o encaminadores presentan pocas vulnerabilidades explotables por los posibles ciberatacantes, porque estos dispositivos tienden a ser menos complicados comparados con los sistemas operativos tradicionales. Sin embargo presentan algunas potenciales vulnerabilidades. Para protegerse contra estas vulnerabilidades se sugiere:

• Cambiar la contraseña por defecto
• Deshabilitar difusiones dirigidas por IP
• Deshabilitar la configuración HTTP para el router, si es posible
• Bloquear las peticiones ping ICMP
• Deshabilitar el encaminamiento de origen IP
• Determinar las necesidades para filtrado de paquetes y establecerlas
• Establecer políticas para filtrado de direcciones de entrada y salida
• Mantener la seguridad física del router
• Revisar los registros de eventos (logs) de seguridad

Fuentes:

https://media.defense.gov/2020/Aug/18/2002479461/-1/-1/0/Hardening_Netw…
https://pmc.ncbi.nlm.nih.gov/articles/PMC12041446/

Esnifar el tráfico sobre un segmento utilizando un switch no es una operación imposible. dsniff es un software el cual realiza esta tarea de manera simple: El sistema del ciberatacante envía un paquete ARP falsificado hacia el sistema objetivo, indicándole su puerta de enlace predeterminada ha cambiado hacia el sistema del ciberatacante. Cuando el sistema objetivo envía tráfico sobre la red, lo envía primero hacia el sistema del ciberatacante, luego reenvía el paquete hacia su destino original como si nada hubiese ocurrido.

Otra utilidad para realizar esta tarea es Ettercap. Ettercap es un sniffer de segunda generación el cual permite detectar todo el tráfico, incluso en una red utilizando un switch. Ettercap se basa en gran medida en el envenenamiento del caché ARP (donde el ciberatacante envía respuestas ARP falsas para asociar su dirección MAC con las direcciones IP de los hosts de origen y destino).

Sniffing Autorizado

Muchos switches soportan “port mirroring”, SPAN, “puerto de gestión”, o funcionalidades similares, lo cual permite a los administradores de red realizar sniffing autorizado para vigilar el tráfico de la LAN sobre cualquier computadora conectada hacia un puerto designado del switch.

Sniffing No Autorizado

Sniffing tradicional no autorizado sobre un switch es difícil, pero con el advenimiento de herramientas como dsniff se ha simplificado esta tarea; con un programa redirigiendo ARP y reenviando IP, un ciberatacante puede esnifar cada estación sobre una red utilizando un switch.

Fuentes:

https://www.ettercap-project.org/
https://github.com/tecknicaltom/dsniff
 

El primer paso en pruebas de análisis y otro tráfico malicioso es verlo con nuestros propios ojos. Es de sentido común requerir visualizar el interior de un sistema cuando no funciona adecuadamente. Esta es la razón por la cual un sniffer es la herramienta favorita de los administradores de sistemas y redes. Debido a los sniffers pueden recolectar toda la información transmitida sobre una red en un momento definido; incluyendo contraseñas y otros datos sensibles; son muy populares entre los ciberatacantes.

Los sniffers pueden ser dispositivos de hardware los cuales físicamente se conectan hacia la red, pero más comúnmente, son programas de software ejecutándose sobre computadoras en red. Los sniffers incluidos con el sistema operativo están diseñados como herramientas para el administrador del sistema. Sin importar sus necesidades, intereses, o presupuesto, probablemente exista un sniffer cumpliendo aquello requerido. Algunos sniffers están diseñados para propósitos más especializados y nefastos. Los sniffers incluidos con rootkits frecuentemente están diseñados para buscar nombres de usuarios y contraseñas en los datos de la red y extraerlos hacia archivos. Para utilizar este tipo de sniffer los ciberatacantes no necesitan conocimientos técnicos. Simplemente ejecutan un programa, y después un tiempo, se tiene un archivo completo de nombres de usuarios y contraseñas los cuales pueden ser utilizados posteriormente para realizar una intrusión sobre la red.

Los ciberatacantes pueden también utilizar sniffers propios en su contra. ¿Esto es un argumento en contra de utilizar sniffers como herramientas para el análisis de red? Por supuesto que no; los sniffers son demasiado valiosos como para prescindir de estos por completo, y los ciberatacantes siempre pueden traer los suyos propios. Pero vale el esfuerzo de mantener los sniffers fuera del alcance de un posible ciberatacante. Es suficientemente malo uno de sus servidores de producción sea comprometido, pero es peor si el ciberatacante puede utilizar una copia instalada localmente de tcpdump para capturar contraseñas u otra información sensible.

Fuentes:

https://www.tcpdump.org/
https://www.wireshark.org/
https://snort.org/
https://github.com/tecknicaltom/dsniff
https://www.kismetwireless.net/