blog

El reenvío de puertos es utilizado ampliamente para mantener tráfico no deseado fuera de las redes. El reenvío de puertos es el proceso de interceptar tráfico dirigido para una determinada combinación de dirección IP y puerto, para luego redireccionarlo hacia una dirección IP o número de puerto diferente. Esto oculta exactamente cuales servicios se ejecutan en la red, utilizando solo la dirección IP para realizar múltiples tareas y bloqueando todo el tráfico no relacionado en el firewall.

El reenvío de puertos se puede comparar con un padre en una casa grande quien intercepta todo el correo llegando a casa, para luego filtrarlo antes del resto de la familia lo vea. Esto permite al padre organizar el correo y los paquetes según su destinatario, incluso entregando el correo en sus respectivas habitaciones, mientras al mismo tiempo filtra los folletos y el correo basura dirigidos hacia el "residente" en lugar de un miembro específico de la familia.

Desde el exterior, el remitente de correo basura dirigido hacia el "residente" no sabe quien está en la casa ni quién recibió el mensaje. Si el remitente del correo basura fuera malintencionado, no se recibiría ninguna respuesta sobre si el intento tuvo éxito o no, y seguirían adelante.

Fuentes:

https://www.cisco.com/c/es_mx/support/docs/smb/routers/cisco-rv-series-…

La mayoría de los switches tienen funcionalidades para seguridad de puerto 802.1x, como la autenticación a nivel de red, la cual requiere el usuario conectándose se autentique antes de establecer la sesión con un servidor. Esto es similar a cuando un invitado llama al timbre y espera el propietario responda y lo invite a entrar, en lugar de simplemente entrar.

Los switches tienen otras funcionalidades de seguridad, como prevenir los puertos aprendan más de una dirección MAC y asignarles direcciones MAC hacia los puertos. Muchos puntos de acceso inalámbricos 802.1x pueden configurarse con una lista de direcciones MAC para permitir o bloquear. Dado las direcciones MAC se pueden falsificar, el estándar 802.1X cuenta con un marco para combinar el control de acceso a nivel de puerto con algún tipo de autenticación.

Fuentes:

https://www.cisco.com/en/US/docs/solutions/Enterprise/Mobility/emob30dg…
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configu…
 

Otro de los problemas actuales es una computadora portátil esté fuera de la oficina durante semanas mientras un empleado está de viaje. Esto significa la computadora portátil se conecta hacia muchas redes no confiables, y tiene una alta probabilidad de ser infectada con código malicioso. La computadora portátil infectada posteriormente se vuelve a conectar dentro de la red confiable e infecta varios hosts. El Control de Acceso a la Red (NAC) permite colocar los sistemas en VLANs aisladas hasta sean escaneadas y se parchen apropiadamente, limitando su exposición para infectar otros sistemas.

Un lema importante de la ciberseguridad versa sobre la prevención es lo ideal, pero la detección es imprescindible. No existe manera de prevenir por completo un ataque ocurra. Sin embargo si un solo sistema se infecta, se puede evitar se conecte hacia redes críticas a través de NAC, y detener se propague hacia un gran número de hosts a través de VLANs. Tanto NAC y VLAN tienen valor por si mismos, pero juntos proporcionan una sólida medida de protección para las redes.

Fuentes:

https://www.cisco.com/site/us/en/learn/topics/security/what-is-network-…
https://www.cisco.com/c/en_ca/products/security/what-is-network-access-…
 

Las redes continúan siendo una avenida la cual utiliza código malicioso para no solo atacar sistemas, sino también para propagarse a través de toda la red. Si bien muchos elementos de software pueden ser instalados sobre un host para protegerlo, las soluciones de hardware siguen siendo una de las mejores maneras para prevenir un ciberataque. Dos de los métodos más comunes para hacer esto es limitar el alcance de un sistema mediante LAN virtuales (VLAN), e impedir los sistemas se conecten hacia redes confiables mediante un Control de Acceso a la Red (NAC).

Una LAN virtual (VLAN) permite tomar un gran switch físico y sin importar donde los sistemas estén conectados, segmentarlos en diferentes redes según la función o el acceso requerido. Por ejemplo si 100 empleados y servidores están conectados hacia el mismo switch, se puede limitar el acceso o la visibilidad colocándolos sobre segmentos separados. El mínimo privilegio implica otorgar a cada usuario el acceso mínimo necesario para realizar su trabajo. Por ejemplo se pueden tomar todos los empleados de contabilidad y sus respectivos servidores para colocarlos en una VLAN separada.

Si 1,000 sistemas se conectan en un switch y los sistemas están en una red plana, cuando un sistema es comprometido, los demás 999 sistemas pueden potencialmente ser comprometidos. Sin embargo si se crean VLANs y se asignan 100 sistemas a 10 VLAN separadas, y se controla el tráfico entre las VLANs, cuando un sistema es comprometido solo se comprometen 100 sistemas, no 1,000. Las VLANs ayudan a controlar la visibilidad de los sistemas sobre una red.

Fuentes:

https://netcloudengineering.com/configuracion-vlan-cisco-switch/?lang=en
https://www.cisco.com/c/es_mx/support/docs/smb/switches/cisco-small-bus…

Aunque ayuda utilizar llaves previamente compartidas o certificados con SSH, aún existe un puerto abierto desde Internet. Un puerto abierto sigue siendo un riesgo para la seguridad, incluso si se implementan protecciones adicionales. La mejor opción es no tener puertos abiertos desde internet. La reacción inicial es cerrar todos los puertos abiertos, pero el router necesita ser accedible remotamente, y no puede accederse a este remotamente si no existe un puerto abierto. Esto en realidad no es cierto. El truco está en muchas organizaciones tienen un servidor VPN en una DMZ detrás del router. Por lo tanto la solución es acceder hacia la organización mediante una VPN, y luego desde la VPN conectarse hacia un puerto abierto en la interfaz interna del router. Esto proporciona una solución sencilla para los administradores y hace la vida más difícil para el ciberatacante.

El beneficio añadido es permite una detección temprana, pues la mayoría de los servidores VPN registran eventos, mientras la mayoría de routers no. Ahora si todo el acceso se realiza a través de un servidor VPN controlado con registro y vigilancia completo, incluso si un ciberatacante intenta acceder, existe mayor probabilidad de detección.

Fuentes:

https://www.cisco.com/c/en/us/support/docs/security-vpn/secure-shell-ss…
https://community.cisco.com/t5/routing/port-forward-ssh-to-internal-net…
 

Muchos routers típicamente se configuraron para permitir acceso remoto mediante Telnet. Telnet constantemente ha recibido críticas porque todo es enviado en texto plano. Por lo tanto si alguien ejecuta un sniffer y captura una petición de autenticación válida, un ciberatacante puede capturar la contraseña y acceder remotamente hacia el router. Basado sobre este riesgo, frecuentemente se recomienda utilizar SSH para acceder remotamente hacia los routers, porque toda la información está ahora encriptada. Esto presenta dos potenciales problemas y retos. Primero, para ejecutar SSH, librerías criptográficas deben ser instaladas y configuradas. Dado algunos routers pequeños tienen hardware y poder de cómputo limitado, esto presenta un reto en algunos casos. Ejecutar SSH no siempre es una opción sobre todos los routers.

El segundo problema es únicamente conmutar hacia SSH no resuelve el problema fundamental. El problema fundamental con acceder remotamente al router no es el ciberatacante pueda obtener la contraseña, sino un ciberatacante puede realizar fuerza bruta a la contraseña, pues las contraseñas no son frecuentemente muy complejas, no se cambian con frecuencia, no tienen bloqueo implementado, y son las mismas contraseñas utilizadas a través de toda la organización. Por lo tanto simplemente cambiar desde Telnet hacia SSH utilizando autenticación con contraseña proporciona a las organizaciones una falsa sensación de seguridad, pero no arregla el problema.

Para arreglar el problema de las contraseñas con SSH, se necesita utilizar certificados digitales o llaves previamente compartidas. El problema es esto añade recursos adicionales al router. Sin embargo en la mayoría de los casos, si un router admite e implementa SSH, puede generalmente soportar certificados o llaves previamente compartidas.

Fuentes:

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/…
https://www.cisco.com/c/es_mx/support/docs/ip/telnet/200718-Configure-T…

Cualquier dispositivo conectándose hacia una red típicamente tiene un sistema operativo controlando su funcionamiento. Para los dispositivos se comuniquen sobre una red, necesitan tener una dirección IP y puertos abiertos. Los puertos abiertos con una dirección IP visible se convierten en una avenida de ataque y potencial compromiso. Debido a la mayoría de los proveedores se enfocan sobre la funcionalidad, una instalación por defecto de un sistema es frecuentemente no muy seguro, porque tiene puertos externos abiertos y servicios en ejecución.

Los routers y switches no son diferentes de una computadora, y tienen un sistema operativo llamado  IOS. El IOS no únicamente permite el dispositivo realice su funcionalidad, sino frecuentemente también permite acceso remoto. Debido los routers conectan diferentes redes, muchas organizaciones tienen un router conectando la red de su organización hacia Internet. Para el acceso remoto con propósitos administrativos, los routers frecuentemente tienen direcciones IP públicas y puertos abiertos para conectividad. Esto proporciona una avenida de ataque para un adversario.

Aunque este acceso está frecuentemente basado en una contraseña, muchos routers no tienen controles robustos de contraseñas. Por ejemplo muchos routers no exigen la complejidad de contraseñas, expiración de contraseñas, o bloqueo de contraseñas. Además es común para una organización utilice la misma contraseña para múltiples routers y sitios. Además debido muchos routers carecen o no tienen un sistema robusto para loggins, las organizaciones típicamente tienen mínima o ninguna visibilidad sobre si alguien intentando comprometer un router.

Fuentes:

https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

La difusión dirigida por IP ayuda a implementar tareas para administración remota, como copias de seguridad o respaldo, y tareas de aplicaciones Wake-on-LAN (WOL), mediante el envío de paquetes de difusión dirigidos hacia los hosts de una subred de destino específica. Los paquetes de difusión dirigida por IP recorren la red de la misma manera lo hacen los paquetes IP unidifusión hasta alcancen la subred de destino.

Cuando alcanzan la subred de destino y la difusión dirigida por IP está habilitada en el switch receptor, el switch traduce (expande) el paquete de difusión dirigida por IP en una difusión la cual inunda la subred de destino con el paquete. Todos los hosts sobre la subred de destino reciben el paquete de difusión dirigida por IP.

Las transmisiones dirigidas rara vez son necesarias con los protocolos modernos.

Sin embargo muchos ataques DoS históricos los utilizan y algunos aún son viables.

Si se necesitan difusiones dirigidas, estas deben ser estrictamente restringidas.

Fuentes:

https://www.juniper.net/documentation/us/en/software/junos/interfaces-e…
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/syste…

El encaminamiento de origen es información en una cabecera IP la cual permite al host de origen dictamine la ruta utilizada por el paquete para llegar hacia su destino. Si la ruta estuviera determinada por puertas de enlace intermedias, podría permitir un origen eluda los dispositivos de seguridad los cuales típicamente están en la ruta entre el origen y el destino.

El encaminamiento de origen en el mundo real sería similar a conducir a través de un país de la manera más eficiente para el conductor, por ejemplo utilizando autopistas. Sin embargo si se conoce ciertas zonas tienen una alta concentración de controles policiales y de seguridad, una persona maliciosa quien desee evitar ser descubierta podría crear una ruta la cual evite estos controles principales, y al mismo tiempo llegue hacia su destino.

Fuentes:

https://community.cisco.com/t5/other-network-architecture-subjects/what…
 

Cisco IOS es el software utilizado en la gran mayoría de routers y switches de Cisco Systems. IOS es un paquete de funciones para encaminamiento, conmutación, trabajo de internet, y telecomunicaciones, el cual se integra de manera cercana con un sistema operativo multitarea.

Una parte importante del reforzamiento para la red es asegurarse de tener la más reciente versión del IOS. El reforzamiento es un proceso continuo para garantizar todo el software de red y el firmware del router estén actualizados con los parches y correcciones más recientes del proveedor.

Un IOS o cualquier sistema operativo debe considerarse un producto perecedero. Una vez disponible para el mundo, inmediatamente habrá gente utilizándolo y potencialmente encontrando fallos y errores, o gente buscando activamente explotarlo. Cuanto más tiempo transcurra más se aprenderá sobre las fortalezas y debilidades del sistema.

Afortunadamente el conocimiento de estas fortalezas y debilidades también alcanza al fabricante. Quienes entonces reparan las deficiencias y continúan realizando mejoras. Cisco por ejemplo incluye un IOS en cada dispositivo. Puede suscitarse el escenario donde este IOS nunca esté actualizado. Si el router ha estado almacenado durante un tiempo el IOS puede ser muy antiguo.

Es importante tener en consideración, si bien se menciona Cisco, esto aplica a la mayoría de los fabricantes de routers.

Fuentes:

https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
https://www.cisco.com/c/es_mx/support/docs/ios-nx-os-software/ios-softw…