Virtual lans segmentación segura de redes
-
Upload
eventos-creativos -
Category
Technology
-
view
4.970 -
download
0
description
Transcript of Virtual lans segmentación segura de redes
Segmentación de la redProtección frente a
amenazas
Juan Luis García RamblaConsultor seguridad y [email protected]
UNA VISIÓN DE LA REALIDAD
Introducción
Las redes internas de una organización están sujetas a múltiples ataques.
Cuanto mayor sea su tamaño, mayor será la exposición y más complejo determinar que ha podido pasar.
Aumentar la superficie de la red, disminuye el control que de la misma se tuviera lugar.
Amenazas
Ataque en redes de datos.
Equipos inseguros y accesos no controlados.
Gusanos de red.
Ataques adicionales como los de impersonalización.
Ataques en redes de datos
Técnicas de Sniffing, Spoofing y Hijacking.
Una de las técnicas principales el Man in the Middle.
El ataque se realiza en capa 2.
Permite la realización de otros ataques adicionales.
El sniffing en una red conmutada solo es factible mediante una técnica adicional de MITM.
Equipos inseguros
¿Se sabe realmente si quien está en la red es realmente quien debería estar?
Los equipos conectados a la red son realmente seguros.
Siguen la política de seguridad de la organización.
El riesgo normalmente lo representan los equipos externos de la organización.
Ataques de Malware.
Blaster, Sasser, Slammer, Conficker… de que me suenan.
Aprovechan la comunicación a través de la red de los sistemas (principalmente inseguros), para dispersarse.
Pueden inundar un segmento físicos, provocando la denegación de servicio.
Los últimos ataques de gusanos han sido programados para su cambio de comportamiento dinámico.
DIVIDE ET VINCES
Introducción
Segmentar permitirá garantizar una mejora en la seguridad y dimensionamiento para mejor velocidad.
La segmentación de las redes pueden producirse a dos niveles:• Lógicas.• Fisicas.
La segmentación lógica no garantiza totalmente la seguridad.
Mecanismos de segmentación
División de la arquitectura en Capa 2.
División de la arquitectura en Capa 3.
Aplicación de listas de control.
Controlar el acceso a redes.
Virtual LAN
Las VLan vienen a proporcionar una respuesta a las planteadas anteriormente.
Segmentan físicamente los puertos de un dispositivos para evitar la comunicación entre ellos.
La generación y gestión de las VLan vendrá determinada por las necesidades de implementación de las organizaciones.
VLAN entre dispositivos
Las VLAN fueron ideadas originalmente para la segmentación de un dispositivo
La evolución y el número de dispositivos tipo Switch en las empresas requerían tecnologías mejoradas que permitieran la compartición de VLAN, entre los diferentes dispositivos
De esta forma una VLAN 1 y 2 podría contener puertos de un dispositivos Switch 1 y 2, independientemente de sus características
Esto permite una mayor flexibilidad para la generación y configuración de este tipo de redes
VLAN estática
La configuración y pertenencia a una VLAN viene determinada por la configuración manual del administrador del dispositivo
La asignación puede darse por:• Puerto• MAC• Protocolo
Valido para entornos pequeños o de sistemas de control específicos
VLAN dinámicas
El puerto y los parámetros de la conexión, determinarán a que VLAN pertenecen
Existen diversos protocolos para el establecimiento de VLan dinámicas• GVRP• Doble VLAN Q in Q• 802.1Q Tagged VLAN• 802.1V
La configuración de VLan vendrá precedido por el tipo de dispositivo
Interconexión entre Vlan
La conexión entre las Vlan a través de capa 3 permitirá la comunicación de las mismas.
La aplicación de listas de control de acceso permitirá limitar el intercambio de datos bien entre equipos o por protocolos.
La funcionalidad de capa 2 y 3 en los dispositivos de conmutación permite el control de flujo del tráfico.
Configuración de ACL
VLAN dinámicas y el acceso a la red
La utilización de VLAN dinámicas permiten la extensión para garantizar el control de acceso a las redes.
El acceso a red extensible a múltiples dispositivos de red permitirá o denegará una acción a un cliente de red.
En el caso de los dispositivos de conmutación, el sistema permitirá determinar la pertenencia a una u otra Vlan dependiendo de la configuración de seguridad del cliente.
Integración NAP
Dentro de las arquitecturas de seguridad actuales de las organizaciones, la protección de acceso a redes, constituirá un pilar básico de control.Dispositivos Switch de D-LINK, permiten la integración en topologías NAP de Microsoft.El Switch solicitará vía 802.1x un procedimiento de autenticación y solicitud de estado de salud.Una vez revisado dicho estado, el equipo entrara en una VLAN u otra en función del mismo.
Arquitectura NAP
Network Policy Server
Quarantine Server (QS)
Client
Quarantine Agent (QA)
Health policyUpdatesHealth
Statements
NetworkAccess
Requests
System Health Servers
Remediation Servers
HealthCertificate
Network Access Devices and Servers
System Health Agent (SHA)MS and 3rd Parties
System Health Validator
Enforcement Client (EC)(DHCP, IPSec, 802.1X, VPN)
Autenticación 802.1x
Nace con la premisa de que un dispositivo de red, pueda solicitar un proceso de autenticación para las conexiones
Implementa el sistema EAPOL (EAP Over Lan)
Aunque es ampliamente conocido en las topologías de redes seguras WIFI introduce una variante de uso en las tecnologías de seguridad de acceso a redes
Como trabaja NAP
NetworkAccess
Requests Not Compliant
Policy Compliant
Restricted Network
WindowsClient
NetworkAccessDevices
NPS
ActiveDirectory
RemediationServers
HealthStatements
QASHA
EC QS
SHV
DEMO
ASEGURANDO UNA REDGENERACION DE VLAN
NETWORK ACCESS PROTECTION
GARANTIZANDO LA SEGURIDAD EN LA RED
Protección contra ataques de MITM
La protección contra ataques de spoofing en capa 2 se pueden minimizar mediante la segmentación en Vlan.
Sin embargo esta segmentación reduce el ataque pero no lo mitiga totalmente. Sería factible el ataque dentro de la Vlan.
Existen medidas alternativas:• Implementación Software.
• Control en dispositivos.
Filtrado de direcciones MAC
Los dispositivos permiten especificar un filtro de direcciones MAC que impidan que puedan comunicarse a través de un puerto estaciones no autorizadas
Aunque supone una medida preventiva no puede evaluarse como una de tipo definitiva sino como accesorias de otras para el control del acceso al medio
Vinculación Puerto-IP-MAC
Prevenir contra técnicas de ataques en redes de datos es uno de los objetivos en las comunicaciones
Este sistema identifica IP con MAC y Puertos
Cualquier transmisión que no cumpla con los requisitos establecidos será descartadas
Mecanismo preventivo contra las técnicas de ataque tipo ARP Spoofing
Vinculación Puerto-IP-MAC dinámica
Para reducir el esfuerzo de administración los dispositivos admiten la vinculación IP-MAC por aprendizaje a través de DHCP.
Portal Cautivo
Es una página Web que obliga a establecer una autenticación previa, antes de poder seguir utilizando la red
Es un paso ineludible por el usuario
Garantiza que la información y los servicios sean solo accesibles por usuarios autenticados
Permite autenticación local y RADIUS
DEMO
PROTECCIÓN DINÁMICA DE UNA RED CONTRA MITM
¿PREGUNTAS?
FORMACIÓN DLINK