Proteção lógica de uma rede com fio

Numa publicação anterior, abordei algumas medidas que as organizações podem tomar para ajudar a proteger as suas redes com fios, simplesmente ao proteger o acesso físico ao seu equipamento de rede. Pode parecer um passo insignificante, mas o número de histórias de hackers que começam por “Então, eu deslizei e havia uma porta aberta (USB, Rede, o que quer que seja) e liguei-me a ela e estava ativa” é suficientemente significativo para garantir que prestava atenção a esse passo.

Agora, vou abordar algumas etapas lógicas que podem ser tomadas para ajudar a proteger sua rede com fio de uma perspectiva lógica. Embora as melhores práticas incluam uma solução de Controlo de Acesso à Rede (NAC), os NAC têm tendência a ser caros se tiver muitas portas para gerir; também podem ser trabalhosos para alimentar e apoiar. As organizações mais pequenas podem não ter tempo e experiência para instituir uma solução NAC. As organizações maiores, que são capazes de trabalhar com a experiência para operar um NAC, podem considerar que o custo e o esforço são demasiado grandes para assumir.

Isto não quer dizer que não deva usar um NAC nem analisá-lo! De qualquer forma, TODAS as organizações devem utilizar uma solução NAC. No entanto, para a maioria das pessoas que lê isto, todos sabemos que as melhores práticas sofrem frequentemente quando cumpridas com requisitos do mundo real e operações do dia-a-dia. Não há vergonha aqui, apenas um esforço para oferecer outras soluções ou opções para garantir o que tem com as ferramentas disponíveis para si.

Portas da consola

Na publicação anterior, falei sobre como qualquer agressor que valesse o seu sal terá um cabo de consola no seu saco de truques. Portanto, contar com o seu “cabo especial da consola” que nenhum dos seus amigos tem para manter as portas da consola nos seus dispositivos de rede seguras é uma má ideia. Logicamente, na configuração dourada para todos os switches em sua organização, inclua o comando habilitar aaa console naquele script de configuração. Este comando simples garante que as porta(s) do console estejam incluídas no restante dos serviços de Autenticação, Autorização e Contabilidade (AAA) do switch. Assim que o AAA estiver ativado nas portas da consola, se um atacante tiver acesso à engrenagem de rede e ligar o cabo da consola, ser-lhe-á pedido que autentique as credenciais para aceder ao hardware em vez de ter uma ligação gratuita à sua rede.

Mais uma vez, não são as defesas mais sofisticadas, mas se o atacante não tiver as credenciais, este único obstáculo pode abrandá-las o suficiente para que se movam, tropeçam e desencadeiem um alerta, ou passem tanto tempo a ser apanhados.

Embora pareça engraçado, apanhar uma violação no ato é na verdade uma coisa boa. Embora nunca gostemos de ter as nossas redes comprometidas, se acontecer é muito bom saber exatamente quando aconteceu e quem foi responsável. Apanhar alguém no ato responde a muitas perguntas que serão feitas mais tarde.
Uso de VLANs confinadas

Todos sabemos que devemos usar VLANs. Essas redes de área local virtual ajudam a segmentar a rede para reduzir os domínios de transmissão e separar o tráfego. Há várias maneiras de fazer isso (ACLs, firewalls) que não vou abordar aqui, mas há um truque que os engenheiros podem fazer para atacar os atacantes usando o padrão básico IEEE VLAN de instituir uma VLAN confinada em sua rede.

Uma VLAN confinada é simplesmente um VLAN ID que é designado para ser sacrificado aos Deuss da Segurança da Informação (InfoSec). Isto pode ser qualquer VLAN ID válida, apenas precisa ser designada e conhecida por toda a equipe de rede. Uma vez que o ID tenha sido identificado, o elemento crucial para esta VLAN confinada é que o ID NUNCA apareça nos uplinks do switch. A VLAN é aplicada a todas e quaisquer portas NÃO USADAS no switch.

Configuração VLAN confinada

Essas portas devem ser desconectadas do cabo que está funcionando para a tomada de parede e também desativadas administrativamente, mas se essas etapas forem perdidas (porque ninguém disse a ninguém que a porta não estava em uso) atribuir esta VLAN confinada à porta significa que, mesmo que um atacante tenha acesso à porta, seja por uma tomada de parede ou por estar na sala, conectar-se a essas portas não usadas não permitirá que saiam do switch. Sem DHCP e sem capacidade de sair do interruptor, estão confinados ao interruptor.

Uma vantagem lateral de usar esta VLAN confinada é que ela pode sinalizar rapidamente para as portas não usadas da equipe de rede simplesmente olhando para a atribuição da VLAN. Se essa VLAN confinada (888 no exemplo acima) for atribuída a uma porta, eles sabem que a porta não está configurada para uso. Se estiver ativado, isso é um problema a investigar. Se mostrar uma ligação, novamente sinaliza um problema que tem de ser investigado.

Menos Privilegiado

O conceito de menos privilegiado é novamente uma configuração de segurança que reside na maioria do hardware empresarial, mas não é utilizada o suficiente. Embora não sejam tão coloridos e chamativos como as Firewalls de Próxima Geração e a Inspeção Profunda de Pacotes, o conceito de menor privilégio é a ideia de que nem todos precisam de acesso de super utilizador às configurações de rede e não precisam delas sempre. O menor privilégio também envolve políticas e procedimentos que os utilizadores seguem para utilizar a menor quantidade de acesso necessária para realizar uma tarefa, e apenas “atualizar” o acesso conforme necessário para tarefas mais sensíveis.

Ao configurar o acesso de um utilizador a um dispositivo, ou a um grupo de dispositivos, configure uma conta de utilizador únicaque tenha apenas o nível de acesso de que a pessoa necessita. A utilização de credenciais genéricas de super-administrador como as únicas credenciais para a rede significa que, se essa palavra-passe for comprometida, os atacantes têm agora acesso total à rede. Todas as outras funcionalidades de segurança interessantes não importam se os atacantes podem simplesmente alterar as configurações ao seu próprio gosto.

Outro benefício das credenciais únicas é, se necessário, que os registos de auditoria são muito mais fáceis de ler e decifrar. Se todos utilizarem as mesmas credenciais genéricas de administrador/palavra-passe, os registos de auditoria não podem indicar quem acedeu aos dispositivos. Credenciais únicas como jpalmer/jimlikescookies significam que o registo de auditoria mostrará que foi Jim que acedeu ao switch e fez alterações. Se essas credenciais não puderem fazer alterações de configuração (menos privilegiadas), então as alterações não podem ser feitas ou mesmo para mostrar as credenciais elevadas necessárias para fazer essas alterações.

Por fim, credenciais únicas significam que quando Jim sai da empresa, apenas as suas credenciais têm de ser removidas da rede, nem todos (devido a algo como um nome de utilizador e palavra-passe comuns de administrador). Embora isto seja mais fácil utilizando um servidor AAA centralizado para autenticação, continua a ser algo que pode ser feito mesmo sem esse servidor de autenticação central.

Forçar os utilizadores a elevar os seus privilégios, quando necessário, e usar uma frase de acesso única separada pode ser um pequeno atraso para utilizadores autorizados que possam reclamar. Mas esses dois passos podem ser uma parede de pedra para um atacante, mesmo que tenha acesso à rede.

Lembre-se, pode ser o menor obstáculo que frustra um ataque; queremos garantir que temos um número suficiente de todos eles para que os atacantes desistam e avancem.

Erro de ligação ao desativar

A última configuração lógica que quero abranger é provavelmente a minha favorita. Os atacantes geralmente tentam ser furtivos à medida que entram na rede para que o seu plano não possa ser interrompido até ser demasiado tarde. Como tal, geralmente não gostam de desligar qualquer dispositivo ativo caso haja alertas na rede para dispositivos que ficam inativos. Além disso, uma vez que alguns dispositivos, como os pontos de acesso Wi-Fi®, estão em áreas públicas e estes dispositivos podem, raramente, descer e subir por si só, torna-se difícil saber se algo ficou offline inocentemente ou devido a intenção maliciosa. Portanto, apenas verificar os dispositivos para baixo/para cima não é suficiente.

Devido à sua acessibilidade, os atacantes veem os PA Wi-Fi como uma porta da frente da rede que está aberta e, como tal, preferem atacá-los. Existem medidas que podem ser tomadas para protegê-los usando coisas como aprendizagem MAC ou NAC, mas o NAC pode ser caro e o endereço MAC geralmente é impresso no dispositivo. RUCKUS As chaves Networks ICX® têm um comando que pode ser usado, gratuitamente, para ajudar a proteger contra qualquer pessoa que tente usar esses APs como uma porta frontal aberta para a rede.

link-erro-desativar-alternar-limite amostragem-tempo-em-seg-tempo-de-espera-em-seg

Aplicado por porta, uma de cada vez ou a uma variedade de portas, este comando parece imponente, mas é bastante simples de usar. Para um dispositivo de rede que é identificado como um potencial alvo (diga um AP num lobby que está aberto ao público e a tomada de parede está acessível), a configuração seria algo assim:

dispositivo(config)# interface ethernet 1/1/1
dispositivo(config-if-e10000-1/1/1)# link-erro-desabilitar 1 1 0

O que esta configuração de amostra está informando ao switch é se a porta 1 do switch cair uma vez (o verde 1) ao longo do período de um segundo (o laranja 1), então a porta será desabilitada por erro (desligá-la) e NUNCA voltará a ligar (o vermelho 0). Estes parâmetros podem ser ajustados conforme necessário, como desativar apenas durante alguns segundos ou até mesmo horas, e quantas vezes a porta teria de descer ao longo de alguns segundos (10 vezes em 5 minutos como exemplo). Mas para áreas que foram identificadas como vulneráveis, manter a porta permanentemente desativada, até que seja redefinida manualmente, permite que a organização envie uma tecnologia para inspecionar fisicamente o hardware para garantir que não foi adulterado.

É demorado? SIM!

Tem impacto no serviço? SIM!

É um inconveniente? SIM!

É mais moroso, impactante para o serviço e inconveniente do que uma violação de rede completa com todos os dados roubados e sistemas operacionais da organização encriptados, aguardando um resgate para os desencriptar? NÃO!

Estes alertas podem ser ligados a outras plataformas que podem até enviar mensagens e e-mails informando os administradores exatamente quando este evento aconteceu, o que é uma informação fundamental para qualquer investigação.

Pensamentos finais

Existem configurações lógicas e produtos suficientes disponíveis para proteger as suas redes para preencher mil páginas. O objetivo aqui não era cobrir todos eles, apenas destacar alguns que podem ser implementados sem serem proibitivos em termos de custos.

Não me engane, ainda vai querer gastar algum dinheiro na sua segurança de TI e tomar outras medidas para proteger a sua rede, mas estes passos que delineei podem ser a peça única no manual da InfoSec que protege a sua rede e frustra um ataque antes que possa acontecer. Sinceramente, as probabilidades são aproximadamente as mesmas ou melhores de que estes passos simples previnam um ataque, em oposição a um investimento em segurança de milhões de dólares que interrompe um ataque de 0-Day.

Lembre-se de que temos de nos certificar de que nos concentramos nas pequenas coisas para proteger as nossas redes, bem como nos ataques maiores, complicados e de alto perfil que lemos sobre. Os atacantes não arriscarão expor uma exploração super secreta se puderem usar uma porta traseira simples e aberta.

Junte-se a mim na próxima prestação onde começarei a falar sobre segurança sem fios. Se acreditar, a segurança sem fios pode ser mais fácil de implementar e controlar do que a segurança com fios!