sábado, 11 de febrero de 2012

Curso VI. VLANs Seguridad

En todas las estadísticas, todos los profesionales, cada libro de seguridad que leo, dice siempre lo mismo, un porcentaje muy alto de ataques en las empresas se origina en el interior de la organizacion.

Tipos de Riesgos
Empleados descontentos.
Extorsión o incentivo económico a un empleado.
Acceso de una persona ajena a un equipo.
Ingeniería Social.
Participacion de los empleados sin conocimiento del ataque.
Ausencia de Políticas o medidas de contención (USB con troyanos).
Malas Practicas (descargas ilegales,Wifi no autorizada).

En la mayor parte de estos casos los conocimientos del atacante no son muy altos, y si no hay participacion del miembro de la empresa, los ataques suelen ser genéricos, con lo que algunas medidas ayudarian a impedir la mayoría de los ataques.

Implantadas las VLANs para segregar en distintos grupos los equipos, tenemos el control de la red local en los dispositivos de capa 2 (Los Switch).

Lo primero que hay que tener en cuenta es que no se pueda acceder físicamente al dispositivo, así evitamos que pueda ser reconfigurado.

La primera medida es apagar o desactivar todo aquello que no necesitamos utilizar para el funcionamiento de nuestra empresa.

Si el dispositivo tiene 50 interfaces y solo utilizamos 20, apaga el resto ....
interface range fa 0/21 - fa 0/50 
shutdown

Controlar quien se conecta a cada interface utilizando las mac de los equipos
switchport mode access
switchport port-security
switchport port-security maximum[numero de MAC a permitir]
switchport port-security violation [protect/restrict/shutdown]
switchport port-security mac-address [sticky/mac-address MAC]

Proteger algunos interfaces
switchport protected

Controlar los canales de Broadcast,Multicast,Unicast
storm-control [broadcast/multicast/unicast] level [valor de control]
storm-control action [shutdown/trap]

Controlar Modo Auto que puede poner un interface en modo Trunk
switchport mode access
switchport nonegotiate

Controlar el protocolo VTP (transferir configuraciones entre los switch)
vtp mode transparent

Controlar ataques al protocolo STP (no desactivar este protocolo evita bucles)
spanning-tree portfast bpduguard default
spanning-tree bpduguard enable
spanning-tree portfast
spanning-tree guard root

Medidas adicionales
Implementar la comunicacion de configuracion con el Switch solo por SSH.
Utilizar contraseñas seguras para acceder al switch en todos los canales (enable/vty/console).
Cambiar las VLANs que vienen por defecto y la Vlan Nativa.
Permitir solo las Vlans que necesitemos por los enlaces Trunk.

Con todas estas configuraciones estaremos un poco mas protegidos a nivel de capa 2 en nuestra Red Local.
Seguridad a lo Jabali para Todos!!

2 comentarios:

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias