"Seguridad LAN"

ATAQUES DE RED 

DISPOSITIVO DE SEGURIDAD 

Se necesitan diversos dispositivos de seguridad para proteger el perímetro de la red del acceso exterior. Estos dispositivos podrían incluir un router habilitado con una Red Privada Virtual (VPN), un Firewall de Siguiente Generación (NGFW), y un Dispositivo de Control de Acceso a la Red (NAC).

• Router Habilitado con VPN

Red Privada Virtual (VPN) proporciona una conexión segura para que usuarios remotos se conecten a la red empresarial a través de una red pública. Los servicios VPN pueden ser integrados en el router.

• NGFW

Un Firewall de Siguiente Generación (NGFW) proporciona inspección de paquetes con estado, visibilidad y control de aplicaciones, un Sistema de Prevención de Intrusos de Próxima Generación (NGIPS), Protección Avanzada contra Malware (AMP) y filtrado de URL.

• NAC

Un dispositivo NAC incluye autenticación/authentication, autorización/authorization y registro/contabilización/accounting (AAA). En empresas más grandes, estos servicios podrían incorporarse en un dispositivo que pueda administrar políticas de acceso en una amplia variedad de usuarios y tipos de dispositivos. El Cisco Identity Services Engine (ISE) en un ejemplo de dispositivo NAC.

                        Protección de Puntos Finales

Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs), y otros puntos de acceso (AP) interconectan puntos finales. La mayoría de estos dispositivos son susceptibles a los ataques LAN que se cubren en este módulo.

Sin embargo, muchos ataques se originan dentro de la red. Si un atacante se infiltra en un host interno, este puede ser el punto de partida para que obtenga acceso a dispositivos esenciales del sistema, como servidores e información confidencial.

Los puntos finales son hosts que generalmente consisten en computadoras portátiles, computadoras de escritorio, servidores y teléfonos IP, así como dispositivos propiedad de los empleados (BYOD). Los puntos terminales son particularmente susceptibles a ataques relacionados con malware que se originan a través del correo electrónico o la navegación web. Estos puntos finales suelen utilizar características de seguridad tradicionales basadas en host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de intrusiones (HIPS) basados en host. Sin embargo, actualmente los puntos finales están más protegidos por una combinación de NAC, software AMP basado en host, un Dispositivo de Seguridad de Correo Electrónico (ESA) y un Dispositivo de Seguridad Web (WSA). Los productos de Protección Avanzado de Malware (AMP) incluyen soluciones de dispositivos finales como Cisco AMP.

                   Componentes AAA

AAA significa Authentication, Authorization, y Accounting (Autenticación, Autorización y Contabilización/Registro). El concepto de AAA es similar al uso de una tarjeta de crédito, como se muestra en la imagen La tarjeta de crédito identifica quién la usa y cuánto puede gastar puede el usuario de esta, y mantiene un registro de cuántos elementos o servicios adquirió el usuario.

AAA proporciona el framework principal para establecer el control de acceso en un dispositivo de red. La AAA es una forma de controlar quién está autorizado a acceder a una red (autenticación), qué puede hacer mientras está allí (autorización) y auditar qué acciones realizó mientras accedía a la red (contabilización).

EL ESTANDAR  802.1x

Recordemos que en el capítulo anterior (Métodos de Autenticación Inalámbrica) vimos que en la autenticación basada en EAP; 802.1x/EAP es necesario constar con entidades tripartitas:

• Suplicante: El dispositivo cliente que solicita el acceso
• Autenticador: El dispositivo de red que provee acceso a la red (usualmente un controlador de red de LAN Inalámbrica [WLC])
• Servidor de Autenticación (AS): El dispositivo que toma las credenciales del usuario o cliente y permite o deniega el acceso a la red basado en una base de datos de usuarios y políticas (usualmente un servidor RADIUS
• Existen distintos métodos de autenticación basados en EAP, a continuación un resumen de ellos:
• LEAP (Lightweight EAP): Obsoleto; utiliza claves WEP dinámicas
• EAP-FAST (EAP Flexible Authentication by Secure Tunneling): Usa credenciales de acceso protegido (PAC)
• PEAP (Protected EAP): Servidor autenticado por certificado digital
• EAP-TLS (EAP Transport Layer Security): Cliente y Servidor autenticados mediante certificado digital.