martes, 1 de agosto de 2017

Configurando tu Router a prueba de balas

Configurar tu Router de forma segurida es esencial, es más, es lo primero o de lo primero que deberías hacer en tu red o en la red de tu empresa si eres el administrador de la mima, ya que tu red es la puerta de tu casa, puedes dejarla abierta para todos o tener un guardia en la puerta con una lista de las personas que pueden entrar y una vez que entren tener puertas cerradas con llave dentro de tu casa para limitar lo que puedan hacer tus amigos o tu familia.



Si configuramos debidamente nuestra red, podremos evitar muchos de los ataques que se suceden y que vemos en las noticias de forma casi semanal.



Como ejemplo, usaré el esquema de red que me monté en Packet Tracer que puede parecerse más o menos a los esquemas de red de vuestra empresa. Aunque lo primero que deberemos de tener en cuenta para configurar de forma segura nuestro router es el famoso modelo TCP/IP.


Tener en mente este modelo es importante para saber dónde estamos realizando las medidas de seguridad, ya que cuanto más bajemos en el modelo TCP/IP para configurar las medidas de seguridad, "más seguros" estaremos y mejor será nuestra seguridad. Por ejemplo, si bajamos hasta el Nivel Físico, lo que podemos hacer es desconectar el cable y así nadie se podrá conectar a nuestra red, de ahí que cuanto más abajo, mejor para la seguridad.


Sin tocar nada en la red más allá de asignar las direcciones IP-ya que yo no he usado el DHCP, pero que vosotros lo podéis usar, es más, es lo normal- y realizar el enrutamiento, veremos que podremos realizar ping a todos los equipos de las diferentes redes que tenemos en el esquema.


La primera medida de seguridad que se aplicará en el Router0, serán las ACLs. Podéis pensar en las ACLs como un guardia que está fuera de la discoteca con una lista en la mano de las personas que pueden entrar a la fiesta privada, si estás en la lista entras, y sino no. Fácil.

Pues lo que haremos será denegar el tráfico ICMP-el ping- a un equipo en concreto de una red en concreto, pero permitiremos que nos haga ping todo el mundo. Esta medida de seguridad se podría hacer también con el protocolo TCP, es más, es altamente recomendable configurar con los diferentes protocolos.


Como podéis observar, uno de los equipos de la red 192.168.250.0 no puede realizar el ping a la red que hemos configurado con la ACL. Este ejemplo puede ser muy tonto, pero en vez de denegar a un sólo equipo conectarse a toda una red, lo podríamos hacer con todos los equipos de una red que no puedan acceder por tcp al puerto 80 al equipo 192.168.1.1 que es donde normalmente se suele encontrar el panel de administración del router. Solamente tendremos que permitir al administrador y aunque tengamos contraseña por defecto-algo no recomendable, aunque no creo que nadie lo tenga si está leyendo esta entrada ya que cambiar esa password debería ser lo primero que se haya realizado- evitaríamos-en condiciones normales- que los usuarios dentro de nuestra red, se conecten al panel de configuración y, si supiesen la contraseña, realizar cambios. Esto lo podemos enredar como nosotros mejor veamos para nuestra seguridad.


Seguiremos bajando en el modelo TCP/IP y segmentar la red por VLAN. Segmentar por VLAN nos puede servir, por ejemplo, si tenemos una red en la que tenemos alumnos y profesores-y no queremos que los alumnos entren a nuestros equipos y cambien las notas- pues segmentamos la red, "creando 2 redes más" dentro de la misma red, una que se llame Alumnos y la otra que se llame "Profesores". Ésto nos servirá para evitar que se comuniquen por tramas equipos de VLANs distintas y por tanto, cerrar la comunicación desde el segundo nivel más bajo del modelo TCP/IP. En el ejemplo he creado 2 VLANs, una que se llama PoCLAN y otra que se llama PoCLAN2 y en cada una he añadido un equipo de la red 192.168.200.0/24.


Comprobaremos que si tratamos de hacer Ping desde otro equipo de otra red, solamente podremos hacer que el ping llega si el equipo de otra red-en el ejemplo el equipo 192.168.200.2 está en la misma VLAN que el equipo de la red 192.168.100.0/24- . No obstante, si se prueba hacer ping desde el PC0 al equipo con IP 192.168.200.3, el cuál están en otra VLAN que el equipo 192.168.200.2 y que el PC0, vemos que no llega el ping, ya que aunque estén en redes distintas y la ACL permita la comunicación entre ambos, deben estar en la misma "red del nivel de enlace". Es aquí donde mejor podemos apreciar la importancia de hacer segmentación por VLAN, ya que por defecto todos estamos en la 1, así que si nos cambiamos de VLAN a la 10 por ejemplo, evitaremos que equipos no deseados se comuniquen con nosotros una vez que entran en nuestra red. Así evitaríamos muchs ataques.

Esto de los ataques que evitamos, donde mejor se aprecia es en el CMD del PC1 que trata de comunicarse con un equipo que está en su "Misma red de Internet" pero que está en otra VLAN y por eso no llega el ping, demostrando una vez más, la importancia de hacer segmentaciones de red.

Soy consciente de que existen y existirán más ataques a ACLs y VLANs, pero así reduces bastante la superficie de exposición. Estarías poniendo barreras y muros a tu palacio, provocando que si pasan una barrera y tú tienes 5 barreras más, el atacante deberá sobrepasar 5 más y puede que considere que es mucho trabajo y se vaya a por otra presa más fácil de atacar.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...