Soluciones para la protección de LAN y WAN

El creciente número de dispositivos conectados en las redes actuales ha generado una demanda insaciable de acceso a la información, en el momento y lugar en que se necesita. Esta creciente dependencia de los recursos y aplicaciones de TI ha transformado la forma en que hacemos negocios. La seguridad digital se ha convertido en una preocupación clave para los administradores de red, quienes deben garantizar la máxima disponibilidad de la red corporativa y del acceso a Internet.

Existen varias formas de aumentar la solidez de una red moderna. Allied Telesis utiliza tecnología de conmutación líder en la industria para ofrecer un conjunto de seguridad integral, que proporciona una solución de múltiples capas para proteger la red y combatir amenazas comunes.

En este documento se analizan tres formas en que los switches de Allied Telesis garantizan una infraestructura de red fiable y segura. También examina algunos ataques comunes a la red y cómo pueden mitigarse utilizando equipos Allied Telesis .

1. Gestión segura de dispositivos

Acceso restringido a AMF Plus

Allied Telesis Autonomous Management Framework™ Plus (AMF Plus) está integrado en los dispositivos Allied Telesis que ejecutan el software AlliedWare Plus de Allied Telesis. Automatiza y simplifica muchas tareas, con potentes funciones como la gestión centralizada, la copia de seguridad automática, la actualización automática, la recuperación automática y mucho más, proporcionando una red plug-and-play con recuperación sin intervención.

Un área AMF Plus cuenta con un nodo maestro y nodos miembros. De forma predeterminada, los usuarios que inician sesión en cualquier nodo dentro de una red AMF Plus pueden gestionar cualquier otro nodo utilizando working sets (un grupo de nodos que se gestionan en conjunto) o inicio de sesión remoto AMF Plus para acceder a otro dispositivo. Si el acceso proporcionado por esta funcionalidad es demasiado amplio o contraviene las políticas de seguridad de la red, puede restringirse mediante el comando atmf restricted-login, el cual modifica el acceso de modo que:

1. Los usuarios que han iniciado sesión en nodos que no son maestros no pueden ejecutar ningún comando que implique conjuntos de trabajo (working-sets), y
2. Desde los nodos que no son maestros, los usuarios pueden utilizar inicio de sesión remoto (remote-login), pero solo para acceder a una cuenta de usuario que sea válida en el dispositivo remoto (ya sea mediante una cuenta configurada de forma estática o a través de RADIUS/TACACS+). Además, los usuarios deben introducir la contraseña correspondiente a esa cuenta de usuario.

Una vez que se ha habilitado atmf restricted-login, ciertos comandos que utilizan el comando working-set de AMF Plus solo funcionarán en el maestro AMF Plus, como los comandos atmf reboot-rolling y show atmf group members.

Seguridad del cargador de arranque

El cargador de arranque (boot loader) es, en esencia, el BIOS del switch. Se debe implementar seguridad en el cargador de arranque para evitar accesos no autorizados, lo que requerirá una contraseña para acceder a las opciones de arranque. Esto también evita la posibilidad de eludir las contraseñas del switch sin conocer la contraseña del boot loader.

NOTA: Esto hace que el conmutador no se pueda configurar si se pierden las contraseñas.

SSH/Telnet

Al iniciar sesión de forma remota para supervisar o gestionar un switch, el acceso mediante Secure Shell (SSH) garantiza la confidencialidad e integridad de los datos al cifrar las sesiones de administración, y es el método recomendado para comunicarse con los switches. Telnet y HTTP son otras formas de comunicarse con la interfaz de gestión de los switches; sin embargo, no son métodos seguros y se recomienda que sean deshabilitados.

Syslog

Para proporcionar un registro de auditoría detallado en caso de una posible brecha de seguridad u otro problema, se debe configurar un servidor Syslog para que los mensajes de registro (logs) del switch se almacenen en un repositorio central y estén disponibles para su posterior auditoría o análisis de fallos.

Simple Network Management Protocol (SNMP)

Los sistemas de gestión de red suelen utilizar SNMP para comunicarse con switches y otros dispositivos de red. El uso de SNMPv3 proporciona un acceso seguro mediante autenticación y cifrado de los datos de gestión SNMP. Estos datos pueden utilizarse para comprobar el estado de cualquier dispositivo en la red; por ejemplo, enlaces caídos, dispositivos periféricos (cámaras, PCs, controladores de acceso) fuera de línea, utilización de enlaces y tiempo de actividad. Cualquier anomalía puede visualizarse en un mapa de red para facilitar la detección de fallos.

2. Protección de la WAN

Redes privadas virtuales (VPN) de sitio a sitio

Un firewall en las sucursales de una empresa gestiona la conexión a Internet. Estos firewalls permiten o restringen el acceso a cualquier tipo de servicio o aplicación en línea. Una VPN de sitio a sitio, establecida a través de Internet, conectará dos oficinas sucursales entre sí y creará una conexión segura y cifrada para transportar los datos empresariales de forma protegida.

Una VPN de sitio a sitio utiliza el firewall para conectar toda la red de una sucursal con la red de otra ubicación, generalmente conectando a los usuarios de la sucursal con la red de la oficina central. Los dispositivos finales en la sucursal no necesitan clientes VPN, ya que el firewall gestiona la conexión. La mayoría de las VPN de sitio a sitio que se conectan a través de Internet utilizan IPSec para el cifrado de datos.

IPSec proporciona los siguientes servicios de seguridad para el tráfico en la Capa 3 (IP):

1. Autenticación del origen de los datos: identificación del remitente de los datos.
2. Confidencialidad (cifrado): garantizar que los datos no hayan sido leídos durante su tránsito.
3. Integridad sin conexión (autenticación): garantiza que los datos no se han alterado en tránsito.
4. Protección contra repeticiones: detecta los paquetes recibidos más de una vez para protegerlos de los ataques de denegación de servicio (DoS).

El funcionamiento de IPsec utiliza conexiones negociadas entre dispositivos pares (cortafuegos en cada ubicación). Estas conexiones se denominan Asociaciones de Seguridad.

Se recomienda dejar de utilizar DES, 3DES, MD5 (incluida la variante HMAC) y los grupos 1, 2 y 5 de Diffie-Hellman (DH). En su lugar, deberías utilizar AES, SHA y DH grupos 14 o superiores, lo que se conoce como cifrado de nueva generación (NGE), y es mucho más seguro.

Las configuraciones recomendadas de IPSec e IKE, según lo especificado para la certificación por ICSA Labs, son:

• Cifrado: AES-256
• Integridad: SHA-256
• Grupo DH: 14 (2048 bits)

Si es necesario, puedes aumentar la seguridad utilizando SHA-512 o un grupo DH más alto. Sin embargo, ten en cuenta que cambiar el grupo DH incrementará el tiempo de establecimiento del túnel, lo cual podría ser un problema si tu red cuenta con un gran número de túneles..

SD-WAN

Expandir las conexiones de red de área amplia (WAN) entre oficinas puede resultar costoso, y la gestión y resolución de problemas de red suele ser compleja y llevar mucho tiempo. La WAN definida por software (SD-WAN) permite a los clientes empresariales utilizar los firewalls físicos existentes en sus sucursales y conectarse a través de conexiones a Internet de bajo costo y VPNs. Vista Manager EX incorpora un orquestador SD-WAN que permite crear redes multisede totalmente gestionadas, integrando enlaces y optimizando los flujos de aplicaciones hacia Internet y a lo largo de toda la infraestructura VPN de la empresa.

SD-WAN ofrece varias ventajas sobre las soluciones WAN tradicionales:

1. Puede construir redes WAN de mayor rendimiento utilizando accesos a Internet de bajo coste y disponibles en el mercado. Esto le permite sustituir parcial o totalmente tecnologías de conexión WAN privadas más caras, como MPLS.
2. Para reducir costes y mitigar riesgos, puede seleccionar cualquier tipo de conectividad WAN para reducir costes sin comprometer la seguridad. A continuación, se puede equilibrar la carga de tráfico a través de estos túneles VPN para hacer un uso óptimo del ancho de banda disponible.
3. La selección dinámica de rutas permite a los administradores establecer umbrales de rendimiento para diferentes aplicaciones. De este modo, se puede garantizar que las aplicaciones críticas y las transferencias de datos utilicen siempre la mejor ruta disponible, en función de la calidad (pérdida, latencia y fluctuación) de los túneles VPN. Por ejemplo, se pueden configurar distintos niveles de calidad para aplicaciones en tiempo real como voz y videoconferencia, en comparación con aplicaciones de transferencia de datos como FTP.
4. SD-WAN utiliza automáticamente el mejor túnel VPN para enviar el tráfico según métricas de rendimiento, lo que significa que se empleará el proveedor de Internet con la conexión más estable y confiable dentro de una arquitectura resiliente.

3. Protección de la LAN

Conexiones entre conmutadores

Allied Telesis Ethernet Protection Switched Ring (EPSRing™)

En las redes distribuidas, switches suelen utilizar conexiones de fibra para la conectividad entre conmutadores en una topología de anillo, por lo que se necesita un método para proteger la red de bucles.. EPSRing permite redes en anillo de alta velocidad con conmutación por error en tan solo 50 ms.

ESPRing envía paquetes de control a través de una VLAN de control configurada en el switch, y se espera que estos paquetes completen un bucle completo del anillo para mantener su integridad. Si los paquetes no completan el recorrido, se considera que el anillo está caído y se notificará una falla a la plataforma de gestión. EPSRing enviará automáticamente los paquetes por el otro lado del anillo, con una conmutación por fallo casi instantánea, lo que proporciona una solución potente para los proveedores de servicios que deben cumplir acuerdos de nivel de servicio (SLA) estrictos.

Modo seguro AMF Plus

El Modo Seguro de AMF Plus mejora la seguridad de la red AMF Plus Plus reduciendo el riesgo de acceso no autorizado. Esto se consigue mediante:

1. Añadir un mecanismo de autorización antes de permitir a un miembro unirse a una red AMF Plus .
2. Cifrado de todos los paquetes AMF Plus Plus enviados entre nodos AMF Plus.
3. Registro adicional, que permite a los administradores de red supervisar los intentos de acceso no autorizado a la red AMF Plus Plus.

Cuando se ejecuta en Modo Seguro, los controladores y maestros en la red AMF Plus forman un grupo de autoridades certificadoras. Un nodo solo puede unirse a una red AMF segura una vez que ha sido autorizado por un maestro o controlador. Una vez habilitado este modo, todos los dispositivos de la red AMF Plus deben operar en Modo Seguro, y los dispositivos no seguros no pueden unirse a la red.

NOTA: En el modo seguro AMF Plus , la función atmf restricted-login se activa automáticamente. Esto restringe el comando atmf working-set a los usuarios que han iniciado sesión en un maestro AMF. Esta función no se puede desactivar independientemente del modo seguro.

Active Fiber Monitoring (AFM)

AFM está integrado en muchos switches de Allied Telesis y supervisa constantemente la cantidad de luz que recibe el switch en los puertos de fibra. Si el nivel de luz cambia, el sistema envía una alerta indicando que la fibra podría haber sido manipulada y puede cerrar automáticamente el enlace. AFM protege contra la interceptación de datos por fibra y previene el robo de información.

Filtrado de ingreso con etiquetado VLAN

El etiquetado VLAN (802.1Q) es un método para transmitir datos de VLANs lógicamente separadas a través de interconexiones de red. Lo hace añadiendo "etiquetas" a los datos. Si el puerto está etiquetado para un conjunto de VLANs, entonces un paquete etiquetado solo será aceptado si contiene el ID de VLAN de una de las VLANs configuradas como etiquetadas en ese puerto; de lo contrario, los datos serán descartados. Por lo tanto, si se retira un switch o se inserta uno no autorizado, a menos que el switch insertado esté configurado con los mismos parámetros, todos los datos serán descartados y se enviarán alertas al sistema de gestión indicando que el enlace está fuera de servicio, lo que contribuye a proteger la red.

Link Aggregation Control Protocol (LACP)

LACP es un método para agregar múltiples enlaces físicos en una única conexión virtual de mayor ancho de banda. Puede configurarse en todos los puertos de subida (uplink) del switch y, una vez activado, envía paquetes de control para verificar el estado de todos los enlaces. Si el switch no recibe la información LACP correcta para un enlace determinado, evitará que se utilice ese enlace para transmitir datos y empleará en su lugar los otros enlaces del grupo de agregación. Además, se envía una alerta al sistema de gestión para que el enlace con fallos pueda ser corregido.

Seguridad de los puertos periféricos

Network Access Control (NAC)

NAC permite un control sin precedentes sobre el acceso de usuarios/dispositivos a la red, con el fin de mitigar las amenazas a la infraestructura de red. Al utilizar la autenticación basada en puertos 802.1x en conjunto con la asignación dinámica de VLAN conforme a los estándares, se considera la forma más segura de restringir el acceso a la red a nivel de puerto.

NAC utiliza un servidor RADIUS para autenticar a cualquier usuario o dispositivo conectado a un puerto con 802.1x configurado. Los puertos de acceso (edge ports) se bloquean y requieren que el dispositivo solicite acceso; luego, el switch negocia entre el dispositivo y el servidor RADIUS para verificar las credenciales de autenticación. Si al dispositivo se le concede acceso, la asociación VLAN correspondiente es enviada al switch desde el servidor RADIUS, asegurando que el dispositivo tenga el nivel adecuado de acceso a la red. Esto evita accesos no deseados, ya que el dispositivo debe proporcionar al servidor un certificado único, además de nombre de usuario y contraseña. Los puertos que están esperando autenticar a un dispositivo cliente mediante 802.1x se colocan en una VLAN aislada.

Protección portuaria

La capacidad de limitar la cantidad de estaciones de trabajo que pueden conectarse a puertos específicos del switch se gestiona mediante seguridad de puertos (Port Security). Si se superan estos límites o se intenta el acceso desde estaciones de trabajo no autorizadas, el puerto puede realizar cualquiera (o todas) de las siguientes acciones: descartar los datos no confiables, notificar al administrador de red o deshabilitar el puerto. Esto significa que un dispositivo no puede moverse de un puerto a otro; si se cambia el dispositivo, no obtendrá acceso a la red. Actualmente, la seguridad de puertos no es compatible con 802.1x, ya que este último bloquea una única dirección MAC (un solo cliente o estación de trabajo) por puerto.

Dynamic Host Configuration Protocol (DHCP) Snooping

Los servidores DHCP asignan direcciones IP a los clientes, y el switch mantiene un registro de las direcciones emitidas en cada puerto. IP Source Guard verifica esta información contra la base de datos de DHCP snooping para asegurar que solo los clientes con una dirección IP y MAC específica puedan acceder a la red.

DHCP Snooping puede combinarse con otras funciones, como la Inspección ARP Dinámica (Dynamic ARP Inspection), para aumentar la seguridad en entornos conmutados de Capa 2. Además, es posible añadir entradas estáticas a esta base de datos y configurar un puerto para que solo acepte acceso desde un único dispositivo, lo que permite que los puertos de acceso tengan la misma funcionalidad que la seguridad de puertos, con el beneficio adicional de verificar la dirección IP y la configuración de VLAN. Esto evita que los dispositivos se muevan dentro de la red y protege contra servidores DHCP no autorizados. También proporciona un historial de usuarios rastreable, lo cual cumple con los crecientes requisitos legales que se imponen a los proveedores de servicios.

Filtrado de ingreso con etiquetado VLAN

Además de gestionar los datos en los enlaces entre switches, como se mencionó anteriormente, el filtrado de ingreso (ingress filtering) protege los puertos de acceso (edge ports) al no permitir paquetes etiquetados con VLAN.

Configuración segura del Spanning Tree Protocol (STP)

STP es el medio más utilizado para evitar bucles en redes de Capa 2. Hay dos mecanismos de protección que deben habilitarse para maximizar la robustez, ya que STP no tiene seguridad incorporada:

1. STP Root Guard – evita que un usuario malicioso acceda a datos inapropiados en la red, permitiendo al administrador de red reforzar de forma segura la topología del árbol de expansión.
2. BPDU guard – de manera similar, se aumenta la seguridad del STP (Spanning Tree Protocol) al permitir que el administrador de red refuerce los límites del árbol de expansión, manteniendo la topología activa predecible. La función BPDU Guard evita que un dispositivo de borde (por ejemplo, una cámara, un controlador de acceso o un PC) sea reemplazado por un switch por parte de un usuario malintencionado que intente obtener acceso a la red. Si el switch de borde detecta paquetes STP en un enlace con esta función habilitada, el enlace se desactiva automáticamente para impedir el acceso no autorizado.

Protección contra tormentas

Storm Protection reduce los efectos adversos de cualquier bucle de red que podría saturar la red. Existen tres aspectos que trabajan en conjunto para proteger la red contra tormentas de tráfico:

1. Detección de bucle – supervisa el tráfico en busca del retorno de un paquete sonda de detección de bucle. En caso de problema, puede tomar diversas medidas, como registrar un fallo, alertar al administrador de la red o desactivar un enlace.
2. Limitación de Thrash – detecta un bucle si ciertas direcciones MAC del hardware del dispositivo se están reaprendiendo rápidamente en diferentes puertos. En caso de problema, se pueden tomar acciones similares a las de la detección de bucle.
3. Control de tormentas – limita la velocidad a la que un puerto reenviará paquetes de difusión, multidifusión o unidifusión desconocida. De este modo se controla el nivel de tráfico que un bucle puede provocar en la red.

Control Plane Prioritization (CPP)

CPP evita que el Control Plane del switch (encargado del tráfico de gestión de red) se vea saturado en caso de una tormenta de red o un ataque de Denegación de Servicio (DoS), garantizando que el tráfico de control crítico de la red siempre llegue a su destino.

Prevención de ataques de denegación de servicio (DoS)

Un ataque DoS (Denegación de Servicio) es un intento de hacer que los recursos en línea no estén disponibles para los usuarios. Existen numerosos ataques DoS conocidos que pueden ser monitorizados. Cuando se detecta uno, las opciones incluyen notificar al administrador de red y/o desactivar el puerto del switch afectado.

Listas de control de acceso (ACL) y filtros

Gestionar el volumen de tráfico y los tipos de tráfico permitidos en la red es esencial para garantizar un alto rendimiento, proteger contra tráfico no deseado y asegurar el acceso continuo a datos importantes. Las potentes listas de control de acceso (ACLs) y capacidades de filtrado ofrecen un mecanismo eficaz para el control del tráfico de red, todo ello gestionado directamente en el hardware del switch, lo que permite mantener un rendimiento a velocidad de línea (wire-speed).

Cierre

Todos los puertos de acceso no utilizados deben ser desactivados para evitar accesos no deseados a la red. Además, los puertos desactivados deben colocarse en una VLAN aislada, de modo que, si alguno quedara activado por error, aún estaría aislado de cualquier dato de la red.