Recurrentemente he tenido la oportunidad de ver en diferentes lugares, la gestión de las redes Wireless de forma incorrecta. Desde configuraciones por defecto en equipos hasta dispositivos corporativos en la misma red que los invitados, que demuestran que no hay demasiada noción sobre los riesgos que esto conlleva. Existe una gran diversidad de ataques que un ciberdelincuente puede llevar a cabo en este tipo de redes y es por eso que en esta entrada veremos algunas cuestiones básicas para evitar que esto suceda.
La semana pasada estuvimos presentes en el evento Segurinfo, en el cual tuve la suerte de presenciar la charla de Emiliano Tissera, el cual planteaba los riesgos de los usuarios de mayor privilegio, mencionando el uso de segmentación de redes para protección de usuarios con privilegios. Sin embargo, no solo debe resguardarse la conectividad e información de perfiles como el dueño de la compañía entre otros; uno de los errores más comunes son los equipos corporativos, dentro de la misma red que los invitados, con el peligro que esto representa.
Es importante comprender que los equipos corporativos no deben estar en la misma red que los usuarios invitados. Cada usuario invitado que ingrese a la red, debe tomarse como completamente desconocido, esto se debe a que nunca se sabe cuál es su propósito. En la mayoría de los casos, el usuario legítimamente tiene buenas intenciones a la hora de navegar por la red, sin embargo su computadora podría estar comprometida por algún tipo de malware que busque esparcirse a toda la red.
Debido al tipo de información (en cuanto a conexión) que viaja en una red LAN (Local Area Network), un atacante puede llevar a cabo un mayor abanico de técnicas, como por ejemplo dnsspoof y arpspoof. Pudiendo redirigir y manipular el tráfico hacia donde le plazca al atacante, interactuar directamente con los equipos sin la capa extra de seguridad que añade el router, e incluso hacer reconocimiento de puertos a los equipos de la red, con el objetivo de encontrar puertos abiertos que desde Internet no serían visibles.
De los problemas más populares en cuanto a configuraciones, se encuentran los equipos como routers o antenas de Wi-Fi (los cuales proveen conectividad a los clientes) con usuarios y contraseñas por defecto. Esto representa un problema grave ya que en muchos casos no solo se puede acceder desde Internet a estos equipos, sino que también permite al atacante ahorrar tiempo con sus técnicas y pasar un poco más desapercibido. Por desgracia, aquí el atacante corre con ventaja ya que desde el router o el dispositivo que se encarga de brindar conectividad a sus clientes, se encuentra disponible la lista de dispositivos conectados, con sus respectivas direcciones Mac e IP, lo cual facilita la etapa de descubrimiento de equipos. Desde aquí mismo también cuenta con la posibilidad de re-direccionar el tráfico de las conexiones, haciendo que manipular las conexiones sea mucho transparente a su víctima, ya que no hay necesidad de hacer envenenamientos de DNS o tablas ARP, técnicas que alertarían a las soluciones de seguridad.
Teniendo en cuenta la gran diversidad de ataques que puede implementar un atacante (por estar en la misma red); para una empresa (sea chica, mediana o grande) deben surgir algunos interrogantes tales como: ¿Qué tipo de factores hay en juego? ¿Qué sucedería si en un hotel se encuentran en la misma red los huéspedes junto con los equipos de conserjería? o ¿Qué sucedería si en una misma red se encuentra conectada la computadora de la caja de un restaurant o cafetería y también los dispositivos de los clientes?
La consecuencia puede variar con la ética y el incentivo del atacante Ya que podría intervenir la base de datos para eliminar sus consumoso para robar información como las tarjetas de crédito de los clientes, o en su defecto, usar el equipo con algún fin malicioso alojando malware o phishing.
Es por este motivo que veremos algunas de las más básicas consideraciones a la hora de montar una red en una empresa o negocio:
- En primer lugar, se debe realizar la segmentación del tráfico en las distintas redes (VLAN Virtual Local Area Network), esto permite que los clientes puedan conectarse a internet a través de la Wi-Fi de la empresa. De esta forma se mantienen los sistemas de la empresa en una VLAN y el acceso de los invitados o huéspedes en una VLAN distinta y que no sean visibles entre sí. Esto permite algunos beneficios como los siguientes:
- Mayor seguridad: el tráfico de cada red inalámbrica viaja en forma aislada a través de la red LAN corporativa
- Menor congestión: debido a que las VLANs separan dominios de broadcast.
- Mayor eficiencia: los usuarios de cada red solo tendrán acceso a los dispositivos que necesitan, consumiendo menos ancho de banda, licencias y ciclos de procesamiento de los demás dispositivos en la red.
- Entre los primeros y fundamentales pasos se encuentra el cambio de configuraciones por defecto en los equipos. En una entrada anterior vimos cómo a través de buscadores como Shodan es posible encontrar dispositivos conectados en internet, separados en categorías con usuarios y contraseñas por defecto, por ejemplo.
Una vez realizada dicha configuración personalizada de cada de una de las VLANs segmentadas, se deben tomar medidas para cada una de ellas. En esta ocasión nos centraremos en la VLAN corporativa:
- Activar el cifrado en las comunicaciones: Es una de las prácticas claves y necesarias. Es el método básico y más inmediato para impedir accesos no autorizados a la red, así como capturas de tráfico y datos privados.
- Autenticación mediante 802.1x: La principal característica es que existe un solo punto donde almacenar todas las credenciales junto a sus usuarios, este sistema será el responsable de asignar el tipo de acceso de cada usuario. Así, el servidor RADIUS podrá llevar a cabo el trabajo de autenticación, autorización y registro de forma centralizada, lo que facilita el mantenimiento y control de la red junto con sus usuarios.
Al tener un servidor RADIUS ya no es necesaria una sola clave para que cualquier usuario acceda a la red, sino que las credenciales dependerán de cada usuario (incluso permite integración con Active Directory). Esto permitirá, entre otras cosas, llevar un registro de los accesos a la red, la asignación de diferentes privilegios y niveles acceso dependiendo del usuario.
Paralelamente se incrementa la seguridad del sistema ya que las claves ya no residen en el punto de acceso sino en un servidor dedicado, cuyo nivel de seguridad es mayor. También se soluciona el problema de robos de claves o credenciales, al ser únicas por cada usuario, por lo que la sustracción de una solo será significativa para el usuario afectado (se recomienda usar contraseñas fuertes), pero no para el resto de usuarios de la red. Bastará con cambiar las credenciales de ese usuario o bloquearlo para restablecer la seguridad en la red, sin afectar en el proceso al resto de clientes, algo que sí ocurre en las arquitecturas de clave única.
- Desactivar el anuncio del nombre de red (SSID): Ocultar el nombre de la red es un elemento de seguridad añadido. En parte, impedirá al atacante identificar la naturaleza y propietario de la misma, y además hará necesario introducir el nombre de la red manualmente para permitir la asociación a la red Wi-Fi, el cual deberá ser conocido por el atacante previamente.
Estas son solo algunas y de las más básicas consideraciones para una red Wireless corporativa, sin embargo hay gran diversidad de herramientas para su monitoreo, como también configuraciones. Algunas configuraciones más básicas y buenas prácticas en routers Wi-Fi pueden encontrarse en nuestra Guía de Seguridad en Redes Inalámbricas.
Como pudimos ver a lo largo de esta entrada, cuando los invitados pueden conectarse a la misma red de trabajo, la información está en peligro constante, por eso la necesidad de mantener las redes por separado. Junto al personal de la empresa, la información es el activo más importante, es por eso que se vuelve tan importante tomar los recaudos necesarios para evitar la fuga de información o la infección de sus equipos con códigos maliciosos.