port security

¿Cómo Implementar Port Security?

Port Security se basa en crear una política de Seguridad de capa 2, es decir, tendremos en cuenta la dirección MAC de los dispositivos, para evitar conexiones no deseadas a los equipos o puertos en cuestión ejecutando una acción en el momento que esta violación de seguridad ocurra.

La activación de Port Security se debe realizar a nivel de interfaz y, para ello, deberemos deshabilitar el modo “dynamic auto” que viene configurado por defecto en todos los puertos de un switch y configurar estos puertos como “access” o “trunk” dependiendo de las necesidades de nuestra red.

Vamos a realizar un ejemplo sencillo para que se pueda ver su funcionamiento. Veamos un escenario donde tengamos un switch y un PC directamente conectados.

port-security 1Configuraremos port-security en la interfaz fa0/1 del switch que es donde está conectado el PC y permitiremos única y exclusivamente la dirección MAC de ese PC.

Por lo tanto, entraremos a la interfaz donde queremos habilitar port-security y configuraremos dicha interfaz como “access”.

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Una vez tengamos esto configurado, deberemos habilitar port-security y empezar a configurar sus características ya que, por defecto, viene deshabilitado. En este caso, como hemos dicho, configuraremos que solo permita el acceso de una única dirección MAC.

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Ahora, llega el momento de configurar el tipo de acción que querremos que ocurra cuando nuestro switch detecte una violación de seguridad. Veamos los diferentes modos que tenemos:

Switch(config-if)#switchport port-security violation ?

protect Security violation protect mode

restrict Security violation restrict mode

shutdown Security violation shutdown mode

Como veis, utilizando el “?” para que nos muestre las diferentes opciones que podemos elegir, el switch nos muestra:

  • Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión.
  • Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta.
  • Shutdown: el puerto se deshabilita.

En este ejemplo vamos a configurar la opción “shutdown“, para que, en el momento que detecte una violación de seguridad, el puerto quede deshabilitado completamente. Por lo tanto, vamos a configurarlo como “shutdown” y vamos a indicarle al switch que dirección MAC queremos permitir.

Switch(config-if)#switchport port-security violation shutdown

Switch(config-if)#switchport port-security mac-address 0090.21B4.6498

La detección de la dirección MAC permitida, se puede configurar de varios modos. En este caso hemos utilizado la manual ya que solo tenemos un dispositivo conectado y no lleva mucho trabajo configurar esa sola dirección. Los modos de detección de dirección MAC son:

  • Dynamic: configuramos el número de MACs que podrán accede al mismo tiempo sin indicar las MACs específicamente.
  • Static: configuramos específicamente la o las MACs que queremos que puedan acceder.
  • Combination: una mezcla de dynamic y static donde configuraremos el número de MACs que podrán acceder pero indicaremos alguna o todas las MACs que queremos que puedan acceder específicamente.
  • Sticky learning: aprende la dirección MAC cuando te conectas y la configurara en el dispositivo como si la hubiéramos puesto de modo static.

Llegados a este punto, ya tenemos configurado nuestro port-security básico para permitir la conexión de ese dispositivo en cuestión. Ahora, que pasaría si colocáramos un switch nuevo entre el PC0 y el switch y conectáramos un nuevo PC a el primer switch para tener conexión en ese nuevo PC?

Opción a) permitiría la conexión del nuevo PC hacia ese primer switch.

Opción b) deshabilitaría el puerto fa0/1 donde hemos configurado port-security.

¡Correcto! Todos aquellos que hayáis pensado en la opción b) estáis en lo cierto, ya que, en ese momento, tendremos 3 direcciones MACs conectadas al switch y de estas, solo estamos permitiendo la del PC0 original. El escenario nos quedaría de la siguiente manera:

port-security 2

Como vemos, tenemos la conexión entre switches deshabilitada, con lo que, hemos perdido conexión a nuestra red. Si queremos monitorear el comportamiento que ha tenido el switch al detectar esta violación de seguridad, podemos utilizar los siguientes comandos y obtendremos los siguientes outputs:

Switch#show port-security interface fastEthernet 0/1

Port Security: Enabled

Port Status: Secure-shutdown

Violation Mode: Shutdown

Aging Time: 0 mins

Aging Type: Absolute

SecureStatic Address Aging: Disabled

Maximum MAC Addresses: 1

Total MAC Addresses: 1

Configured MAC Addresses: 1

Sticky MAC Addresses: 0

Last Source Address:Vlan: 0002.16D6.9403:1

Security Violation Count: 1

Como veis tenemos un contador que especifica el número de veces que se ha producido una violación de la política de seguridad, indicando también la última MAC de origen conectada al puerto.

Si quisiéramos permitir la conectividad total en ese nuevo escenario, deberíamos permitir las direcciones MAC del switch3 y del PC1 y aumentar el máximo de conexiones permitidas hasta 3 como mínimo.

04

Cisco Cloud Web Security, garantías de seguridad enfrente a ese “clic no deseado”

El tema de la seguridad ha cambiado, antes, las vulnerabilidades se limitaban al contacto casi directo entre los usuarios o por descargar ficheros de dudosa fiabilidad.

Hoy en día, las formas de contagiarse de código no deseado han aumentado, han evolucionado y se presentan de mil y una nuevas formas a cada minuto que pasa. Y uno de los motivos es que hoy en día necesitamos conectividad total desde cualquier dispositivo, a cualquier sitio y el usuario no tiene porque ser un entendido en seguridad,¡ Si hay que ni sabe que es un antivirus!. Pero tampoco es fácil para la gente con ciertos conocimientos, que navegamos por las webs ya con cierto recelo y prácticamente sin poder hacer una navegación “normal” porque desconfiamos de cada nuevo código que se carga en nuestro navegador. Y es precisamente sobre el navegador de lo que hablaremos en este articulo.

El navegador es la mayor puerta a nuestro ordenador, y ademas, somos nosotros los que damos acceso a nuestro sistema operativo (y posiblemente a información sensible, personal o corporativa) con tal solo un par de clics donde no debemos.

El caso es que, como administradores no podemos ir todo el día detrás de los usuarios llamándoles la atención y creándonos enemigos dentro de nuestro trabajo solo porque “no les dejamos hacer nada”, tampoco podemos estar al día de todos los posibles ataques o mutaciones que se presentan día a día.

Obviamente no quiere decir que no debamos tener un ojo sobre nuestro propio sistema pero, al igual que confiamos en los antivirus de diferentes fabricantes, herramientas antimalware y miles de programas que nos sobrecargan nuestros PCs, ¿porqué no confiar en un productor que pueda estar al día, que no sobrecargue nuestra red y ademas nos permita dar ciertas garantías de seguridad enfrente a ese “clic no deseado”? (No nos engañemos, todos hemos pinchado donde no debíamos)

Aquí es donde aparece Cisco Cloud Web Security (CWS), un concepto tan sencillo como un proxy en el cloud especializado en el tráfico web y que nos servirá de primera defensa delante de cualquier cambio en la red que se nos escape.

01

CWS se encargará de monitorizar todo aquello que una web intenta cargar a través de nuestro navegador. Dicho así no parece grave la cosa, ¿qué se puede cargar? ¿HTML?¿JPG? ¿Las famosas cookies?. No, las webs hace años que dejaron de ser tan inocentes y para tener una web atractiva, tienes que hacerla atractiva, y HTML no es suficiente, necesitas que ciertos lenguajes de programación adaptados a la web nos ofrezcan ciertas funcionalidades aunque implique instalar un pequeño software o plugin en nuestro PC para poder ejecutarse, en este punto ya estamos ejecutando cosas mas allá de nuestro navegador, la web ya no se queda en el portal de la casa que es nuestro PC, sino que ademas entra hasta el recibidor para mostrarnos animaciones, videos, etc. Y aquí es donde entra en juego Flash, Java, ActiveX, ejecutar PDFs… y quien es capaz de controlar eso? CWS

¿Pero qué es CWS? ¿Un antivirus más? ¿Una funcionalidad el ASA?

Cierto es que Cisco tiene un amplio abanico de equipos capaces de realizar estas funciones pero no siempre nos conviene pagar por un hardware especializado para proteger ciertas ubicaciones que no les hace falta tanto, pero tampoco queremos caer en la trampa de tener un equipo “todo en uno” sobrecargado y que al final lastre el rendimiento de mi red con tanta comprobación. La clave de este producto está en la primera “C”, Cloud. Es un servicio que yo puedo contratar y que liberará a mis equipos de tener que procesar uno de los mayores volúmenes de tráfico que se generan en todo el mundo, permitiéndome que si tengo un cortafuegos, este se centre en protegerme de otros ataques y delegue el tráfico web a otro. La especialización nos permitirá tener una seguridad más modular y más eficiente ya que cada uno hará lo suyo, y nada mas, y sin encarecer el servicio porqué ya no me hace falta pagar por un software e integrarlo.
CWS monitorizará el trafico en tres fases:

Primero, toda URL pasa por un exhaustivo filtrado web. Este filtrado no es mas que una base de dates donde se categorizan todas las URLs y os permitirán filtrar webs tan solo marcando la categoría que quiero permitir (juegos, redes sociales, apuestas..), incluyendo aquellas que no estén ni categorizadas, CWS las abrirá en el cloud y verificará cada linea de código para asegurarse que tipo de página es, y si tiene cualquier cosa sospechosa, todo en tiempo real. Y no solo se limitará a la categoría, CWS también asignará una reputación a cada web donde, fácilmente podré identificar aquellas webs peligrosas. Además es un valor dinámico, que va cambiando en base a los cambios de la web, antigüedad del dominio, país, propietario, informes recibidos por otros usuarios, etc.

02

Otro aspecto interesante para el entorno corporativo es que acceder a la web no siempre es blanco o negro, igual, en las políticas de uso aceptable de la empresa se permite acceder a ciertas webs con condiciones o en determinadas horas. CWS dispone de una funcionalidad llamada “Application Visibility and Control” que son un conjunto de APIs especificas de ciertas webs o servicios que le permiten monitorizar y bloquear elementos tan específicos como podrían ser los “Me gusta” del Facebook o subir ficheros a Dropbox, todo en base a una serie de condiciones especificadas en la política de uso y a quien accede, porque cualquiera le prohíbe entrar al Facebook al jefe.

 

03

Vale, ya hemos cargado la web, cumpliendo todos los prerrequisitos de la política de empresa, ¿pero acaba aquí la tarea de CWS?

En la segunda fase y antes de entregarnos la web (tercera fase), esta web es sometida a un escaneo de su contenido, hasta el punto que hay “scanlets” específicos para Java, ficheros, Flash, etc que se encargaran de que no tengamos sorpresas no deseadas. Además disponemos del Advanced Malware & Polymorphic (AMP), una función capaz de ejecutar el fichero y monitorizarlo para verificar que no es un malware que ha mutado para engañar al antivirus. Todo aquello desconocido o dudoso se ejecutará en un “sandbox” donde se terminará de determinar si es peligroso o no para nosotros, detectando también ataques “Zero-day”.

04

CWS es un servicio que va evolucionando y adaptándose al día a día para ofrecer seguridad al usuario, tanto al local como al remoto vía AnyConnect, faclitándole la tarea al administrador de la red. Pero no hay que olvidar que la seguridad es un espejismo y que el mejor antivirus del mundo se llama “concienciación del usuario”

Escrito por: Carles Salom (Instructor Cisco y Consultor en Mira Telecomunicaciones).

Ver versión en catalán:

Cisco Advanced Malware Protection

El cibercrimen es lucrativo y la barrera de entrada a ese mundo es muy baja, con lo que cualquiera puede entrar y, porque no, crecer llegando a ser un peligro para la mayoría de organizaciones. Los hackers son cada vez más cuidadosos y tienen recursos para comprometer cualquier organización con un malware que ha ido sofisticándose a medida que van pasando los años hasta llegar a una complejidad preocupante.

imagen seguridad

Actualmente el 95% de las empresas son objetivos de trafico malicioso i el 100% de las empresas interactúan con webs que hospedan malware. Por lo tanto, deberíamos concienciarnos y aprender a focalizar nuestros esfuerzos para protegernos frente a estos ataques.

¿Cómo lo haremos?

· Prevención bloqueando el acceso a nuestras redes mediante los ataques ya conocidos hasta la fecha.
· Rápida detección del ataque, respuesta y cura para dicha infección.
· Poder hacer frente a las amenazas desconocidas totalmente, comúnmente llamadas como amenazas de día 0 que no aparecen en ninguna base de datos de amenazas y tendremos que interceptar e inmunizar nuestra red a tiempo real.
Para ello, Cisco, lleva trabajando en un concepto llamado “Attack Continuum” basándose en segmentar nuestra defensa en 3 fases (Antes, Durante y Después) comunicándose entre ellas para estar preparados para reaccionar frente a cualquier amenaza.

· Antes: Es donde tendremos que preocuparnos de las tareas de contención sobre lo que ya conocemos anteriormente. Realizaremos tareas para descubrir, ejecutar e inmunizar nuestra red con equipos tipo Firewall, VPN o un control de accesos.
· Durante: Inspeccionaremos lo que ya hemos dejado entrar e iremos controlándolo e inspeccionándolo por si debiéramos bloquearlo por algún motivo al detectar un comportamiento fuera de lo común. Realizaremos tareas de detección i bloqueo para defendernos frente a esos ataques.
· Después: Realizaremos las tareas para comprobar el alcance que ha tenido dicha infección, la contendremos y le pondremos remedio para que no vuelva a producirse la misma situación en ocasiones futuras.
Cisco Advanced Malware Protection (AMP) nos da tanto protección en un instante del tiempo puntual como una protección continua analizando en todo momento nuestra red y el comportamiento de todos sus integrantes como son los dispositivos finales como ordenadores, teléfonos IP, dispositivos móviles, entornos virtualizados o Cloud, y sobretodo nuestros servicios de correo y web.

imagen seguridad 2

La detección puntual se basa en:
· Inspeccionar las firmas o certificados, ya que podemos descartar de antemano algo que sabemos que ya es malicioso al no contener una firma verificada.
· Fuzzy Finger-printing: es una base de datos de todas las firmes donde podremos comprobar si la que estamos inspeccionando se parece o no a alguna que ya está previamente almacenada en la base de datos para poder bloquear algún tipo de objeto que se haya podido modificar mínimamente generando el ataque que está teniendo lugar en ese momento.
· El Análisis dinámico consiste tomar una muestra del objeto y analizarlo en un entorno virtualizado (llamado “Sandboxing”) para ver cómo se comporta dicho objeto para poder obtener esa información para reforzar mi seguridad contra ataques similares.

Mientras que el análisis continúo podríamos explicarlo con un ejemplo donde un usuario se descarga un archivo y se estudia cómo se propaga el archivo por toda nuestra red. Aunque, actualmente, existe malware que envía señuelos para engañar al sistema para poder llegar al destino deseado, debemos poder distinguir entre el bueno y el señuelo y siguiendo la cadena de infección, realizar las medidas de contención necesarias para que no lleguemos a límites irreparables y podamos protegernos frente ataques futuros.
Mediante AMP podremos visualizar todos esos datos y diferenciarlos según las 5 “W”s (Who, What, Where, When & How).

imagen seguridad 3

· Quien (Who): Primero nos centraremos en estos usuarios que son los que han sufrido dicho ataque, luego el resto.
· Que (What): Comprobaremos que aplicaciones se han visto afectadas por dicho malware.
· Donde (Where): Comprobaremos las áreas que ha podido afectar dicho ataque y luego el resto para asegurarnos que no se haya propagado a otras.
· Cuando (When): Nos centraremos en saber en qué momento ha sido ejecutado dicho ataque.
· Como (How):
Veremos todo el proceso de la amenaza, desde su inicio hasta que la hemos podido inmunizar y eliminar.

¿Qué equipos soportan actualmente dicho software?

imagen seguridad 4

Escrito por: Jose Manuel Rodríguez (Ingeniero de Soporte en MIRA Telecomunicaciones)

edificio

Curso Cybersec: Formación para manejar incidentes de seguridad y proteger su organización.

Hoy por hoy la seguridad se ha convertido en un hecho vital, tanto para personas como empresas y la sociedad en su conjunto. Todos los factores de la sociedad están destinando sus recursos para garantizar esto que consideran de gran importancia.

Para todos el internet se ha convertido en una necesidad de la cual no es difícil prescindir, tal es el caso que forma parte de nuestras vidas. Su rápido crecimiento, como se ha incorporado en nuestras vidas y como es parte esencial, en personas, empresas, etc., En un mundo globalizado, donde prima hacer negocio y establecer relaciones comerciales es importante todo tipo de políticas de seguridad, que establezcan reglas generales, que garanticen la seguridad y eviten todo tipo de comportamientos fraudulentos.

La Ciberseguridad nos plantea todo lo que existe en un entorno explícitamente artificial, es decir todo lo que se genera por medios Informaticos. Como su nombre lo plantea es la seguridad en este ámbito que por el auge de las telecomunicaciones, el uso de internet y todos los dispositivos Informaticos, hacen que éste sea un elemento esencial para la protección de todos los actores y de esta infraestructura, que cada vez tiende a ser más crítica por todos los avances tecnológicos.

El paso del tiempo y la evolución que están teniendo las TIC, ha conllevado a que aparezcan riesgos, lo cual ha hecho necesario que se diseñen políticas y que se haga todo lo necesario para gestionar la seguridad, no solo a nivel individual sino también en entornos más complejos como empresas y entidades gubernamentales.

En primera instancia la Ciberseguridad tenía como objeto principal proteger la información, de una forma reactiva, lo cual ocasionaba serios problemas al solo reaccionar una vez estaba el problema. Hoy, esto ha evolucionado tomando una acción proactiva, donde todas las partes buscan identificar y gestionar los riesgos que amenazan este ámbito virtual y el poder aprovechar las oportunidades que cada día ofrecen las nuevas tecnologías, minimizando los riesgos y prevaleciendo ante los nuevos retos.

MIRA Telecomunicaciones como catalizador de tecnologías y en su apuesta constante por iniciativas estratégicas que den valor a nuestros clientes, consideramos la Ciberseguridad un nuevo foco de vital importancia que permitirá establecer, analizar y diseñar todo en un marco de seguridad en la infraestructura de nuestros clientes.

Este curso se centra en el desarrollo de un proceso sistemático para asegurar la red de la organización, mediante la implementación de un manejo de incidencias y plan de respuesta a través de la detección y el análisis de amenazas, respondiendo así con el objetivo de ayudar a nuestros Partners en los nuevos retos, tenemos prevista una convocatoria especial que reúne en un enfoque holístico centrado en preparar a los ingenieros para analizar las amenazas, el cómo obtener redes seguras, manejar incidentes y utilizar otras habilidades criticas de seguridad para proteger su organización, todo ello en un solo curso: CYBERSEC.

Detalles de la Convocatoria:
Curso: Cybersec
Fecha: 14 al 18 de Septiembre
Duración: 5 días
Certificación: Cybersec

Este curso está diseñado para los profesionales de seguridad de la información, cuyas funciones de trabajo incluyen el desarrollo, operaciones, administración y ejecución de los sistemas y la red.

Programa

Assessing Information Security Risk
Creating an Information Assurance Lifecycle Process
Analyzing Threats to Computing and Network Environments
Designing Secure Computing and Network Environments
Operating Secure Computing and Network Environments
Assessing the Security Posture Within a Risk Management Framework
Collecting Cybersecurity Intelligence Information
Analyzing Cybersecurity Intelligence Information
Responding to Cybersecurity Incidents
Investigating Cybersecurity Incidents
Auditing Secure Computing and Network Environments

Escrito Por: Mery Tenorio