Nortel asegura las redes

La oferta del fabricante incluye protección contra las amenazas a la infraestructura mediante hardware, software y políticas de fácil implantación.

Mientras las amenazas a la seguridad de la información de las empresas e individuos se centran en la protección contra lo evidente, los atacantes han hecho grandes adelantos en la sofisticación de sus amenazas. Ello debería ocupar a toda la industria y así sucede, sin embargo, los riesgos no disminuyen y, dadas las cifras, el peligro mayor proviene del interior de las empresas.
El asunto es más o menos claro: porcentajes que van de 70% a 80% de los ataques corresponden a los que se hicieron desde el interior de las empresas. Casi todos responden a esquemas hoy conocidos como ataques hombre en medio o man in the middle.
El problema mayor es que los resultados, de igual forma, pueden ser más letales que incluso los ataques perpetrados desde el exterior de las empresas.
Así las cosas, asegurar y proteger el perímetro y los puestos de trabajo es insuficiente, expuso David Moss, arquitecto de redes en Nortel Networks, al momento de una reunión con clientes de la empresa norteña de redes.
En un foro denominado “En la mente de un hacker”, Nortel puso en claro la vulnerabilidad de las empresas y su información, montó una demostración donde una simple herramienta gratuita podía ejecutar los ataques sobre una red supuestamente segura.
El enemigo en medio
Básicamente los ataques descritos en la presentación y puestos en acción son posibles porque las máquinas de los atacantes se ponen en medio de las máquinas de las víctimas, a las que hacen creer que son un elemento legítimo en la red.
Un atacante en medio puede hacer creer a una víctima (por ejemplo, un servidor, un switch o un router) que posee la dirección MAC (legítima) de una máquina que pertenece a la red.
De esa forma el atacante es capaz de ver la información que se hace llegar a la máquina de la víctima; aún más, puede modificarla o eliminarla para causar daños aún más serios que sólo interceptar conversaciones.
Como es evidente, las protecciones comunes no son suficientes para poner a salvo una red, es decir la mayoría de las empresas no tiene seguridad.
David Moss planteó que las empresas están expuestas a diferentes versiones de los ataques hombre en medio, ataques remotos y locales.
Entre los primeros están DNS poisoning, donde el pirata modifica las entradas de DNS de un servidor público para redirigir hacia sí mismo el tráfico destinado a otro sitio. Mediante la técnica de GRE tunneling, un atacante puede redirigir el tráfico que sale de un sitio.
El segundo tipo de ataque es más eficiente y peligroso. Se consideran locales cuando el usuario está conectado al mismo segmento o VLAN que su víctima. Entre las posibilidades, describió Moss, están ARP poisoning, que falsifica los caches ARP de las víctimas; el robo de puerto, que hace creer al switch que el atacante es la víctima; el DHCP spoofing, que es ponerse en el lugar del DHCP de la red y pasar información falsa al blanco y que resulta en un sniffeo half-duplex porque el router mandará el paquete de regreso directamente a la víctima; el STP mangling es ponerse como raíz (root) del árbol spanning-tree y así puede ver el tráfico que pasa de un lado de la red a otro; el ataque ICMP redirect manda un paquete ICMP para hacerse pasar por una gateway; otro más intenta hacerse pasar como un router con más alta prioridad y así rutear el tráfico; el ataque de ruteo envía actualizaciones de la tabla de ruteo para confundir a los equipos activos de la red.
La segura opción de Nortel
La opción de Nortel es simple, agregar un nuevo switch de seguridad que permita aplicar políticas rigurosas en forma sencilla a cada uno de los equipos conectados a una red.
Estas reglas determinan a cuáles elementos y recursos de una red empresarial tiene acceso un usuario. Se aplican lo mismo a visitantes que a empleados y permiten que, si las opciones de protección contra esos ataques están activadas, las máquinas de las víctimas sean sacadas de las VLAN seguras para ser puestas en una especie de cuarentena que evita que las máquinas atacadas pongan en peligro los recursos de la red.
Víctor Mejía, arquitecto de redes en Nortel Networks México, expuso que de esa manera, si se tiene el ataque hombre en medio, puede prevenirse que los paquetes del atacante lleguen a los demás elementos de la red, sean switches, ruteadores o servidores.
A pregunta expresa, Mejía admitió que el escaneo de puertos no se puede parar pero lo que se puede hacer con la propuesta de Nortel es detectarlo y filtrarlo. “Si tienes una máquina en el área de servidores, revisa el tráfico que pasa por ahí para determinar si es legítimo y si no lo es lo tira”.
La solución conjunta incluye IDS, switches, antivirus y firewalls que deben trabajar en completa integración y ser interoperables, con el objetivo de que, ante un escaneo de puertos, el IDS avise al firewall que, a su vez, tirará el tráfico atacante.
Mejía puso un ejemplo: cuando se revisa una red, prácticamente en todas las empresas, el puerto de la sala de juntas está abierto, proporciona una dirección IP y desde ahí hay acceso abierto a todos los recursos.
La propuesta de Nortel es que cuando un puerto se active, primero debe determinarse si el usuario que se conecta es un usuario al que se le permitirá acceso a los recursos.
En segundo lugar se determina si el usuario cumple con las políticas de seguridad, las cuales no pueden ni deben tener excepciones, ni siquiera para el presidente o director general. Cuando el puerto se activa, el usuario tiene que lanzar un portal de acceso; es un cambio en su login y se le envía a una VLAN aislada, cuando el usuario introduce sus credenciales un agente dinámico determina si la máquina cumple con todas las políticas, de esa forma determina si la máquina pertenece o no a la compañía.
Si el agente determina que la máquina no pertenece a la empresa, simplemente no la deja salir de la VLAN aislada.
Si es un usuario legítimo todavía debe pasar por otro proceso de cumplimiento de políticas: determina si el firewall está activado y si el antivirus está actualizado, por ejemplo.
Desde ese momento el agente se queda residente en la memoria, pues un ataque puede desactivar el firewall o detener el antivirus y causar daño; si algo así ocurre a un usuario legítimo, se le saca de la VLAN de producción para llevarlo a la VLAN aislada.
El sistema entero permite la flexibilidad necesaria para asignar recursos sólo a los usuarios legítimos; todos los puertos, en cuanto se activan, se envían a la VLAN aislada y sólo hasta que cumplen todos los requisitos son trasladados a las VLAN de producción.
Nortel persigue con esto que cualquiera que se conecte a la red, si no cumplió las reglas, se quede en una VLAN aislada, se controlan todos los puertos y los usuarios se tienen que validar por las políticas. Entre los elementos de la red debe estar el nuevo switch de Nortel Secure Network Access.
Lo que viene después
La oferta de Nortel busca contrarrestar el hecho de que los virus y gusanos cada vez contienen más inteligencia. El fabricante se centra en este aspecto y propone una solución para los ataques en masa generados por zombies y por eso trabaja en el agente que asegura que el comportamiento de la máquina nunca cambie en sus interrupciones o en sus formas de comunicarse. “Le daremos más inteligencia a cada dispositivo de la red”, afirmó y agregó que la empresa de redes se dedicará cada vez más a la integración de los dispositivos para garantizar la interacción y la interoperabilidad de todos los recursos que contribuyan a la seguridad en las empresas.