Detección y prevención de dispositivos no autorizados en la red

Uno de los escenarios de riesgo más peligrosos para una organización se produce cuando un atacante consigue instalar un dispositivo en la red interna, estableciendo así una plataforma desde la que poder realizar actividades fraudulentas. En este artículo vamos a dar algunas pautas sobre cómo establecer un marco de control que permita detectar y prevenir la conexión de dispositivos no autorizados. Este marco de control se basa por un lado en el establecimiento y mantenimiento de un inventario de dispositivos y por otro, en la habilitación de medidas de control de acceso a la red.

Conocer aquello que hay que proteger

Uno de los prerrequisitos de cualquier estrategia de seguridad es tener una idea clara de aquello que hay que proteger; o sea, en el caso de la seguridad de la información, los activos tecnológicos (hardware, software, información, instalaciones de procesamiento de datos,…).

El inventariado de activos es uno de los controles básicos en los principales estándares de seguridad (ej: código de buenas prácticas del ISF, ISO/IEC 27000, MAGERIT, los 20 controles críticos del SANS, etc…) y es fundamental para poder cumplir con normativas como SOX, Basilea II, las regulaciones de protección de datos o la sectorial PCI/DSS.

Un buen inventario debe contemplar los elementos que, a distinto nivel de abstracción, constituyen los sistemas de información:

stack

El inventario de las aplicaciones y de los subsistemas relacionados es una herramienta fundamental para la planificación y priorización de las actividades encaminadas a la gestión, protección y control  de los sistemas que posibilitan los procesos de negocio. Alrededor del inventario se articulan procesos fundamentales como el parcheado periódico de los servidores o los procesos de monitorización de eventos de seguridad. Una de las principales ventajas del inventario es que constituye una línea base de los activos de nuestra red, lo que permite la detección de nuevos dispositivos conectados sin autorización. En este post nos centraremos en el nivel más básico de inventario, aquel que cubre los dispositivos conectados a la red. En posteriores artículos iremos revisando otros niveles de inventario y su utilidad.

La creación de un inventario de activos tecnológicos, puede ser una tarea muy sencilla en el caso de pequeñas organizaciones, pero un reto enorme y complicado en el caso de grandes organizaciones con miles de servidores, ordenadores o impresoras ubicados en distintas localizaciones geográficas. El tema se puede complicar aún más, en el caso de servidores virtualizados que pueden aparecer o desaparecer dinámicamente en cuestión de minutos o cuando en la red se pueden conectar eventualmente dispositivos de uso particular (escenario Bring Your Own Device) u ordenadores portátiles que están operativos de manera intermitente. Según leí hace poco en una encuesta de LANDesk, algo más del 66% de los responsables de IT encuestados admitían no disponer de una foto actualizada de los sistemas.

Las fases del inventario de dispositivos

Mantener una imagen precisa y actualizada de los activos tecnológicos es un proceso continuo. Las fases de este proceso son:

Establecimiento del Inventario inicial (línea base)

El primer paso consiste en obtener una primera instantánea de los dispositivos conectados a la red. A menos que se trate de una red muy pequeña, lo normal es ayudarse de herramientas que nos permitan rastrear la red e identificar todos aquellos dispositivos conectados. En este sentido podemos obtener buenos resultados tanto con herramientas gratuitas (ej: nmap, wireshark, SpiceWorks) como con herramientas de pago (CISO Identity Services Engine, Qualys Guard,  Tripwire, Lumeta IP Sonar,…).

Descubriendo activos conectados mediante herramientas

En esta fase, el resultado que nos devuelvan las herramientas nos permitirá obtener el esqueleto inicial del inventario, e incluirá normalmente información muy básica como:

  • La MAC address,
  • La dirección IP del dispositivo,
  • El nombre de máquina y…
  • Quizás alguna información muy básica sobre el sistema operativo.

Es necesario  entonces ampliar la información “en crudo” que nos devuelven las herramientas para añadir algo más de información “a gusto del consumidor”; por ejemplo:

  • Responsables técnicos y de negocio
  • Localización del dispositivo
  • Uso del dispositivo en el contexto de la organización
  • Criticidad del dispositivo (lo que determinará el tipo de backup necesario, los requisitos de disponibilidad,…).

Con posterioridad, querremos profundizar aún más e inventariar todos los servicios y aplicaciones que se ejecutan en cada uno de los dispositivos. Este tipo de inventario nos permitirá, entre otras cosas, detectar software no autorizado en la red, pero esto lo cubriremos en artículos posteriores.

nmap

Descubriendo hosts con nmap

Mantenimiento

Una vez creada la línea base inicial, habrá que asegurarse de que el inventario se mantiene actualizado; para ello:

  • Hay que modificar (o crear) el procedimiento usado para el aprovisionamiento de equipos, de modo que para cada nuevo servidor, impresora, teléfono IP, etc. que vaya a ser instalado se incluya su información en la base de datos del inventario de activos por parte del responsable de la instalación.
  • Se deben realizar escaneos periódicos de la red con las herramientas para detectar nuevos dispositivos conectados. Este descubrimiento de nuevos dispositivos obedecerá normalmente a alguna de las siguientes causas:
    • Se ha instalado un nuevo dispositivo (ej: un servidor) sin seguir el procedimiento de aprovisionamiento descrito anteriormente.
    • Se ha “levantado” un nuevo servidor virtual o se ha encendido un servidor u ordenador físico que no estaba encendido cuando se estableció la línea base inicial (ej: un portátil usado ocasionalmente por un empelado).
    • Se ha instalado fraudulentamente un dispositivo en la red con la intención de hacer hacking u alguna otra actividad no autorizada.

Como norma general, por cada nuevo dispositivo que sea descubierto, se deberá generar una alerta automática al sistema de monitorización de eventos de seguridad (SIEM) para que los encargados identifiquen la causa concreta. En el caso de dispositivos legítimos, se actualizará la base de datos de inventario; en el caso de dispositivos ilegítimos, se pondrá en marcha el procedimiento de gestión de incidentes de seguridad.

Defensa en profundidad

Como hemos visto, el escaneo periódico de la red en busca de dispositivos no registrados en el inventario, es un control que mitiga el impacto que puede producir un atacante, al permitir la detección temprana del problema; sin embargo, de acuerdo a una estrategia de defensa en profundidad, es recomendable la implantación de otro tipo de controles que permitirán no ya solamente la detección, sino que eliminarán la amenazan de raíz:

  • Port Security: Consiste en activar controles de seguridad preventivos a nivel de los switches de una red Ethernet. Entre otras funcionalidades, esto permitirá que a un determinado puerto sólo pueda conectarse un dispositivo con una MAC address concreta. En caso de que algún dispositivo no autorizado (por ejemplo, un portátil) se “pinche” a una roseta de red, el switch tirará el puerto y alertará sobre el incidente. Aunque este es un control bastante efectivo a la hora de impedir la conexión ilícita a la red, también genera una mayor complejidad para los administradores de la red.
  • Acceso a red basado en certificados: Este control hace posible que sólo puedan autenticarse y validarse en la red, aquellos dispositivos que tengan instalado un certificado digital válido.

Deja un comentario