Defensa de infraestructuras de red. Critical Controls

Annotations:

Aplicaciones de auditoría: RAT (Router Assesment toolkit) NCAT Nessus

1. Control de inventario Hardware
1. Parchear, y actualizar firmware
2. Control de Inventario Software
1. Actualizar OS y apps
3. Control continuo de vulnerabilidades
4. Uso controlado de los privilegios de administración
1. No utilizar usuarios colectivos. Cada usuario una cuenta
  Annotations:
  - Asegura el no repudio de acciones.
5. Configuraciones seguras de Hardware y Software
1. Evitar configuraciones por defecto
2. Usar GPO cuando sea posible
3. Servicio NTP sin autenticación. Servidores responden a cualquier cliente
  Annotations:
  - Un hacker puede crear un paquete solicitando una respuesta cambiando la cabecera de remitente con nuestra IP. Las respuestas son más pesadas que las solicitudes y pueden causar DDOS. Especial cuidado con servidores antiguos con el comando monlist activado (devuelve los últimos 600 hosts. Paquete muy pesado que puede provocar un ataque UDP amplificado. Si se encuentran cientos de servidores NTP vulnerables "contestando" a la misma víctima, el efecto es devastador.
  1. Habilitar sólo el NTP server cuando se necesite. Ojo al instalar cliente NTP, a veces se instala también el servidor
  2. Se pueden descubrir servidores vulnerables con nmap: nmap -sU -pU:123 -Pn -n -script=ntp-monlist <ip>
  3. Usar ACL,s para limitar clientes y peers
    Annotations:
    - https://community.cisco.com/t5/switching/ntp-peer/td-p/2091646
  4. Deshbilitar y bloquear en servidores NTP peticiones modo 6 y 7 (MONLIST)
4. Servicio SNMP. Otro servicio UDP muy vylnerable hasta versión 3. Facilita información valiosa a atacantes y factor de amplificación en respuestas de hasta 1:6
  1. Usar siempre versión 3 (con password compartida y encriptado)
    1. Emplea concepto de usuarios y grupos para restringir acceso a datos
    2. Hashed passwords con 3DES o AES
  2. Si hay que usar v1 o v2, cambiar el string public de lectura por uno más complejo y eliminar el private de lectura/escritura
  3. Usa ACL: snmp-server community complexString RO ACL-SNMP
6. Monitorización y análisis de logs
Annotations:
- SIEM
1. Registrar accesos exitosos y fallidos
  Annotations:
  - En routers y active directory deshabilitados por defecto intentos de acceso fallido
2. Registrar en servidores Log remotos
  Annotations:
  - Para evitar que un usuario no autorizado pueda borrar sus huellas en la propia máquina
3. Evitar saturación de logs empleando keywords de logs a guardar (FAN,DUPLICATTE,VRRP...) y a evitar (http)
4. Evitar ataques al sistema de logging:
  1. Usar SNMP v3 (encriptado) en lugar de protocolo syslog para evitar MitM
  2. Usar SNMP v3 (encriptado) en lugar de prorocolo syslog (en claro)
  3. Proteger los repositorios de logs mediante ACLs
  4. Proteger el tránsito de logs (VLAN separada) para evitar que el atacante pueda anular el sistema de logging durante el ataque
  5. Generar una alerta cuando se produzca el borrado de logs
7. Web y email protección
1. Filtros Spam, malware, filtros firewall..
  Annotations:
  - Deben evitar archivos con extensiones de ejecutables o scripts.
8. Defensa contra malware
1. Aplicaciones antimalware
  1. Los HIPS deberían detectar, al menos:
    Annotations:
    - Host Intrusion Prevention systems
    1. Archivos javascript y macros de office
    2. Uso de Powershell y toolsets basados en él
    3. Javascript empleado fuera de navegadores o WSH
    4. Toolkits de evasión de protección de los AV
    5. El AV debe examinar también ejecuciones desde %TEMP%
  2. Las más potentes examinan también comportamientos de los ejecutables
  3. Las últimas aplicaciones endpoin incluyen Next Generation Firewalls
    Annotations:
    - Tienen algunos beneficios, como tener un sólo log integrando accesos desde la red y detecciones en la propia máquina.
2. Listas blancas de aplicaciones
  Annotations:
  - Aplicaciones como Bit9 o Windows App Locker. Algunas aplicaciones endpoint protection tienen también lista blanca. No confiar en aplicaciones exclusivamente por tener un certificado válido.
3. No ocultar extensiones de archivos (Windows las oculta por defecto)
  Annotations:
  - Muestra hola.pdf.js como hola.pdf
4. Asociar mediante GPO extensiones peligrosas como no ejecutables
5. Enseñar al usuario a poner atención en lo que ejecuta
6. Evitar tipos de letras ejecutados desde fuera de la carpeta Fonts
9. Limitar y controlar los puertos de red
10. Capacidad de recuperación de datos: Datos, configuración y OS
11. Configuración segura de los equipos de red
Annotations:
- Configuración segura routers CISCO: service password-encryption convierte todas las pwd de en claro a tipo 7 (ofuscadas pero fácilmente reversibles). Si ya se tienen una cuenta de usuario creada, hay que eliminarla y usar secret en lugar de password para que se encripte con tipo 5. no user admin user admin priv 15 secret password Solicitar passwords de longitud mínima (no se eliminan las que ya están): security passwords min-length 8 login delay 3 (Espera 3 segundos antes de responder al login) login block-for 60 attempts 4 within 60 (Bloquea la cuenta 60 sg por 4 errores en 60 sg) Lo mejor: Restringir acceso al router mediante listas de acceso: ip access-list standard ACL-MGT permit host 10.10.10.10 permit 11.11.11.11 0.0.0.255deny any log
1. Monitorizar los logs en una red de gestión
2. Acceder con autenticación 2 FA a los equipos de red
3. Habilitar en los switch Dynamic protocol inspection DAI para evitar ataques MiM
  Annotations:
  - Mantiene una tabla de MAC asociada a IP y si encuentra Ip,s o MACs duplicadas manda un log y desabilita el puerto. La tabla es dinámica y se borra cuando se reinicia el switch.
4. Usar conexiones seguras (https y ssh) y desconfiar si encontramos un problema de certificado para evitar MiM
  Annotations:
  - Se pueden añadir plugins a los navegadores que impidan navegación no segura.
5. No usar certificados autofirmados, sino validados por Autoridades de Certificación
  Annotations:
  - Si no lo hacemos así, el usuario tendrá que continuar a pesar del aviso del navegador y si se encuentra un certificado de un atacante recibirá el mismo aviso.
6. Si no usamos ipv6, deshabilitarla de todos los equipos si no es usa y es posible. Si no:
  1. Activar en los switchs el Router Advertisement guard si está disponible
    Annotations:
    - Cuando se detecta un anuncio de router en una boca que debe conectar un host normal, el puerto se deshabilita.
  2. Si es posible, usar pequelos IPS en LAN capaces de detectar intentos de IPV6 MiM
    Annotations:
    - El atacante se hace pasar por un router IPV6 mediante un anuncio IPV6. Los SO modernos suelen dar prioridad a IPV6 sobre IPV4
  3. Configurar y usar el Netflow para identificar si hay un cambio significativo en el pattern del tráfico
    Annotations:
    - Si un atacante se hace pasar por el Gateway por defecto, el tráfico dejará de llegar de muchos hosts y pasará a salir sólo desde uno.
7. Protocolos de enrutamiento:
  1. Si se usa entutamiento redundante con protocolos HSRP y VRRP (multicast)
    Annotations:
    - Los routers comparten una IP virtual que reparten a los hosts como puerta de acceso y siempre hay un router activo y otro como failover. Por defecto, si no se securiza, cualquier hacker puede leer los paquetes que se intercambian los routers con Wiresark y usar Scapy o Yersinia para crear paquetes de ese protocolo asignando más prioridad al router falso para que todo el tráfico salga a través de él.
    1. Restringir acceso a la sesión de HSRP o VRRP mediante ACL
      Annotations:
      - HSRP permit udp host 10.10.10.253 224.0.0.0 0.0.0.255 eq 1985 deny udp any 224.0.0.0 0.0.0.255 eq 1985 log
    2. Usar claves de autenticación para unirse al protocolo
      Annotations:
      - HSRP CISCO standby 1 preempt (Cuando su prioridad sea mayor se convertirá en activo) standby 1 name SEC501 standby 1 authentication md5 key-string SEC501PWD
  2. Evitar que los mensajes Hello de los routers lleguen a las LAN
    Annotations:
    - El protocolo RIP suele deshecharse por razones administrativas (obsoleto)
  3. Usar claves de autenticación con hash y salt si es posible para unirse al protocolo
  4. El protocolo BGP usa TCP y es más robusto. Es el usado en Internet
    Annotations:
    - Aunque en Internet, al final la defensa más segura frente al routing MiM y phising es navegar siempre con protocolos seguros. El pinning de certificados es lo más seguro para publicar webs
    1. BGPMON momitoriza y alerta de cambios mayores en enrutamiento de Internet
    2. A nivel empresarial, trabajar con un ISP bien situado que responda con rapidez ante ataques por falsos enrutamientos a nuestros sitios.
8. Capa 2(Switches): Recomendable el uso de VLAN para separar equipos de gestión de red y usuarios
  1. No usar VLAN 1 (nativa o trunk)
    Annotations:
    - La VLAN 1 se usa para que puedan usarse switchs sin capacidad de VLAN. Por ella pasan todas las VLAN
  2. Deshabilitar protocolo DTP o VTP (switches Cisco). Asignar VLAN estáticamente
    Annotations:
    - Dinamic Truncking protocol:Permite gestionar y añadir VLAN. Un atacante podría usarlo para añadir o modificar nuestras VLAN para ganar acceso a ellas. https://es.wikipedia.org/wiki/Dynamic_Trunk_Protocol
  3. No usar, si es posible protocolos CDP y LLDP.
    Annotations:
    - cisco Discovery protocol y Local Link Discovery protocol. Proporcionan a los equipos conectados a ese puerto las VLAN que tienen disponibles.
  4. Limitar el número de MACs posibles por puerto e incluso asignar las MAC autorizadas.
  5. Desactivar los puertos del switch no usados
9. Encriptar VOIP
12. Boundary defense
1. Límites difusos (VPN, aplicaciones en la nube...)
2. No sólo filtrar el tráfico entrante. También añadir filtros de salida
  Annotations:
  - Proceso de implantación filtro de salida: 1. Permitir tráfico de usuarios (http, https si no usamos proxy), ssh si es necesario... 2. Permitir tráfico de l tráfico saliente que debemos permitir, se puede al principio abrir el tráfico saliente pero dejar en logs las conexiones para después estudiar y cerrar el resto de servidores (DNS a servidl tráfico saliente que debemos permitir, se puede al principio abrir el tráfico saliente pero dejar en logs las conexiones para después estudiar y cerrar el resto de or DNS externo confiable, SMTP sobre TLS al servidor SMTP) 3. Denegar tráfico que sabemos es malicioso. 4. Permitir el resto de tráfico pero añadiendo entrada en el log. 5. Estudiar los log para ir pasando tráfico necesario a lista de permitido. 6. Finalmente impedir el tráfico no permitido pero con entrada en el log, el cual revisaremos periódicamente por si surgieran nuevas necesidades de tráfico que hay que permitir.
3. DNS
  1. Protección frente ataques Punycode
    Annotations:
    - Consisten en emplear nombres de dominio con letras similares al dominio que se quiere suplantar pero con caracteres unicode diferentes (Cirílico, por ejemplo). Los navegadores ofrecen protección frente a ataques punycode. Las llamadas desde API,s pueden ser más problemáticas. Las empresas que ofrecen una web al público, intentan adquirir sus dominios con caracteres unicode parecidos para evitar que sus visitantes puedan ser objeto de phising.
  2. Separar DNS internos de nuestra WAN y los externos que sirven a Internet
    Annotations:
    - Para evitar que un atacante externo pueda tener acceso a la estructura de nuestra WAN y que nuestros DNS internos puedan sufrir un envenenanmiento
  3. Para evitar ataques de fuerza brura contra nuestro DNS:
    1. Limitar número de consultas por IP.
    2. Ralentizar tiempo de respuestas
  4. Emplear sinkholes o filtros de reputación de dominios
  5. Impedir transferencias de zona
    Annotations:
    - Por defecto no se permiten en DNS modernos
  6. Uso de DNS pasivos
    Annotations:
    - Mntienen un registro histórico de los dominios y las IPs que han tenido anteriormente para detectar respuestas inesperadas, nuevos dominios que apuntan a IPs en lista negra y viceversa.
  7. Deshabilitar los protocolos LLMNR y/o Netbios over TCP
    Annotations:
    - LLMNR Local Link multicast resolution es un protocolo de resolución local de hosts (similar al mDNS (Multicast DNS). Puede desactivarse mediante GPO del AD. En otras estaciones fuera de dominio desde el resgistro de Windows de cada máquina. Ojo con los IOT. También puede desactivarse el Netbios sobre TCP (y Netbios name resolution) que desactivará automáticamente el protocolo anterior. Este no se puede desactivar mediante GPO. HAbría que crear mediante script una entrada en el registro de Windows. También se puede desactivar el protocolo desde el DHCP No supone problemas en el funcionamiento de la red.
4. Defensa de infraestructura en la nube
  1. Tratadas como una propia infraestructura
  2. Aislar los interfaces de administración (web, ssh, rdp, API,s...) y acceder desde una red de administración
    Annotations:
    - Y sobretodo, no exponerlos a Internet.
  3. Aplicar resto de medidas de seguridad como cualquier infraestructura de red crítica: Fiber Channel y FC over Ethernet. Segmentar FC mediante switches
    Annotations:
    - Red aislada de administración, Forzar contraseñas robustas y administradas desde AD si es posible, dar el mínimo de privilegios necesarios a los usuarios, Log de accesos fallidos y correctos, intentos de fuerza bruta... Bloqueo de cuentas tras accesos fallidos y no usar certificados autofirmados.
  4. Aislar y encriptar vMotion y securizar Fiber Channel y FC over Ethernet como cualquier infraestructura de red. Segmentar switches FC.
  5. vmotion, iSCSI y subsistema NFS deben tener su propia VLAN privada accesible sólo por el hipervisor y los hosts del hipervisor
  6. VMotion se puede encriptar desde vSphere 6.5
  7. Crear VLAN Privadas por las que discurra vMotion iScsi y el subsistema nfs sólo accesibles por el hypervisor y sus hosts
  8. Configurar la seguridad en el FC Storage Processor
  9. En caso de contratar servicios en la nube (IAAS), las máquinas recien instaladas de un template están sin seguridad y sin actualizar.
13. Protección de los datos
Annotations:
- Evitar el robo o exfiltración de datos
1. Clasificar los datos
2. Controlar en almacenamiento local y externos (USB)
3. Proteger el acceso a los datos por ACL o con un sistema de manejo de documentación (Sharepoint)
14. Acceso basado en necesidad de conocer
15. Control de acceso Wireless
1. Usar certificados (Servidores Radius) creados por Autoridades de certificación
2. Usan protocolos 802.1x para autenticar el dispositivo. También válido en redes cableadas
  Annotations:
  - El cliente tiene una aplicación "suplicat" que conecta con el NAS (Network Access Server) y este con el Radius. Para ello usan protocolos EAP (Extensible Authentication Protocol) y CHAP.
  1. Al ser Wireless no se puede limitar el acceso al Radius a través del NAS
  2. Se usan Certificados firmados por Autoridades de Certificación y protocolos PEAP (Protected EAP) y EAP-TLS (Preferible)
  3. Evitar que el cliente acepte todos los certificados para evitar que acepte uno autofirmado por una falso server.
    Annotations:
    - Si se usan GPO, se puede configurar para que los clientes no desactiven la opción de "Validate the server Certificate"
  4. PEAP sólo usa certificado en el servidor. EAP-TLS también incluye certificado en el cliente.
  5. EAP-TLS es relativamente sencillo dentro de un AD, pero no tanto con otros dispositivos fuera de dominio y Wireless
  6. Cuidado con impresoras y dispositivos con protocolos antiguos conectados a la red.
    Annotations:
    - El atacante podría conectar una raspberry u otro dispositivo entre la impresora y la red y hacerse pasar por la propia impresora con MAC spoofing para conectarse a la red. La impresora antigua no tendrá posibilidad de recibir un certificado y usar EAP-TLS y no podrá detectarse el ataque. Ojo en redes Wireless con dispositivos como Pwn Plug R3 Sensor
16. Monitorizar y controlar las cuentas
1. Cuentas de Administradores no acceden a Workstations
2. Cada usuario sólo puede acceder a su equipo y no a otro
3. Usuarios no pueden hacer login en servidores o firewalls
4. Eliminar las cuentas de usuarios que se van de la empresa
5. AAA
  1. Authentication
    Annotations:
    - ¿Estas autorizado a acceder?
  2. Authorization
    Annotations:
    - ¿A qué tienes permiso para acceder?
  3. Accounting (Logging)
    Annotations:
    - Registrar momento de entrada y log out. También otras acciones
  4. No repudio
    1. No usar cuentas genéricas para saber quien hace cada acción
  5. Encriptar credenciales en los equipos
    Annotations:
    - Crackeo de passwords según su tipo: Tipo 0: Sin encriptar 4: Hashcat o John the Ripper (rápido) 5: Hashcat o John the Ripper (rápido si password diccionario o sencilla) 7: Trivial. 8: Hashcat 9: Hashcat
    1. Usar hashes para encriptar passwords mejor que base de datos encriptada con todas las passwords
      Annotations:
      - Si usas una base de datos encriptada, sólo hay una clave para todas las passwords. Si descubren esa clave, tendrán acceso a todas las claves.
    2. Salt es un código único para cada usuario
      Annotations:
      - Añadir Salt a una password, hace que aunque 2 usuarios usen la misma contraseña, tendrán hashes diferentes.
  6. Preferible usar servidores de autenticación (AD, Radius (NPS de MS incorporado en AD), TACACS+)
    Annotations:
    - Algunos equipos (como CISCO) permiten acceder mediante credenciales locales si el servidor está caído. (Podría haberlo echado a bajo el propio atacante).
    1. Comunicación segura entre equipos y servidor de crdenciales
    2. PAP en claro: No usar. Preferible CHAP aunque también vulnerabe. Mejor MS Chap
    3. Comunicación entre equipos y servidor autenticación mediante VLAN específica
    4. Siempre comprobar continuamente nuevas vulnerabilidades en cualquera de los componentes en los que se basa
    5. Emplear 2FA aumenta mucho la seguridad
  7. Evitar protocolos no cifrados (http, tftp, telnet) o protocolos con vulnerabilidades (ssh v1, smb v1)
17. Entrenamiento en seguridad del personal.
18. Seguridad en las aplicaciones
1. La seguridad por encima de rapidez de codificación e implementación
19. Manejo y respuesta a incidentes
1. Entrenar incidentes antes de que sucedan.
20. Test de penetración y ejercicios de equipo rojo.
1. Defensa activa. Crear elementos distractores que envíen logs (honeytokens)
  1. entradas DNS con nombres atractivos a equipos honeypot (ej. mx01-srv es el falso y mx02-srv el verdadero) o testmail
  2. Usuarios atractivos que no se usen y dejen alerta en el log
  3. Honeyports: Puertos abiertos que hagan pensar que es un servidor en producción importante y genere log
    Annotations:
    - Es sencillo crear un honeyport listener con netcat
  4. Honeypots que respondan a escaneos ARP sin respuesta e incluso honeynets que generen logs al ser escaneados
    Annotations:
    - Cowrie (SSH/Telbet) Kippo (SSH) Dshield honeypot OWASP Distributed web honeypots (DWH) Canary Project (Comercial)
  5. Documentos Office o PDF falsos con una imagen externa en un servidor web que generen log al abrirse o si está en un servidor de ficheros Windows, habilitar auditorías para ese documento. Ojo en este caso con backups y spiders del propio explorer.
  6. Ganar tiempo
    1. Estructuras de carpetas falsas laberínticas.
    2. Tarpits que ralenticen las conexiones
    3. Zip bombs
  7. Servidores DNS señuelos
  8. Páginas webs falsas en servidores en producción, con carpetas frecuentes en otros servidores (admin, phpadmin...)
    Annotations:
    - La aplicación weblabryinth disponible en githun añade directorios y páginas en tiempo real para ralentizar mucho las búsquedas automatizadas.
  9. Poner páginas falsas como disallow en robots.txt en nuestra web en Inertenet para hacer creer que esas páginas son de administración y crear log al acceder a ella o banear IP
  10. Cuidadar de que nuestros IPS, antivirus, sistemas de backup no analicen o traten de guardar las zipboms, laberintos web o de carpetas, etc.
  11. No intentar Hacking Back. Es ilegal y puedes estar atacando a un cliente por un falso positivo

Media attachments

Encriptacion+Credenciales+Cisco (binary/octet-stream)

Next up

Defensa de infraestructuras de red. Critical Controls

Description

Resource summary

Media attachments

Similar

	Created by Juan Antonio Solis Ibanez over 4 years ago