Cómo realizar una auditoría de seguridad con la Tableta de Análisis de Red portátil OptiView XG | enterprise.netscout.com

Cómo realizar una auditoría de seguridad con la Tableta de Análisis de Red portátil OptiView XG

La mayoría de las redes están diseñadas para ser extremadamente seguras desde el exterior y menos seguro desde el interior. Algunas redes, sin embargo, como las de la seguridad nacional, entidades financieras, utilidades o cualquier organización con problemas de cumplimiento, deben ser extremadamente seguras desde el interior también. Estas redes se encontrarían, por ejemplo, en los tipos de instalaciones donde se realizan los controles regulares para los dispositivos electrónicos de escuchas.

Mientras que estas redes son herramientas para la monitorización a tiempo completo de temas de seguridad, los expertos en seguridad utilizan OptiView XG para agregar otra capa de auditoría. Al realizar auditorías sin previo aviso, al azar, de un tipo diferente al proporcionado por las herramientas de monitorización a tiempo completo, estos expertos añaden cierta incertidumbre adicional para aquellos que deseen obtener acceso no autorizado. OptiView XG también ofrece un control de “terceros” de los procedimientos de seguridad existentes.

El NETSCOUT OptiView XG muy adecuado para esta aplicación, con una gran variedad de capacidades de prueba (prueba de capa física, monitorización pasiva, descubrimiento de dispositivos y SNMP/RMON), tecnologías de conexión (cobre/fibra/inalámbrica), todo en un paquete portátil a batería. Esta nota describe los tipos de pruebas que puede utilizar el OptiView XG para auditar la seguridad de la red.


¿Prueba activa o pasiva?

El acceso a la red con el objetivo de realizar pruebas depende del diseño de la red. Los switches dificultan la monitorización pasiva de una red ya que cada puerto del switch se aísla de sus vecinos. Para monitorizar con eficacia una red conmutada, el OptiView XG debe conectarse de manera que le permita ver el tráfico que no esté específicamente dirigido a OptiView XG. La forma más directa de hacer esto es con la duplicación o extensión de puertos, ya que el switch debe enviar el tráfico de los puertos seleccionados al puerto conectado al analizador OptiView XG. Esto requiere tener acceso al switch y saber cómo configurarlo. Otra posibilidad es instalar taps o utilizar las capacidades en línea del analizador en enlaces críticos para permitir que el OptiView XG recopile estadísticas sobre el tráfico y escuchar conversaciones deseadas. Esto requiere cierta previsión con el fin de diseñar e instalar las taps en los lugares más útiles. Una vez instalado, al auditor le resulta fácil conectar el OptiView XG a la red, y comenzar a observar y recoger el tráfico.


Pruebas activas pueden proporcionar mucha más información en una red conmutada y proporcionan parte de las capacidades más importantes de OptiView XG. Sin embargo, las pruebas activas pueden ser observadas por otros dispositivos en la red y, a veces, las aplicaciones de seguridad las consideran sospechosas porque puede ser detectadas por un usuario sofisticado en la red. Esto podría permitir que un usuario interrumpa una actividad no autorizada antes de ser detectado por el OptiView XG. Prácticamente, esto podría ser muy difícil porque llegado el momento en el que el usuario observa el OptiView XG, probablemente ya haya sido observado. Sin embargo, muchos auditores de seguridad prefieren ser totalmente invisibles en sus esfuerzos y evitar las pruebas activas.

Fig. 1

Figura 1. OptiView XG puede configurarse para ser totalmente "silencioso" en una red


Acceso a la red

Uno de los métodos más simples y más eficaces para garantizar la seguridad de una red es no permitir el ingreso de dispositivos no autorizados. Una forma de hacerlo es implementar una lista de MAC: una lista de direcciones de hardware permitidas en la red. Cualquier otro dispositivo de acceso no tendrá acceso a la conexión y quedará "bloqueado". Probar esto con el OptiView XG es sencillo ya que se puede cambiar la dirección MAC se puede cambiar desde el panel de configuración de puerto de red, y efectivamente "suplantar" de otro dispositivo. Al ver que se puede conectar una dirección permitida y se rechazan otras direcciones, el usuario sabe que el acceso de la lista de MAC está funcionando correctamente.


Un enfoque más sofisticado es utilizar la autenticación IEEE 802.1X. En este método, se requiere una contraseña desde el dispositivo para acceder a la red. El dispositivo obtiene acceso para obtener la aprobación de un servidor 802.1X. Si no se concede el acceso, el puerto se apaga y el dispositivo se "bloquea". OptiView XG admite 802.1X mediante el componente de autenticación de Windows, que permite introducir un certificado de autenticación.

Fig. 2

Figura 2. Pantalla de configuración de OptiView XG para 802.1X


Análisis del tráfico

La forma más sencilla y tradicional de buscar anormalidades en una red es escuchar pasivamente. En este modo, el dispositivo analiza y recoge pasivamente el tráfico que encuentra en su conexión. Como se señaló anteriormente, este enfoque proporciona una visibilidad limitada en redes modernas excepto cuando se usa spanning o taps. Este método tiene la ventaja de ser pasivo, lo que significa que es esencialmente indetectable para otros dispositivos de la red. Esto es lo que el OptiView XG puede descubrir acerca de la red con este método:


Aplicaciones y protocolos

OptiView XG puede categorizar los tipos de tráfico que observa en diferentes categorías en diferentes capas. Por ejemplo, en la capa 2, puede determinar el IP y AppleTalk, en la capa 3, TCP y UDP, y en capas más altas HTTP, FTP, SMTP, etc. Hay una serie de cosas que usted puede buscar. El primero, y más simple, es la mera existencia de un protocolo. Generalmente, los ingenieros de redes se sorprenden al encontrar protocolos inesperados en sus redes (muchos incluso ponen en duda los resultados de la OptiView XG). OptiView XG puede identificar qué dispositivos están enviando estos protocolos.

Fig. 3

Figura 3. OptiView XG identifica los protocolos por capa


En segundo lugar, mientras que algunos protocolos pueden ser aceptables en la red, puede resultar sospechoso ver que los protocolos proceden de las estaciones de trabajo. Por ejemplo, sería inesperado que una PC genere protocolos de enrutamiento como OSPF o RIP, y podría indicar un intento de interceptar una conversación. En tercer lugar, el volumen de tales marcos también podría ser sospechoso. Una estación de trabajo generará marcos de ARP, pero si lo hace regularmente y en gran volumen, puede indicar algún tipo de infección. De manera similar, un gran número de marcos ICMP (Protocolo de mensajes de control de Internet) desde una PC podría indicar una exploración de puertos en busca de vulnerabilidades.

Fig. 4

Figura 4. OptiView XG también puede mostrar conversaciones entre estaciones de trabajo y otros dispositivos


Transmisores/Pares de conversación

El seguimiento de quién está hablando con quién es una buena manera de encontrar actividades sospechosas. OptiView XG puede visualizar conversaciones de MAC e IP conversaciones, e incluso visualizará dispositivos por nombre DNS. Esto hace facilita ver qué dispositivos están comunicándose con dispositivos fuera de la red y con quién.


Fig. 5

Figura 5. Análisis de conversaciones mediante un protocolo específico.

Las pruebas de conversación principal también mostrarán información sobre tramos de difusión. Los tramos de difusión pueden brindar mucha información sobre lo que sucede en la red. Porque son “de difusión” a través de la red o al menos VLAN, es mucho más probable que OptiView XG pueda verlos sin una tap o un puerto de expansión. Los componentes de red, como los switches y servidores, son las emisoras prodigiosas. Pero las estaciones de trabajo de usuario final normalmente generan emisiones sólo al entrar en la red o establecer conversaciones. Muchos virus y ataques utilizan tramos de difusión para obtener información sobre otros dispositivos en la red y cómo aprovechar sus debilidades. Por lo tanto, un usuario que genera una difusión ocasional es perfectamente normal, pero uno que las genera con regularidad es sospechoso.


Fig. 6

Figura 6. Una lista de los organismos de radiodifusión y el número de paquetes de difusión generados.


Filtrado por secuencia de caracteres y paquete de captura

Capturar y decodificar las conversaciones reales que surgen de un dispositivo son la mejor manera de descifrar lo que está sucediendo. OptiView XG facilita esta tarea. Una vez identificado el dispositivo, la conversación o el protocolo de interés, con tan solo un par de toques de la pantalla se pueden capturan y almacenar los cuadros. El software analizador ClearSight™ opcional puede decodificar los tramos para ver exactamente lo que está en ellos.

Cabe señalar que se necesitarán otras herramientas para decodificar una conversación encriptada.


Fig. 7

Figura 7. Configuración de captura de paquete de OptiView XG Se puede configurar automáticamente mediante la selección de las áreas de interés de una lista de dispositivos activos y protocolos.

La captura de paquetes también puede mejorarse estableciendo el OptiView XG para capturar marcos si ve una palabra definida por el usuario o patrón dentro de la estructura. Mientras que hay otras herramientas que pueden llevar a cabo a un partido del patrón en un lugar predefinido dentro del marco, el "partido de cadena libre" de OptiView XG le permite encontrar el patrón en cualquier lugar dentro del marco.


Pruebas activas

Las pruebas activas expanden en gran medida la visión de OptiView XG y pueden encontrar muchas cosas que seguimiento pasivo no. La única desventaja es que estas pruebas podrían indicarle a un atacante que lo están buscando. Sin embargo, la cantidad y el tipo de tráfico que se envía es pequeño, y como OptiView XG no es muy conocido fuera de la comunidad de gestión de red significa que es poco probable que las pruebas puedan desencadenar alarmas


Detección de dispositivos

Si bien analizar el tráfico puede ayudar a que vea quién está en la red, existen dos importantes limitaciones a este enfoque. En primer lugar, los dispositivos que no se comunican no se muestran. En segundo lugar, en una red conmutada, dispositivos que se están comunicando no se verán a menos que usted está conectado a un enlace troncal a través de una tap o una duplicación de puerto.

Las pruebas de descubrimiento activadas en el OptiView XG superan estas dificultades. OptiView XG utiliza varias técnicas para sondear la red y exigir una respuesta de casi cualquier dispositivo en la red. (Si bien sería teóricamente posible conectarse a una red sin responder a las consultas de OptiView XG, se requiere una gran sofisticación y prácticamente impiden la participación del dispositivo.)

Fig. 8

Figura 8. Pantalla de descubrimiento de OptiView XG.


Los dispositivos se clasifican por tipo, tales como servidores, impresoras y dispositivos inalámbricos. Pueden generar informes para una comparación rápida de estos dispositivos a una lista de buenos conocidos. Con la posibilidad de exportar los dispositivos a un archivo CSV, se puede importar la información de descubrimiento en otros sistemas para el análisis. Los servidores o dispositivos inalámbricos inesperados en una red deben ser investigados inmediatamente.

El operador puede controlar el rango de descubrimiento de OptiView XG. Esto controla el tamaño de la lista descubierta, así como el tiempo requerido y la cantidad de tráfico generado Este tipo de descubrimiento se suele hacer por VLAN individual pero puede extenderse tanto como se desee.


Mapeo de red y switches desconocidos

El mapa de red proporciona automáticamente una representación gráfica de los dispositivos en la red y sus interconexiones. Esto es útil para ver exactamente dónde residen los dispositivos en la red y cómo están conectados. Por ejemplo, al seleccionar determinadas subredes, puede crearse un mapa que muestra si una subred se refiere a un sitio, un edificio o un piso de un edificio. Al seleccionar el botón Informe, puede crear instantáneamente un mapa gráfico de la red que se puede guardar como un archivo de dibujo de Visio.
Los switches, routers, servidores y otros dispositivos están cifrados por color para una fácil identificación, al igual que la representación de enlaces. La información presentada en los dispositivos y enlaces es personalizable. El mapa mostrará la presencia de “switches desconocidos”. Podrían ser dispositivos de interconexión autorizados sin funciones de gestión (SNMP), pero pueden ser dispositivos no autorizados.

Fig. 9

Figura 9. Mapa de la red.



Análisis de switch

Si el usuario de OptiView XG tiene acceso a los switches en la red, pueden conseguir un mayor grado de visibilidad al utilizar las pruebas de información del dispositivo de OptiView XG. Para tener acceso, deben cumplirse dos condiciones. En primer lugar, la dirección de gestión (puerto) del switch debe estar disponible en la red que está conectado el OptiView XG. En muchos casos, se trata realmente de una VLAN independiente de las estaciones de trabajo conectadas al switch. En segundo lugar, el OptiView XG debe programarse con el “string de comunidad”, la contraseña necesaria para acceder al SNMP (Protocolo simple de administración de red) dentro del switch. Si ambas se cumplen, entonces las pruebas que a continuación se pueden ejecutar.

Para que un dispositivo pueda ver o generar todo el tráfico en la red, debe estar conectado a un puerto activo del switch. OptiView XG puede enviar una consulta al switch y obtener una lista de todos los puertos activos. Esto podría compararse a una lista de puertos activos “conocidos” de una prueba previa. Los puertos que actualmente están activos y que antes no lo estaban indican la existencia de un nuevo dispositivo en la red.

OptiView XG también puede proporcionar información sobre que dispositivo o dispositivos conectados a un puerto. Por lo general, se utiliza solamente un dispositivo por puerto; más de uno podría indicar un dispositivo no autorizado (véase la figura 10). Esto también facilita localizar un dispositivo no autorizado, incluso si es el único del puerto. Si alguien ha colocado un dispositivo de interconexión sin administración en la red (algún dispositivo al cual se enlazan múltiples MAC, con cables o inalámbrica) éstos se mostrarán como “dispositivos no administrados”. El puerto del switch upstream de estos se identificará, lo que permite que el puerto se cierre para una mayor investigación. El OptiView XG también puede mostrar niveles de utilización en un puerto que puede ayudar a localizar los dispositivos que están generando emisiones excesivas, que, como se mencionó anteriormente, podrían ser sospechosas.

Fig. 10

Figura 10. OptiView XG puede listar los dispositivos conectados a cada puerto del switch.


Información sobre dispositivos

Las pruebas de detalle del dispositivo le permiten extraer información de un dispositivo específico, tales como su dirección MAC, nombre DNS, los protocolos de los puertos, y si es compatible con IPv4, v6 o ambos. También puede realizar una exploración de puertos (ya sea IPv4 o v6) en el dispositivo para evaluar las vulnerabilidades.

Tecnología Wireless

Las redes inalámbricas añaden una gran cantidad de flexibilidad y comodidad, pero también pueden crear nuevas vulnerabilidades. OptiView XG puede ayudar a encontrar las vulnerabilidades.

Un punto de acceso inalámbrico (AP) sin seguridad puede ser una puerta abierta en la red. OptiView XG puede encontrar AP, tanto inalámbricos como cableados, de su red. Si el AP no está autorizado, es posible realizar un rastreo hacia un puerto específico mediante la información del switch cableado o físicamente utilizando la función de localización en el lado inalámbrico. La configuración de seguridad del AP también puede ser validada.

Fig. 11

Figura 11. OptiView XG puede descubrir dispositivos inalámbricos y categorizarlos.


OptiView XG también puede descubrir los dispositivos en el lado inalámbrico de la red, al igual que lo hace en el extremo cableado. Es posible guardar los registros de dispositivos y compararlos rápidamente para identificar los dispositivos nuevos desde la última auditoría.


Análisis de espectros

La opción de software para el OptiView XG les ofrece a los profesionales de seguridad la visión redes que necesitan en el mundo oculto de Wi-Fi, con la capacidad de ver el espectro en un formato inteligible y visible. Esto le permite ver, supervisar, analizar y gestionar todas las fuentes de RF y los dispositivos inalámbricos que afectan al rendimiento y la seguridad de la red Wi-Fi, incluso si dichos dispositivos son no autorizados o transitorios. Este software de analizador de espectro no es una sustitución de un producto específico, pero se muestran dispositivos que interfieren o intentan transmitir en bandas de 2,4 y 5GHz.

SNMP

SNMP permite el acceso de OptiView XG a la información en los switches como se describe anteriormente. Sin embargo, también puede ser un riesgo de seguridad. Dejando a dispositivos con SNMP habilitado y protección de strings de comunidad (contraseña), puede dejarlos abiertos a todo tipo de ataque incluyendo la reprogramación completa. Para evitar estos problemas, el administrador de red puede implementar una combinación de los siguientes aspectos:

  • Desactivar SNMP completamente (aunque limita la capacidad del administrador para administrar el dispositivo)
  • Actualización de SNMPv1 o v2 a SNMPv3
  • Cambiar los strings de comunidad a algo más seguro
  • Permitir el acceso a los agentes SNMP sólo a través de una VLAN de gestión independiente
  • Permitir el acceso a los agentes SNMP solamente por una lista predefinida de dispositivos
  • OptiView XG puede probar y comprobar todo esto.


    IPv6

    Mientras que nadie parece ser capaz de predecir cuando IPv6 será adoptado ampliamente en redes de la empresa, ya está aquí, enviando en una variedad de productos y sistemas operativos. Todo lo que el usuario debe hacer es conectar un nuevo dispositivo, y ya tiene un IPv6 en su red. A las agencias del gobierno, el Reglamento federal de adquisiciones (FAR) les requiere que adquieran hardware nuevo apto para certificación IPv6. Esto aumentará el número de máquinas de IPv6 en las redes del gobierno.

    OptiView XG puede ejecutar todas las pruebas mencionadas anteriormente en una red IPv6, pero también incluye pruebas específicas diseñadas para abordar las preocupaciones de seguridad IPv6.

    Lo primero que tiene que saber es cuánto tráfico IPv6 hay en su red. La prueba de protocolo pasivo mencionada anteriormente le mostrará instantáneamente si se detecta tráfico IPv6, y los dispositivos que lo generan. Puede utilizar conversaciones principales para ver qué dispositivos se comunican con otros mediante IPv6.

    Luego, siguen las pruebas activas de IPv6. La prueba de dispositivos IPv6 utiliza las pruebas activas similares a las descritas anteriormente para encontrar todos los dispositivos compatibles con IPv6, ya sea que generen o no el tráfico IPv6.

    Luego, sigue la prueba de anuncios del router. Las direcciones de subred de anuncios que no son de router que deberían existir podrían ser causadas por errores de configuración del router o host, o podría ser un indicio de actividad maliciosa. Mediante el envío de los anuncios de router falso, un atacante pretende ser un router y todos los otros hosts de la subred envíen el tráfico y dejen a la subred al atacante, lo que provocará un ataque Man-In-The-Middle.


    Fig. 12

    Figura 12. Suite de prueba OptiView XG IPv6 con lista de dispositivos descubiertos en la red


    Por último se encuentra el informe de túnel. La preparación de túnel permite IPv6 en redes IPv4. Todos los sistemas operativos admiten la función de túnel y a menudo puede activarse solo. La función de túnel no es un problema per se, pero puede abrir sus redes a vulnerabilidades porque puede funcionar de forma cifrada con direccionamiento anónimo. Los túneles a menudo pasan desapercibidos a través de firewalls y sistemas de detección de intrusos (IDS). Al tocar la ficha de túnel, OptiView XG mostrará todos los dispositivos que se comunican uno con el otro mediante un túnel y el tipo de túnel se utiliza.

    Observando el tipo de túnel se utiliza y con quién se utiliza, usted puede evaluar el nivel de riesgo. Un túnel entre dos dispositivos en la red local no es sospechoso, pero utilizar túneles para comunicarse con dispositivos fuera de la red podría inferir un riesgo más alto. El túnel Teredo se utiliza comúnmente para conexiones domésticas a Internet, al perforar el firewall y permitir el NAT transversal.

    Si usted observa un túnel local dentro de la intranet hay poco riesgo, pero si tiene un dispositivo local con un punto final de túnel fuera de su red, puede acceder a la red interna de la intranet que probablemente esté desprotegida por firewalls o sistemas de detección de intrusos.


    Informes

    Además de proporcionar la información que se ha señalado anteriormente, OptiView XG puede generar informes de esa información para facilitar el almacenamiento y comparación durante las auditorías futuras. Los informes se proporcionan en formato PDF y HTML con hipervínculos para facilidad de uso. Estos informes se pueden guardar en el OptiView XG o la PC local a través de la interfaz de usuario remoto.

    Seguridad de OptiView XG

    OptiView XG está diseñado para apoyar el trabajo en entornos seguros. Las cuentas de usuario del OptiView XG controlan el acceso a las pruebas y la información sensible como por ejemplo las contraseñas almacenadas en el instrumento. Puede configurar el nivel de acceso requerido por cada cuenta. Se proporciona un mando a distancia, si es necesario, a través de un protocolo de comunicaciones propietario usando una aplicación de interfaz de usuario remoto que se puede instalar en el equipo cliente.

    Fig. 13

    Figura 13. Pantalla de configuración de cuentas de usuario de OptiView XG.


    El OptiView XG está diseñado también para ser un cliente seguro. Cuando accede a través de una pantalla táctil o la interfaz de gestión, el puerto de red puede bloquearse para aislar la instalación de Windows en el OptiView XG, para evitar el acceso desde la red que se está monitorizando. Esto elimina la posibilidad de que el OptiView XG se infecte con virus o los hackers tengan acceso.


    El disco duro SSD utilizado por el OptiView XG es fácilmente accesible al quitar dos tornillos en la parte inferior de la unidad. Esto permite que el oficial de seguridad realice una auditoría completa de la red y quite el OptiView XG a la vez que deja la información sensible (el disco duro) asegurada en el sitio. Al regresar para futuras auditorías, el disco duro asegurado simplemente puede instalarse en el OptiView XG; los resultados de la auditoría anterior pueden compararse con el estado actual de la red.

    Por otra parte, las agencias del gobierno de Estados Unidos y algunos países del Tratado pueden adquirir la versión “US DOD SECURE” de OptiView XG. Este producto cuenta con un sistema operativo sólido y software de operación, y lleva su nombre debido a la lista de productos aprobados de capacidad unificada del Departamento de Defensa (DoD) de EE. UU. luego de una certificación de la Agencia de Sistemas Informáticos de Defensa (DISA) para el aseguramiento de la información y la interoperabilidad.


    Resumen de pruebas de seguridad de OptiView XG

    PRUEBA/FUNCIÓN VALOR COMENTARIOS
    Modificar la dirección MAC
  • Prueba de seguridad de control de acceso MAC
  • Permite spoofing de direcciones MAC
    Inicio de sesión 802.1X
  • Prueba seguridad de 802.1X
  •  
    Protocolos
  • Buscar aplicaciones y protocolos no autorizados en el red de trabajo y quién los está enviando
  • Buscar dispositivos de envío de protocolos inesperados
  • Buscar dispositivos de envío de grandes volúmenes de protocolos inesperados (es decir, emisiones)
  • Buscar el tráfico IPv6
  •  
    Conversaciones principal
  • Determinar con quién se están comunicando las estaciones de trabajo locales
  • Buscar conversaciones de IPv6
  • Nombres de la red de dispositivos fuera de la red
    Captura de paquetes
  • Recoger paquetes para análisis en profundidad (decodificación)
  • La secuencia de caracteres libre le permite buscar cualquier patrón en el tramo
    Detección de dispositivos
  • Inventario de todos los dispositivos en la red
  • Determinar si los dispositivos SNMP son accesibles desde la red
  • Visibilidad más allá del switch o router; encuentra dispositivos que no están transmitiendo
    Detalles de dispositivo - Interfaces
  • Encontrar todos los puertos activos en el switch
  • Encontrar dispositivos conectados a cada puerto
  • Busca dónde está conectado cada dispositivo
  • Validar la configuración de seguridad SNMP
  • Encontrar puertos con múltiples dispositivos conectados

    Resumen de pruebas de seguridad de OptiView XG(continuación)

    PRUEBA/FUNCIÓN VALOR COMENTARIOS
    Detalles de dispositivo - Resumen
  • Determinar el nombre del dispositivo, los protocolos admitidos, el soporte de IPv4 y v6
  • También consulta los dispositivos fuera de la red local.
    Puntos de acceso inalámbricos
  • Listar los AP y determinar si están asegurados
  • Buscar AP no autorizados
  • Admite 802.11 a/b/g/n/ac
    Clientes inalámbricos
  • Buscar usuarios no asegurados
  • Buscar usuarios no autorizados
  • Admite 802.11 a/b/g/n/ac
    Espectro inalámbrico
  • Buscar dispositivos (fuentes de interferencia o dispositivos inalámbricos no 802.11) en las 802.11 bandas (2,4 GHz y 5 GHz)
  •  
    Dispositivos IPv6
  • Determinar si hay dispositivos IPv6 operando en la red
  • Visibilidad más allá del switch o router; encuentra dispositivos que no están transmitiendo
    Anuncios de router IPv6
  • Descubrir dispositivos que funcionan como routers (posibles dispositivos maliciosos)
  •  
    Túnel IPv6
  • Quién usa el túnel
  • Con quién se están comunicando
  •  
     
     
    Powered By OneLink