05-08-2009
Per a molts pentesters, jo inclòs, els commutadors (switches) i encaminadors són l’objectiu favorit quan es realitzen auditories internes. Per què usar atacs d'ARP de falsejament d'identitat (spoofing) quan pots configurar port mirroring i enviar el trànsit fins a tu? Tindre el control de la infraestructura commutada és molt divertit i en més del 50% dels tests aconseguim controlar-los a curt termini. Veure els commutadors (switches) i encaminadors mal configurats és tan comú com les contrasenyes buides dels comptes sa (administrador) en les bases de dades MSSQL.
Els commutadors (switches) es poden començar a assegurar mitjançant la realització d’aquestes tasques:
Contrasenyes per defecte .– Canvieu les contrasenyes per defecte del dispositiu, totes, no sols les del compte que anem a utilitzar. Molts commutadors (switches) tenen múltiples comptes que vénen de fàbrica, algunes de les quals s’obliden fàcilment.
SNMP v3 .– Si el dispositiu ho suporta usa'l o empra un community name llarg. Perquè si no cal ser conscient que serà compromés i que com a mínim guanyaran accés de només lectura.
Logging. – Useu logging centralitzat.
AAA – Creeu un grup de gestió en el Directori Actiu, i ubiqueu en aquest a aquells que necessiten accedir als dispositius en el grup i llavors emprar Radius per a autenticar els usuaris. Açò convertirà l’accés en tan bo com la contrasenya (password) empreda per l’equip, encara que també es poden usar testimonis (tokens) per a autenticar-se.
Backup userid/contrassenya (password) .– Si s’està emprant autenticació AAA, hem d’assegurar-nos de que tenim un usuari local i un contrassenya (password) que puga ser emprada en el cas que els servidors Radius no estiguen disponibles.
Gestió VLAN .– Molts commutadors (switches) suporten la gestió de VLAN, per això s’ha de configurar i definir ACL per al control d’accés a la VLAN. Açò impossibilita la funció de gestió de la xarxa principal i entrebanca la vida del pentester (o de l’atacant potencial).
Segmentació de la xarxa .– Configureu VLANs per a segregar els segments de zarza i empreu ACLs per a controlar el trànsit entre les mateixes (Nota: heu d’usar-la amb pracaució, ja que és molt fàcil cometre un error). També s’han d’usar diferents commutadors (switches) físics per a distints segments de zarza, amb diferents requisits de seguretat, com ara la DMZ.
Etiquetatge de ports .– No és una mesura que incremente la seguretat, però molts commutadors (switches) permeten anomenar ports. Açò significa que escrivint simplement 'xou' podem veure quins ports estan sent utilitzats. Resulta molt útil en el cas que no disposem del diagrama de xarxa o aquest estiga obsolet. Per descomptat, si algú aconsegueix comprometre el dispositiu tindrà més informació amb què atacar.
SSH /Telnet .– Empreu SSHv2 i deshabiliteu el telnet.
Interfície Web .– Si necessites emprar el SSL o sinó deshabilitar-lo.
TFTP .– Si el necesites configura, com a mínim, la localització vàlida.
Gestió d’IPs .– Hi ha commutadors (switches) que permeten configurar la gestió d’Ips del dispositiu. Convé configurar-lo per a entrebancar les accions dels atacants.
Llegiu l’article complet en l’ ISC.
Mapa Web