viernes, 10 de noviembre de 2017

La razón de ser de la seguridad en el acceso a la red




La Seguridad de acceso a la red está definida como la autenticación de "algo" o "alguien" a la red, a lo que muchos usuarios se preguntan ¿que esta no es la función del servidor de autenticación de la organización? Si usted se ha hecho esta pregunta permítame decirle que usted está en lo cierto; Sin embargo las funciones del servidor de autenticación de la organización cumplen el rol de autenticación al sistema, es decir que sin las funcionalidades de este los usuarios no podrían acceder a los aplicativos y/o recursos de la empresa además de que las áreas de Seguridad de la información y otras interesadas perderían el control acerca de lo que usuarios puedan o no realizar en cuanto a permisos de archivos, modificaciones del sistema local (PC) o privilegios de administración de algunos sistemas que compartan este servidor.



La idea de esta publicación no es detallar las funcionalidades de un servidor de autenticación a la organización como ser un AD o un LDAP sino más bien entender la diferencia entre estos y un servidor de autenticación a la red como ser ISE de la marca Cisco por lo que pasemos a resolver la cuestión.

Desde el punto de vista general si un usuario conecta a la red, pero no cuenta con credenciales para acceder al sistema corporativo, se podría interpretar como un “sistema seguro” ya que este usuario estaría limitado a cero operatividad en el sistema al que se encuentra conectado, sin embargo, desde el punto de vista de la seguridad y/o ciberseguridad es suficiente estar conectado a la red de una organización para perpetrar una seria de eventos relacionados con el modelo diamante de intrusión, o “Diamond model of intrusión” en inglés, logrando desde la simple identificación y reconocimiento de componentes del sistema global hasta la instalación de componentes altamente perjudiciales y riesgosos para la organización.

Existen diversas maneras en las que se puede prevenir el acceso a la red a intrusos o personas no deseadas, de hecho, uno de los mecanismos de seguridad más antiguos en cuanto al acceso a la red inalámbrica ha sido el uso de contraseñas para la autenticación a la red e inclusive servidores de autenticación a través del protocolo WPA2 ENTERPRISE. Respecto a la red cableada se utilizan métodos manuales y mejores prácticas de seguridad como ser la revisión periódica de los puertos de acceso y que los mismos se encuentren apagados cuando no están siendo utilizados. Se podría decir que bajo el criterio de seguridad los mecanismos utilizados para la seguridad de acceso a redes alámbricas o inalámbricas dependen bastante de la cantidad de accesos que se tengan en estas redes, es decir que una empresa que tiene 20 puntos de acceso a la red y un Access point, por ejemplo, si es capaz de realizar estos mantenimientos que a lo mejor le lleven minutos, por otro lado una empresa con 1000 puntos de red y 10 access point podría demorar horas en realizar estos mantenimientos, imagínese usted una empresa que cuenta con varias sucursales y cuente con más de 1000 puntos de red y más de 10 access points conectados en diferentes sitios, la cantidad de tiempo que tomaría realizar este tipo de operativa para una empresa seria exuberante y permitiría un alto nivel de riesgo en cuanto a una falla humana que permita a un intruso acceder a la red sin mencionar las grandes limitantes que tendría la empresa para poder saber en qué momento, donde, por qué, como y que o quien ha perpetrado acciones maliciosas en la red y/o sistemas.

Ahora que entendemos los riesgos a los que se expone una organización que no cuenta con mecanismos apropiados a la autenticación de red vamos a entender fácilmente la operativa del servidor de autenticación de acceso a la red ISE de CISCO.

Haciendo un resumen y énfasis en unos cuantos detalles técnicos que no pueden ser no mencionados en este artículo vamos a revisar una a una las características de este increíble servicio que nos brinda esta plataforma, a continuación, vamos revisar las incógnitas que nos habíamos planteado anteriormente a las que estamos limitados sin la presencia de este servicio.



-       ¿Que o quién?

El servidor ISE de CISCO permite tener una visibilidad completa de personas o dispositivos que acceden o intentan acceder a la red permitiendo a los administradores de este servicio tener visibilidad acerca de todas las personas o dispositivos que cuentan con acceso a la red e incluso aquellas que solamente están haciendo intentos fallidos de acceder a la misma.

-       ¿Cuándo?

Además de poder brindar esta visibilidad el servidor permite tener un histórico que se adecua a la necesidad del cliente en tiempo que permite verificar horas exactas en las que algún usuario o dispositivo ha accedido o ha intentado acceder a la red, permitiendo a los administradores de este servicio tener mayores datos para poder brindar un adecuado soporte a los usuarios de la red en cuanto al acceso o para identificar amenazas e intrusiones.

-       ¿Donde?

Uno de los grandes desafíos de la visibilidad de eventos de seguridad es el saber donde se ha perpetrado una intrusión o un ataque. El servidor de ISE permite, a través del registro de dispositivos de red, identificar los lugares en los que los usuarios están haciendo uso de la autenticación de red y las amenazas que existen, permitiendo localizar las mismas físicamente en un lugar geográfico especifico.

-       ¿Como?

La pregunta más importante y que causa curiosidad en todos es justamente ¿Cómo? Esta pregunta involucra varios aspectos que vamos a detallar a continuación.

¿Como es que ISE puede autenticar personas o dispositivos?
La respuesta en una sola sigla es 802.1X, este protocolo permite la autenticación de dispositivos y/o personas a la red de manera que se establezca un parámetro de autenticación exitosa o fallida que permita al servidor tomar diferentes decisiones al respecto. Está claro que con IoT y la realdad actual de los dispositivos que están ingresando a la red se establecen también como alternativa la autenticación a través de la MAC ADDRESS de los dispositivos, identificador que también permite tomar decisiones al servidor de autenticación de acceso a la red.

¿Como es que ISE puede permitir otorgar mecanismos de seguridad en base a la autenticación?
Al igual que cualquier servidor de autenticación ISE es capaz de tomar acciones y/o asignar privilegios a un usuario, pero ¿se imaginó usted alguna vez que un servidor podría permitir otorgar privilegios a nivel de red como ser listas de acceso o “ip tables” a un usuario o dispositivo solo con haberlo identificado? El servidor ISE hace realidad esto, siendo capaz de restringir accesos a nivel de red a usuarios y/o dispositivos que no cumplan con la autenticación. ¿Se ha preguntado si esto es suficiente? ¡Claro que no! A estas alturas la ambición por las funcionalidades de este servicio que permitan garantizar la seguridad de una organización apenas está empezando.

Entonces, si ya sé que, como, cuando y donde puedo realizar la analítica, autenticación y permisos a los usuarios ¿Qué más podría aspirar a lograr con este servicio?

La respuesta a esta última pregunta está basada en su totalidad en un término muy bien conocido en el área de seguridad, este término viene definido en las siglas AAA y es la AUTORIZACIÓN. Este término se refiere a todo aquello que puedo accionar como ser privilegios y otro tipo de permisos y/o acciones a usuarios y dispositivos en la red basado en la autenticación, sin embargo, como ya habíamos dicho esto no es suficiente, Cisco ha buscado la manera de poder ir más halla y no obedecer únicamente al termino previo de estas siglas que es la AUTENTICACIÓN.

Entiendo que en este punto ya las cosas se han complicado, pero no se preocupe que ahora mismo veremos la explicación de toda esta telaraña de términos y definiciones.

AAA es un protocolo que engloba tres términos, los cuales son: Autenticación, Autorización y Recolección en cuanto a lo que se refiere seguridad en el acceso a la red, ya que habíamos acordado que la idea de este artículo no es aburrirnos con detalles técnicos respecto a esta herramienta pasemos a conversar acerca de la autorización y él porque de una nueva visión que va más allá de la autenticación.

Cisco a través del servicio de ISE ha permitido que los administradores de este servicio sean capaces de otorgar permisos y/o privilegios a usuarios y/o dispositivos no solamente basándose en sus credenciales sino en otro tipo de parámetros que permiten otorgar mayor seguridad a la información generando una inteligencia en el servicio que es capaz de identificar diversos parámetros y autorizar de esta manera distintas acciones que permitan garantizar la seguridad de la red de la organización.



Vamos a separar 4 de los más importantes apartados en los que se definan estos parámetros que permiten al servicio dar un nivel de autorización:

-       Grupos de seguridad. - ISE permite crear y agrupar de forma local distintos usuarios de manera que obedezcan a las necesidades de organización de la empresa, generalmente estos grupos están enfocados en áreas y/o cargos de los empleados aun que dependiendo de la organización estos grupos podrían ser customizados en función a sus necesidades. No se asuste los usuarios y grupos no necesariamente tienen que ser locales, pueden ser importados de servidores de autenticación de terceros como ser Active Directory, LDAP o hasta servidores Radius.
-       Atributos. – Ya que el servicio permite importar usuarios y grupos de seguridad de servidores de terceros también permite la importación de atributos específicos por los cuales se puede otorgar mayor granularidad a nivel de permisos y/o privilegios en la autorización, por ejemplo un usuario podría pertenecer al grupo de contabilidad pero contar con un atributo activo que lo defina además como jefe o gerente del área, la idea de este atributo es que permita al servidor ISE otorgar privilegios extras o de menor alcance a los del usuario o grupo pre definido.
-       Perfilamiento. – Este término mayormente conocido en el mundo de la seguridad como “profiling” permite a este servidor generar perfiles de dispositivos que quieren acceder a la red haciendo posible la identificación de la marca, modelo, explorador o medio que está utilizando y sistema operativo que utiliza. Esto permite al servidor otorgar privilegios a dispositivos que cumplan las medidas establecidas en la organización , por ejemplo si los administradores en base a las políticas de la empresa decidan que no accedan dispositivos que hacen uso de sistemas operativos que ya este fuera de soporte podría hacerlo a través de perfilamiento, otro tipo de acciones que pueden tomarse con estos parámetros son por ejemplo el acceso a redes con niveles de acceso a internet diferentes, pudiendo distinguir que las necesidades de conexión externa son diferentes por ejemplo para dispositivos Andorid y para dispositivos IOS.
-       Postura. – Este servidor además permite la recopilación de datos como ser fechas de instalación de parches, actualización y uso de antivirus, y requisitos del sistema operativo como ser aplicaciones pre instaladas o acciones en el sistema que generen un nuevo parámetro que permita a la autorización otorgar diferentes privilegios según la ocasión hasta incluso poner en cuarentena el dispositivo y auto remediar los requisitos que no se han cumplido.

Ya hemos revisado todo el apartado de seguridad que involucra un servidor de autenticación a la red como ser ISE. Pierda cuidado que en un próximo articulo estaremos hablando de BYOD y GUEST ACCESS que son otras funcionalidades de última generación que pueden realizarse con este servicio analizando también la razón de existir de las mismas.

Gracias por haberse tomado el tiempo de leer este artículo.

Con mucha dedicación,

Ing. Fabricio López Prado