Un interesante artículo en CSIRTCV (Centro de Seguridad TIC de la Comunidad Valenciana) sobre securización de estos elementos de la electrónica de red a los que raramente prestamos atención.
Reproduciendo parte del artículo..
Los switches se pueden empezar a securizar mediante la realización de estas tareas:
- Contraseñas por defecto – cambiar las contraseñas por defecto del dispositivo, todas, no solo las de la cuenta que vayamos a utilizar. Muchos switches tienen múltiples cuentas que vienen de fábrica, algunas de las cuales se olvidan fácilmente.
- SNMP v3 – si el dispositivo lo soporta úsalo, de otro modo emplea un community name largo, hay que ser consciente de que será comprometido y que como mínimo ganarán acceso de solo lectura.
- Logging – Usar logging centralizado.
- AAA – Crear un grupo de gestión en el Directorio Activo, ubica en el mismo a aquellos que necesitan acceder a los dispositivos en el grupo y entonces emplear Radius para autenticar a los usuarios. Esto convertirá el acceso en tan bueno como el password empleado por el equipo, aunque también se pueden usar tokens para autenticarse.
- Backup userid/password – si se está empleando autenticación AAA debemos asegurarnos de que tenemos un usuario local y un password que pueda ser empleado en el caso de que los servidores Radius no estén disponibles.
- Gestión VLAN – Muchos switches soportan la gestión de VLAN, por ello se debe configurar y definir ACL para el control de acceso a la VLAN. Esto imposibilita la función de gestión de la red principal y dificulta la vida del pentester (o del atacante potencial).
- Segmentación de la red – Configurar VLANs para segregar los segmentos de red, emplear ACLs para controlar el tráfico entre las mismas (Nota: debe usarse con preacución, ya que es muy fácil cometer un error). También se deben usar diferentes switches físicos para distintos segmentos de red con diferentes requisitos de seguridad, como por ejemplo la DMZ.
- Etiquetado de puertos – No es una medida que incremente la seguridad, pero muchos switches permiten nombrar puertos. Esto significa que escribiendo simplemente ’show’ podemos ver que puertos están siendo utilizados. Resulta muy útil en caso de que no dispongamos del diagrama de red o éste esté obsoleto. Por supuesto, si alguien consigue comprometer el dispositivo tendrá más información sobre que atacar.
- SSH /Telnet – Emplear SSHv2 y deshabilitar el telnet.
- Interfaz Web – Si lo necesitas emplear SSL, sino deshabilitarlo.
- TFTP – Si lo necesitas, como mínimo configura la localización válida.
- Gestión de IPs – Hay switches que permiten configurar la gestión de Ips del dispositivo. Configurarlo conviene para dificultar las acciones de los atacantes.
Leer el artículo completo en el ISC.