CEFIROS

Ataques de nivel 2 y cómo protegerte en redes SDN con HillStone

25.10.17 10:00 AM Por Marcos Caballero

Como todos sabemos, los ataques de nivel 2 son aquellos que se tienen que ejecutar prácticamente en la misma red, o consiguiendo un acceso remoto a un servidor y desde allí lanzar el ataque, con lo que ya tenemos 2 problemas en este último caso.

Los ataques de ARP Poisoning o ARP Spoofing, pueden causar una tormenta de broadcast de nivel 2, con lo que podemos llegar a afectar a toda la electrónica de red y causar una caída total del sistema. Las respuestas de ARP spoofing, se envían al switch, que básicamente lo convierte en un Hub. Cuando esto sucede, un hacker puede capturar todos los paquetes que pasan por el switch y capturar cualquier cosa de la red. Este defecto de seguridad es inherente a cómo se manejan las comunicaciones TCP / IP y es algo que no se puede modificar, por ello hay que tomar medidas para prevenir estas situaciones.

Imaginemos una red de equipos VDI, sobre una infaestructura de VMWare, al final esos equipos VDI, que no nos olvidemos son equipos de usuarios la gran mayoría, cuelgan de una red de servidores, o de una red de usuarios dentro del ámbito de servidores, y con un direccionamiento entre /18 y /24, es decir entre unas 16300 y 254 IP's, sin segmentación por áreas o departamentos.

Se suele montar así por simplicidad, facilidad de administración y no se suele pensar en la seguridad en el diseño.

Por ello, a la hora de securizar ese entorno o segmentarlo se complica muy mucho, y aquí es donde entra en juego nuestra solución de microsegmentación y protección desde Nivel 2.

Con HillStone Cloud Hive, logramos la microsegmentación a nivel de cada equipo, creando un contenedor por cada equipo virtual, protegiendo así a cada equipo de ataque desde nivel 2, en el caso que nos ocupa, o de ataques dirigiros de L3 a L7 venga de donde venga, protegiendo así el equipo.

Con esto conseguimos una protección de movimientos laterales, sin precedentes, y si un equipo se infecta, estará controlado todos sus accesos, y podemos tenerlo en "cuarentena" sin tener que modificar en ningún momento el entorno de red, que realmente es la parte compleja a la hora de segmentar.

Con esta solución, además, ganamos:
  • Visibilidad a nivel de flujos de tráfico, y es una herramienta perfecta para poder documentar esos flujos de tráfico que desconocemos en equipos nuevos, o documentar aquellas aplicaciones "legacy" que se han virtualizado por sostener el servicio y se desconoce totalmente con quien y como se comunican.
  • Captura de tráfico de red, sin tener que desplegar nada en el servidor o puesto. Quejas de, la red va lenta, son fácilmente resueltas, al tener la capacidad de capturar tráfico, sin tener que molestar a los administradores o usuarios.
  • Protección frente ataques DoS o DDoS, al tener un IPS por cada servidor, recomendado por NSSLabs.
  • Inventario mejorado, teniendo la capacidad de captar cualquier cambio en el entorno virtual, ya sea al renombrar el equipo, añadir nuevos equipos virtuales o redes, migración de equipos etc.

Al desplegar HillStone Cloud Hive, adicionalmente a la red de servicio, que es la que se protege, de cada equipo, se añade una red de gestión fuera de banda, que es por donde se gestiona el servicio, a nivel global

Lo principal de la solución, es la capacidad de desplegarse sin interrupción del servicio y de no necesitar NSX para funcionar, proporcionando esta protección:
  • Defensa contra ataques
  • Firewall
  • Prevención de Intrusiones / Parcheo Virtual
  • Antivirus de pasarela para tráfico HTTP, POP3, SMTP, FTP e IMAP
La visión que se obtiene, aunque sea para auditorías y no se filtre nada, sirve para tener una visión completa de lo que pasa.

Si quieres saber mas sobre el producto, formas de licenciamiento y cualquier cosa que se te ocurra, ponte en contacto con nosotros sin dudarlo.

Os dejo el enlace a la descarga del documento: