La red de Capa 2 desatendida, es su punto de entrada más vulnerable.
La Amenaza
A pesar de disponer de un firewall avanzado que proteja su red de Internet, ésta podría ser vulnerable a ataques originados por LAN.
Los firewalls de Capa 7 y los Deep Packet Inspection (DPI) Inspección Profunda de Paquetes están ganando popularidad. Éstos prometen que los algoritmos sofisticados y, por lo general, los equipos y licencias de alto precio pueden proteger su red de todos los peligros encontrados en línea. Esta función, en la mayoría de los casos, la realiza el firewall que reside entre su LAN e Internet. Los firewalls y la detección de comportamiento de Smart Layer 7 continúan desarrollándose pero descuidan la Capa 2.
En esta categoría ha sido difícil encontrar el producto adecuado para las PYMES, hasta ahora. Los enrutadores de seguridad DrayTek son una excelente opción, ya que ofrecen un gran valor para las PYMES, incluida la mayoría de las funciones de seguridad que ofrecen los firewalls convencionales a solo una fracción del precio.
Sin embargo, la mayoría de los firewalls adecuados para SMB no pueden combatir los ataques de Capa 2 porque estos ocurren a nivel de LAN antes de que el tráfico llegue al firewall. Muchas veces se olvida que la amenaza más peligrosa proviene de la propia LAN y se hace poco esfuerzo para protegerla. Cualquier persona que administre una LAN, incluidos los profesionales de TI, los integradores y los MSP, deben tener un mejor control. Las cámaras IP, impresoras, teléfonos IP y muchos dispositivos IoT están conectados a las redes todos los días y se están convirtiendo en las amenazas más grandes, ya que algunas de ellas, por lo general baratas, pueden contener códigos maliciosos o son muy fáciles de hackear. Recientemente, los medios de comunicación plantearon varios casos sobre cientos de miles de impresoras, cámaras y routers comprometidos y que ejecutan códigos maliciosos. Todos esos dispositivos están en la LAN y pueden apuntar a PC y otros dispositivos dentro de la misma.
Las direcciones IP malintencionadas o duplicadas, las conexiones maliciosas, los hosts infectados, la falsificación de ARP, del inglés Address Resolution Protocol (Protocolo de Resolución de Direcciones), el envenenamiento de ARP, etc., pueden hacer que su red se caiga, sin importar que su firewall de Internet esté muy avanzado. Un bucle de red creado cuando alguien conecta un cable de red al lugar equivocado también es un problema común que interrumpe la red. Todo sucede en la Capa 2 y se puede evitar en el switch de red.
¡No es difícil conectar un dispositivo a una red existente y echar a perder todo por completo! Cualquier puerto o switch de red abierto activo, la pared o la parte posterior de un teléfono IP permitirá que un nuevo dispositivo acceda a su red. Conectar un pequeño interruptor a un puerto de red en funcionamiento en el edificio puede abrirle el acceso físico de su LAN a dispositivos no autorizados.
Encontrar la subred de la dirección IP de una red es fácil con solo mirar las IP asignadas por el servidor DHCP. Se puede conectar un dispositivo no autorizado a la red con una IP duplicada configurada estáticamente de elementos clave de la red, como el router, DNS, PBX (si es local), servidores de impresión y archivos, etc. Los hosts legítimos infectados pueden tener el mismo efecto en la red sin ninguna intervención física.
El resultado es que la red comienza a ser errática y lenta. Cuando algo como esto sucede, puede llevar días para que un técnico de red experimentado logre diagnosticar y resolver el problema. Las horas de captura de red y la comparación de direcciones MAC para encontrar leads en cientos de miles de paquetes puede ser abrumadora.
De nuevo, todo esto sucede en la Capa 2 y se puede evitar en el switch de red.
La Solución
Por fortuna, todas esas pesadillas descritas anteriormente se pueden evitar a bajo costo si se usan los switches de red correctos y se configuran como corresponde. Existen Sistemas de Detección de Intrusos (IDS) en el mercado que pueden ayudar a mitigar esta amenaza, pero no existe uno adecuado para las PYMES que no sea complicado y no sea muy costoso.
Muchos switches comerciales en el mercado pueden ayudar a prevenir los bucles de red, segmentar redes con VLAN o definir las ACL (Lista de Control de Acceso) para fijar las direcciones MAC al puerto con el fin de evitar algunas de las amenazas descritas anteriormente. El problema es que esos switches de red no solo son complicados o caros, sino que la mayoría no ofrece la inteligencia adicional necesaria. Un nuevo tipo de interruptor de seguridad tendría que actuar como un Firewall de capa 2. El switch es el punto de entrada para cualquier conexión de Capa 2 y es el lugar natural para que tales características sean implementadas.
Los switches comerciales de DrayTek, las familias 1280 y 2280, lanzaron un conjunto de características este año que mejoraron las herramientas de seguridad integradas disponibles y necesarias para los profesionales de TI y redes, integradores y MSP. Con DrayTek, no son necesarios los contratos de mantenimiento y las actualizaciones de firmware están siempre disponibles sin costo. Algunas de las nuevas características para contrarrestar las amenazas de LAN son:
Puerto de Seguridad Capa 2
Esta función protege su red de conexiones no autorizadas o malintencionadas especificando el tipo de host Capa 2 permitido en su red. La configuración simple a través de un asistente o GUI (Interfaz Gráfica de Usuario) facilita la configuración de su red Capa 2 de forma segura sin tener que comprender a fondo los firewalls de Capa 2. Algunas opciones pueden configurarse y cambiar simplemente haciendo clic en el puerto:
Cliente DHCP o Estático
Usted puede definir qué puertos pueden aceptar direcciones IP configuradas estáticamente o clientes DHCP (Protocolo de Configuración Dinámica de Host), lo que impide que los intrusos intenten configurar a los clientes de manera diferente y se conecten a la red.
Puerto de host múltiple o único
También puede configurar un puerto para aceptar solo un dispositivo o varios dispositivos. Con esto, usted está protegido contra los interruptores maliciosos que ejecutan varios hosts conectados al otro extremo del cable. Usted define lo que está permitido: puertos de enlace ascendente / descendente que pueden ejecutar varios MAC
Enlace de puerto IP único
Los puertos del servidor se pueden enlazar estáticamente a puertos. El switch no permitirá que ningún otro puerto que ejecute un host con la misma IP, evite las IP duplicadas malintencionadas o configuradas erróneamente que puedan interrumpir el servicio en gran medida.
Puerto del servidor DHCP
Evite los servidores DHCP falsos o duplicados en su red. El código malicioso puede hacer que cualquier host se convierta en un servidor DHCP para que su red redirija el tráfico a sí mismo y lo retransmita con el propósito de detectar el tráfico mientras pasa desapercibido. Los teléfonos IP, cámaras o routers mal configurados también pueden actuar como un servidor DHCP.
IP Source Guard
Esto permite al administrador de la red especificar la IP o IP-MAC permitida para conectarse a la red en cualquier puerto específico. Este enlace ayuda a evitar conexiones maliciosas a puertos específicos en el switch. Usted puede bloquear puertos para que solo funcionen con dispositivos legítimos conectados.
En el ejemplo a continuación, se bloqueará todo lo conectado al puerto 24 o 25 que no sea el MAC e IP del servidor especificado.
Firewall Capa 2 para MAC, IPv4 e IPv6.
Esta es la función Capa 2 más completa incorporada en Firewall Capa 2 para una mayor flexibilidad, al crear las reglas para las MACs y direcciones IP. Puede proteger a los servidores críticos para que no se acceda a ellos e incluso cerrar la fuente ofensiva. Las reglas se unen a todos o a subconjuntos específicos de puertos.
A continuación se muestra un ejemplo de reglas para restringir el acceso en el nivel MAC. Ninguna de estas conexiones sería vista por un firewall tradicional.
La siguiente regla de ejemplo restringe el acceso a las impresoras de la empresa. Protegerá a la impresora para que no se apunte a puertos diferentes y si recibe un código malicioso, puede evitar que se conecte a otros hosts. Todas las conexiones IP en la misma subred no pasan a través del router o el firewall tradicional.