Diariamente 230.000 copias de malware son producidas con el objetivo de infiltrarse en los sistemas de medianas y grandes empresas alrededor del mundo. Generalmente, estos atacantes solo buscan una cosa: datos sensibles, información confidencial de usuarios, productos y procesos. Y es precisamente el VLAN Hopping uno de los métodos empleados para introducirse sigilosamente en redes virtuales corporativas.
Una incorrecta configuración de VLAN y el desconocimiento sobre gestión segura de redes puede costarle a tu empresa miles de dólares, y al mismo tiempo, afectar la reputación de la marca. Por esto, es imprescindible contar con planes de prevención, monitoreo y defensa inmediata para contener las fugas de datos.
Para ayudarte a crear una estrategia SIEM destinada a la capa 2 OSI del negocio, a continuación te ofrecemos una guía breve para la prevención y contención de los ataques VLAN Hopping.
El VLAN Hopping, una amenaza constante a medianas y grandes empresas
El VLAN Hopping o salto de VLAN consiste en ingresar al flujo informático de redes virtuales restringidas con el fin de atacar cualquier recurso que esté dentro de esos sistemas. En otras palabras, los hosts atacantes tratan de pasar de VLAN en VLAN sin levantar sospechas para robar información sensible, eliminar datos, implantar spyware, instalar cualquier tipo de malwares, propagar virus, entre otras actividades criminales.
El salto de VLAN puede ocurrir en cualquier momento de la jornada laboral e ingresar a través de cualquier perfil dentro de la red. En este caso, existen dos formas principales de obtener accesos a través de saltos:
# 1 Switched spoofing o falsificación de identidad de switches
Con este método, el atacante se hace pasar por un switch de la red de la víctima para engañar el DTP legítimo y crear un enlace troncal. De esta forma, podrá tener acceso a toda la información que sea transmitida de un punto a otro, así como viajar de LAN en LAN sin levantar sospechas. La falsificación de identidad de switches Cisco es el ataque más común y solo puede ocurrir cuando los puertos Ethernet se encuentran en modo de trabajo Auto o Desirable.
# 2 Double tagging o doble etiquetado
El VLAN Hopping de doble etiquetado se hace a través de un cambio en las etiquetas del marco Ethernet. Este cambio en la configuración genera un enlace troncal y permite que el ID del atacante sea considerado como VLAN nativa, a partir de ese momento, el atacante puede enviar y recibir datos de la red corporativa.
¿Cómo defender una LAN virtual de intrusos?
El VLAN Hopping se puede evitar desde la prevención, que implica reforzar la seguridad en las capas primarias del modelo OSI, el cumpliento en la protección de datos y el monitoreo de actividad en los sistemas. En cualquier casos, se requiere de un plan de trabajo bien estructurado que permita la detección de eventos amenazantes durante las 24 horas del día.
La implementación de soluciones tecnológicas de SIEM son especialmente útiles cuando se trata de crear marcos de ciberseguridad ajustados a las características de cada empresa. Con estos software puedes evitar la entrada y salida indebida de información sensible, contabilizar amenazas, detectar ataques tempranos, automatizar las acciones de defensa y optimizar la estructura de tu IT.
A continuación te contamos cómo proceder con efectividad ante amenazas de VLAN Hopping:
# Prevención
La mayoría de las medianas y grandes empresas destinan recursos de seguridad a las capas más profundas de sus sistemas. Y por lo general, ignoran las dinámicas de conexión entre hardware y software, por lo que dejan una puerta abierta hacia su tráfico diario.
Sin embargo, esta vulnerabilidad se puede eliminar con una estrategia temprana que combine la fuerza de trabajo del equipo de IT y el apoyo de software de Security Management. En primera instancia, el equipo de IT debe comprender cuáles son los métodos e intenciones de los posibles atacantes. Con esta información, se pueden aplicar procesos automatizados efectivos, ya sea en la detección de amenazas, el cumplimiento de los protocolos y el reforzamiento de áreas específicas en los sistemas.
Para esa tarea, el modelo ATT&CK es de gran utilidad. Con este recurso, tu equipo puede trazar el camino del atacante previo a su aparición para interceptar su entrada a la red corporativa. Según el ATT&CK, la mayoría de los cibercriminales llevan a cabo tácticas meticulosas para el reconocimiento de debilidades en los sistemas de las empresas.
Predicción de las tácticas de ataque
El reconocimiento previo al ataque se hace a través de análisis de ciberseguridad de la empresa en busca de entradas fáciles, análisis de infraestructura de TI y sus configuraciones, así como análisis de capacidades de contraataque de los sistemas. Por lo general, estas etapas pre-ataque son difíciles de identificar por parte de software convencionales, por lo que el equipo de IT debe adelantarse al trabajo del atacante y cerrar todas las debilidades entre los aparatos y los programas.
Por ejemplo, puedes realizar un inventario de toda la red empresarial para determinar quienes la usan, cuáles son los recursos primordiales, cuáles son los patrones de comportamiento en cada hardware, las configuraciones actuales, sus debilidades de fábrica, entre otros.
En este sentido, evita a toda costa la configuración predeterminada. Por esto, después de detectar cuáles son los routers vulnerables, deshabilita los modos “Dinámico”, “Auto” y “Troncal”, así como es imprescindible eliminar todos los DTP en los accesos y apagar todas las interfaces que no se usan. Por otro lado, el ataque de doble etiquetado se puede evitar dejando de usar la VLAN nativa para el tráfico de datos de usuarios comunes.
Monitorea constantemente la estructura y el comportamiento entre hardware y software para prevenir ataques desde dentro de la empresa.
# Cumplimiento de PCI
Si la empresa debe procesar información de pagos y tarjetas de crédito, utiliza un software de Compliance Management para garantizar que todos requisitos del PCI DSS se cumplan al pie de la letra. Si la compañía aplica diversas capas de restricción a la información financiera de los clientes, más difícil será para los atacantes VLAN Hopping recibir tráfico de información sensible. Al mismo tiempo, se recomienda segmentar los datos en VLANs ACL para mantener estos procesos de pago alejados de la red común de trabajo.
# Detección de ataques
Haz especial hincapié en el monitoreo constante de todos los procesos de la red. Con un software de seguridad unificada puedes detectar sin problemas atacantes a través del sistema de Network IDS y al mismo tiempo comprobar la integridad de los archivos con un FMI. Estos programas obtienen información detallada de cada dispositivo activo en la red virtual y crea un historial del perfil de los atacantes y sus tácticas específicas.
La seguridad unificada sigue un workflow automático de monitoreo>detección>ejecución de contraataque que minimiza los riesgos considerablemente. En este aspecto, recomendamos el software AlienVault SIEM para la tarea de gestión y control de amenazas.
Si estás en busca de los mejores métodos para optimizar la seguridad de tu empresa, en GB Advisors podemos ofrecerte toda la asesoría necesaria para elección de nuevos recursos IT. Contáctanos.
