Hola. ¿Qué tal? Bienvenida o bienvenido a este entrenamiento de Aruba Network Security Essentials. Mi nombre es Ricardo Cobos, y en este video hablaré de la regulación FIPS. Revisaré nuevamente los conceptos de endurecimiento de hardware y, después, me enfocaré en el endurecimiento de equipos que pertenezcan al portafolio de movilidad. Hablemos de los requerimientos FIPS. FIPS es, realmente, una regulación. Es el Federal Information Processing Standards, que es parte del Trade Agreements Act y, en pocas palabras, lo que esto dice es que tanto el hardware como el software han sido endurecidos desde su manufactura. EspecÃficamente, a nivel de hardware, uno de los parámetros clave para cumplir con esta regulación es que el hardware sea manufacturado en Estados Unidos o Singapur, de tal manera que no haya manera de que haya sido manufacturado en algún paÃs o en alguna región que pueda introducir la duda de si alguien realmente manipuló el equipo desde la fábrica, haya colocado algún tipo de componente que no deberÃa estar ahà o haya incluido componentes que permitan un tipo de backdoor. Realmente, esta es una garantÃa de que los productos que se están adquiriendo y que incluyen esa certificación vienen con el más alto nivel de seguridad desde la fábrica, a nivel de hardware. Otra cosa que incluye son los tamper-evident labels. Esto significa que si alguien quisiera abrir el equipo, ese equipo tiene varias regiones donde se colocan los chips y la circuiterÃa; etiquetas, que para poder acceder a los componentes, tendrÃan que romperse y dejarÃan muy claro y evidente que el equipo ha sido violado de alguna manera. De tal manera que, cuando tú tengas algún equipo que tenga esa certificación, revisar que todas estas etiquetas están en orden te da la garantÃa de que nadie ha podido acceder a los componentes internos. Es el caso del 7200 y muchos otros equipos que están en el portafolio de Aruba, que son probe-resistant. También existe una seguridad a nivel de software. Prácticamente, a nivel de software se ha revisado todo el sistema operativo, se han eliminado lÃneas de comando que pudieran introducir vulnerabilidades conocidas, asà como también se han removido todos los algoritmos y protocolos que son considerados de baja seguridad. Por ejemplo, los algoritmos de cifrado y algoritmos de hash viejos o que no son a la altura de los niveles de seguridad de hoy en dÃa han sido completamente removidos del código. Protocolos que no soporten cifrado y autenticidad también han sido completamente removidos. Realmente se trabaja el software para saber que este es un software duro; un software seguro que muy difÃcilmente pueda ser atacado a nivel de Control Plane, de Management Plane, como del código mismo. Pero también, a nivel de los protocolos que tú pudieras habilitar, limita las opciones para que solamente tenga las opciones más seguras. En general, adquirir un equipo que tenga la certificación FIPS te garantiza que tienes el equipo más seguro que pudieras colocar en tu empresa, en tu red, y no solamente para instituciones en Estados Unidos, sino para varias instituciones del resto del mundo. El saber que estos equipos fueron manufacturados bajo un estricto nivel de seguridad te da la garantÃa de que la posibilidad de hackeo a tu red es verdaderamente mÃnima. Ahora, hablaré de cómo cerrar el acceso administrativo. En la parte uno ya revisamos las mejores prácticas y el checklist para asegurarnos de que el plano de control y el de gestión sean seguros o, al menos, sean endurecidos. Este checklist lo estamos colocando nuevamente aquÃ; por ejemplo, colocar ACL en el plano de gestión, crear una VRF exclusiva para la gestión o implementar una red de administración fuera de banda. También tenemos como punto importante utilizar autenticación y autorización externa; no solamente el poder acceder al equipo, sino también limitar cuáles son los comandos que cada operador pudiera ejecutar. Nunca debemos dar la posibilidad de que hagan o ejecuten comandos que están más arriba de las tareas que estos operadores o administradores deben hacer. También, una buena práctica es deshabilitar la autenticación local o dejarla como una segunda posibilidad si es que los servidores AAA remotos no se encuentran disponibles. Debemos cerrar servicios o apagar ciertos servicios que no sean utilizados. Por ejemplo, en el caso de switches ArubaOS-S, deshabilitar Telnet, deshabilitar HTTP. En el caso de equipos de movilidad, deshabilitar todos los protocolos que no estemos ocupando. Si no estamos ocupando ERP, eliminar completamente este protocolo. Si hay interfaces que no se están ocupando, también deberÃamos deshabilitarlas. En el caso especÃfico de los Mobility Controllers, nosotros tenemos un firewall global. Además del firewall de datos para usuario, hay un firewall global con el cual nosotros podemos restringir ciertos comportamientos de las conexiones que ese firewall recibe. Por ejemplo, podemos eliminar sesiones de TCP o cerrar sesiones de TCP; si quedan en idle o en modo ocioso por más de 60 segundos, estas conexiones pueden ser cerradas. Es muy recomendable revisar esas caracterÃsticas del firewall global del Mobility Controller. Para la gestión de los Access Points, recuerda que, cuando tenemos una solución que incluye a los Access Points con Mobility Controllers, estos últimos van a tomar control total a nivel de configuración y a nivel, una vez más, del plano de control, asà como de la extracción de estadÃsticas de los Access Points mismos. Es importante tener la certeza de que esa comunicación entre los AP y los Mobility Controllers está siendo protegida y va en una red overlay aparte o separada de los túneles de los datos, y ese es el caso con Control Plane Security. Control Plane Security es una funcionalidad que se basa en IPsec y una autenticación a través de certificados digitales, donde Mobility Controller solamente aceptará Access Points autorizados. Una vez que estos se asocien al Mobility Controller, un túnel de cifrado de IPsec, va a transportar toda la comunicación del plano de gestión y de control a través del protocolo que nosotros llamamos PAPI. En otras palabras, el Access Point levantará un túnel de IPsec y dentro de él enviará mensajes de PAPI y de AMON o Aruba Monitoring, para no solamente recibir su configuración, sino también transportar estadÃsticas e información del medio de radiofrecuencia que el Access Point está detectando hacia el Mobility Controller. Voy a hablar ahora de la protección del puerto de consola. En el caso de los appliance de movilidad, como los Mobility Controllers y Mobility Conductors, cuando ellos son fÃsicos, existe un puerto de consola que tenemos aquÃ. Este puerto de consola es una de las maneras con las cuales nosotros podemos acceder al CLI del equipo. Es importante proteger el acceso a este puerto a través de autenticación, nombre de usuario y contraseña; pero nunca debemos olvidar que se requiere un alto nivel de seguridad fÃsica, porque existe una cuenta para recuperar la contraseña de administrador. En caso de que un usuario olvide la cuenta de administrador, nosotros podrÃamos conectamos por consola y hacer este proceso de recuperación de contraseña; este viene habilitado por defecto. Si algún usuario malicioso o hacker logra traspasar la seguridad fÃsica y tener acceso directo al appliance, podrÃa resetear esta contraseña de administrador y tomar control total del equipo y, como consecuencia, poder tener un impacto muy grande en la integridad de la red. Obviamente, hay medidas que se pueden tomar para proteger este tipo de accesos. No solamente colocar nombre de usuario y contraseña en el puerto consola, también podemos deshabilitar la cuenta de recuperación, o puedes cambiar la cuenta por defecto de recuperación a alguna que tú desees, alguna cuenta custom. Del mismo modo, existe este panel de LCD que se puede ver de este lado, el cual le da acceso al administrador a funciones de mantenimiento como actualización del sistema operativo o reiniciar la caja. Este panel también puede ser deshabilitado en caso de que tú quieras elevar aún más la seguridad del equipo. Es importante entender que ninguna de estas medidas, deshabilitar el panel de LCD y deshabilitar el puerto de consola, sustituyen a la seguridad fÃsica que debe ser a través de una puerta con cerradura, posiblemente biométricos y cámaras de videovigilancia. Esto es, porque si alguien llegara a traspasar esta seguridad fÃsica, aún cuando tú tengas el panel de LCD deshabilitado y la cuenta de recuperación de contraseñas también deshabilitada, el atacante podrÃa muy fácilmente generar un denial-of-service attack solamente con desconectar la corriente de este equipo. Entonces, la seguridad fÃsica es algo obligatorio. En el caso de los Access Points, los Access Points tienen tanto el puerto Ethernet para poder recibir conexión a la red, asà como energÃa de PoE. Además de eso, tienen este pequeño puerto aquÃ, que es un puerto de consola para administración local en el equipo. El acceso a la consola del Access Point puede ser protegido con contraseña y también con algunas etiquetas que dejen evidente el acceso al mismo. También lo puedes deshabilitar y esto, de hecho, es lo recomendado, porque no es común gestionar los Access Points vÃa consola una vez que ya se implementaron en la empresa o en el edificio donde ellos se encuentran; deshabilitarlos desde el Mobility Controller es también una buena práctica. Muy bien, con esto termino este video. En el siguiente, hablaré de deshabilitar servicios, asà como de Control Plane Security. Espero que te haya gustado el contenido. Gracias por tu tiempo.
