Hola, ¿qué tal? Bienvenida o bienvenido a este entrenamiento de Aruba Network Security Essentials. Mi nombre es Ricardo Cobos, y en este video hablaré de confinamiento de servicios, asà como de Control Plane Security. En repetidas ocasiones ya hablamos de las mejores prácticas para asegurar los equipos, desde tener certeza de que tengan la certificación FIPS para saber que el equipo fue seguro desde la fábrica o fue manufacturado de manera segura, continuando con proteger el acceso fÃsico, bloquear el acceso no autorizado a los equipos vÃa administración, por ejemplo, colocar autenticación en el puerto consola o, inclusive, deshabilitarlo. Pero también es importante asegurar los servicios, bloquear los servicios o hacer un confinamiento de estos, para saber que solamente los servicios que yo requiero están habilitados, y aquellos que están habilitados están de manera segura. Esto, obviamente, incluye los protocolos de gestión. SNMP es un protocolo que viene habilitado por defecto en la mayorÃa de los casos o, al menos, con la comunidad pública, asumiendo SNMP versión 2c. Esa versión debe ser completamente eliminada, y solamente si necesitas SNMP, entonces habilita la versión 3, que va a requerir autenticación y privacidad con cifrado. Después, es importante configurar Network Time Protocol, de eso ya platicamos, porque de esa manera podemos tener certeza de que los logs tienen el "time stamp" o la hora y la fecha adecuadas cuando los eventos se originaron. También NTP nos ayuda para que todos los equipos en la red tengan el mismo reloj, la misma hora y tiempo en el reloj, con lo cual, no solamente los logs, mas también la validación de certificados digitales es correcta, además de muchas otras funciones de las cuales se ocupa. Use Control Path Defense. Asegurarnos de que el plan de control está seguro, no solamente con los protocolos que estoy corriendo en el equipo, sino también en el equipo mismo, asegurarme de que no se puede enviar un exceso de conexiones de SSH o de HTTPS o de que, si existe un gran volumen de esas conexiones hacia el equipo, esto no afecte otros servicios. Como ya comenté en el video anterior, los Mobility Controllers vienen con un firewall global. Este firewall global va a controlar, entre muchÃsimas cosas, la cantidad de conexiones que el equipo recibe, tanto con un protocolo UDP como TCP e inclusive ICMP, asà como también cuál va a ser la duración de ocio de estas conexiones. Puedes decir que, después de un minuto, si no existe algún solo segmento que se reciba por una conexión dada, entonces se cerrará esa conexión; o pueden ser 30 segundos, cualquier valor que tú encuentras adecuado para tu implementación. El objetivo principal de este video es hablar de Control Plane Security para la gestión de los access points. En este caso, es importante saber qué es Control Plane Security y por qué lo requerimos. Si nosotros tuviéramos una gestión sin Control Plane Security en los access points, eso significa que la gestión de este access point va a ir en texto plano, como una conexión basada en UDP puerto 8211. En otras palabras, cualquier persona que pudiera tener acceso al tránsito entre el access point y el Mobility Controller tendrÃa una visibilidad de los mensajes que estos están intercambiando, tanto para el intercambio de la configuración como de estadÃsticas y también de monitoreo. Cualquier usuario malicioso que estuviera en el medio podrÃa hacer eavesdropping y analizar todo el contenido del plano de gestión y de control entre estos dos equipos. Es importante entender que para emplear los datos, el Access Point y el Mobility Controller tiene túneles GRE que no cifran la información. Sin embargo, se asume que el tráfico entre los clientes inalámbricos y el Mobility Controller ya viene cifrado en capa 2 a través de WPA y WPA2. No solamente nuestra red vendrÃa siendo susceptible a eavesdropping, sino que también a network reconnaissance u otro tipo de de acciones, como denial-of-service, porque ahora este usuario también podrÃa enviar mensajes al access point haciéndose pasar por el Mobility Controller, dándole instrucciones de reiniciarse o de propagar redes que realmente no fueron instruidas por el Mobility Controller. Ahora, hay otra situación si Control Plane Security está deshabilitado, y esto es que el Mobility Controller estarÃa recibiendo cualquier access point que se quisiera contactar con el. En otras palabras, aquà tenemos a nuestro hacker que además de revisar esta comunicación entre el AP y el Mobility Controller, él tuviera su propio access point, entonces ese access point podrÃa establecer una comunicación con el Mobility Controller, el Mobility Controller lo aceptarÃa y, entonces, ese access point recibirÃa la misma configuración que el Mobility Controller enviaba a un access point legÃtimo, además de que estarÃamos consumiendo una licencia en la solución de movilidad. Esto serÃa la consecuencia de tener Control Plane Security deshabilitado. Es por eso que CPsec, que viene habilitado por defecto, no tienes que hacer nada, simplemente dejarlo trabajar y colocar las direcciones MAC de tus access points legÃtimos en una base de datos llamada "Allow List" en el Mobility Controller. Lo que esto hará es, automáticamente, validar la identidad de los access points que se estén queriendo conectar. Por ejemplo, si de misma cuenta tenemos a un hacker con un access point route que intentara establecer una conexión con el Mobility Controller, este Mobility Controller rechazarÃa la conexión porque la identidad de este access point no se encuentra dentro del Allow List que viene en la base de datos del appliance. Por otro lado, los access points que son legÃtimos, que sà lograron pasar esa primera fase de autenticación, crearán, vÃa Control Plane Security, un túnel de IPsec, y a través de él es como el access point se comunicará con este appliance de movilidad. En otras palabras, todo el tráfico que intercambien estos dos equipos, ya vendrá no solamente autenticado, sino también cifrado. Por consecuencia, cualquier hacker que intentara acceder a ese flujo de datos no tendrÃa acceso porque ya viene endurecido de origen. Es importante saber que Control Plane Security es una funcionalidad que no requiere licencia adicional, viene habilitado por defecto. Lo único que debemos hacer es obtener todas las direcciones MAC de los access points e incluirlas en el Allow List de Control Plane Security en el Mobility Controller o el Mobility Master, y esto es como nosotros podrÃamos proteger el plano de gestión entre los dos. Espero que hayas disfrutado el video. Gracias por tu tiempo.
