informe de cierre

Informe de Cierre

Robustecimiento de Seguridad de Red

12 de Noviembre de 2019 COFINTER

Documento confidencial de Ingeniería

iInforme de Cierre – Robustecimiento de Seguridad de Red

CONTROL DE DOCUMENTACIÓN – SISTEMA DE GESTIÓN DE CALIDAD ITS

Versión Revisado Por Aprobado Por Fecha aprobación

1.1 12 de Noviembre de 2019

HISTORIAL DE REVISIÓN

Rev. Descripción del cambio Autor Fecha efectuado

1 Liberación original Informatica 8 de Noviembre de 2019

DOCUMENTOS DE REFERENCIA

Título del documento Número de documento

Informe de Cierre – Restructuración de Red – COFINTER IDC.RDR.ING.CFNTR.121119.001

SMOP1 – Upgrade de FortiGate SMOP.RDR.ING.CFNTR.120819.001

SMOP2 – DARP + Rutas Dinámicas de Borde SMOP.RDR.ING.CFNTR.110919.001

SMOP3 – Depuración de Reglas de FortiGate SMOP.RDR.ING.CFNTR.140919.001

SMOP4 – Configuración de Servidor NPS SMOP.RDR.ING.CFNTR.151019.001

SMOP5 – Instalación de Tarjetas ISR4331 SMOP.RDR.ING.CFNTR.091019.001

SMOP6 – Configuración de Cisco SNORT SMOP.RDR.ING.CFNTR.120919.001

SMOP7 – Implementación de Radius y 802.1x SMOP.RDR.ING.CFNTR.161019.001

SMOP8 – Implementación de Port Security SMOP.RDR.ING.CFNTR.171019.001

SMOP9 – Implementación de ACLs SMOP.RDR.ING.CFNTR.181019.001



iiInforme de Cierre – Robustecimiento de Seguridad de Red

Tabla de Contenido

TABLA DE CONTENIDO ......................................................................................................................................... II

1. ACERCA DE ESTE DOCUMENTO .................................................................................................................... 1

1.1 Objetivo ......................................................................................................................................................... 1

1.2 Audiencia ...................................................................................................................................................... 1

1.3 Alcance ......................................................................................................................................................... 1

2. VISTA GENERAL ............................................................................................................................................... 1

2.1 Introducción .................................................................................................................................................. 1

2.2 Descripción del Escenario Inicial................................................................................................................... 1

2.3 Requerimientos ............................................................................................................................................. 3

2.4 Recomendaciones ........................................................................................................................................ 3

2.5 Descripción de la Solución ............................................................................................................................ 3

3. FINALIZACIÓN................................................................................................................................................... 8

3.1 Cuadro de Actividades .................................................................................................................................. 8

3.2 Cierre ............................................................................................................................................................ 9



1 Informe de Cierre – Robustecimiento de Seguridad de Red

1. Acerca de este documento

1.1 Objetivo

Detallar los trabajos realizados necesarios para el robustecimiento de la seguridad de red de COFINTER.

1.2 Audiencia

El presente documento está dirigido a las áreas de Ingeniería y Operaciones de COFINTER, así como a los ingenieros de servicios que participaron en las actividades involucradas.

1.3 Alcance

Se detallan todas las actividades realizadas para la configuración, levantamiento y validación del funcionamiento de la red de COFINTER posterior a su restructuración.

2. Vista General

2.1 Introducción

El Informe de Cierre detalla los recursos, actividades y resultados obtenidos de la restructuración de red de acceso, distribución y borde de COFINTER, de acuerdo a la infraestructura existente. El robustecimiento de seguridad de red contempla la aplicación de las mejores prácticas enfocadas a las necesidades identificadas como prioritarias, a fin de implementar un modelo comprensible, estable y escalable.

2.2 Descripción del Escenario Inicial

La topología de red de COFINTER tiene el objetivo de proveer redundancia física y lógica en caso de falla de cualquier elemento de red; sin embargo, después de evaluar los informes de las auditorias externas, se determinó que la seguridad de red aún puede se robustecida en pro de la seguridad informática de la organización. Ésta debe ser aplicada en todos los equipos de las diferentes capas de red de producción. La Tabla 2.2.1 detalla los equipos de red en producción de CONFINTER:

Tabla 2.2.1 Equipos de Red en Producción

Nombre de Red Modelo Versión de SO RT_TGU_1 ISR4331/K9 15.5(3)S4b

RT_SPS_2 ISR4331/K9 15.5(3)S4b

RT_TGU_1 ISR4331/K9 15.5(3)S4b

RT_SPS_2 ISR4331/K9 15.5(3)S4b

SW_TGU_1 (stack) N2048 6.5.2.9

SW_TGU_2 (stack) N2048 6.5.2.15




SW_SPS_1 (stack) N2048 6.5.3.4

Firewall FortiGate 100E 6.0.5

Firewall FortiGate 100E 6.0.5

Actualmente, las características de seguridad soportadas por los equipos de red de COFINTER no están siendo implementadas. Las redes de acceso, distribución y borde pueden ser robustecidas con configuraciones de seguridad informática más avanzadas como ser filtros de firewall para navegación de internet, protocolos de autenticación de usuario a través de la red, autenticación de equipos de red por medio de usuarios de dominio, entre otros.

Por otro lado, a pesar de que ya existe un Firewall-IPS en el borde de la red, las buenas prácticas recomiendan implementar una segunda firma para inspección de paquetes. Los router cisco ISR 4331, son capaces soportar la tecnología Cisco SNORT, que actúa como un IPS que inspecciona el tráfico que atraviesa los router desde internet.

La siguiente figura muestra la topología de red de COFINTER y su interconexión a través de los enlaces de datos contratados con Cable Color y Hondutel:

Figura 2.2.1 Topología de Red COFINTER - Previo




2.3 Requerimientos

Tabla 2.3.1 Requerimiento del Proyecto de Restructuración de Red - COFINTER

Descripción Acceso lógico a los equipos de red de COFINTER

Credenciales con privilegios de administrador para configuración de equipos de red

Servidor NPS sobre Windows Server 2016 Standard

Credenciales con privilegios de administrador para configuración de servidor NPS

Credenciales con privilegios de administrador para configuración de Firewalls FortiGate

Despliegue de políticas de dominio para implementación del protocolo 802.1x

Disponibilidad de personal de COFINTER para ejecución de cambios en la red.

2.4 Recomendaciones

Tabla 2.4.1 Recomendaciones de Optimización

Item Descripción

Operativo

1 Solventar la relación de roles existente entre controladores de dominio

2 Separación de ambientes críticos a nivel de red acceso.

3 Implementar un segundo switch en la red de borde, de manera se tenga redundancia n+1 en caso de fallo.

4 De acuerdo a la proyección de crecimiento organizacional, se recomienda evaluar opciones de virtualización de servicios.

Documental

1 Reorganizar los puertos en switches de acceso para mantener una consistencia ascendente en la numeración de los puntos de red en las estaciones de usuarios.

2.5 Descripción de la Solución

De acuerdo a los requerimientos planteados en el informe de la auditoría externa de 2018 de LuGon, se determinó que era necesaria la implementación de nuevos métodos y protocolos de seguridad informática, específicamente en las capas de red. Entre ellos se encuentran los siguientes:

- Depuración y afinamiento de reglas de firewall para navegación de internet. - Robustecimiento del cifrado de contraseñas de equipos de red. - Eliminación de protocolos no seguros para administración de equipos de red. - Configuración de Dynamic ARP Inspection para redes DHCP. - Implementación del protocolo 802.1x para autenticación de red por usuario de dominio. - Implementación de Port-Security para dispositivos de red fuera de dominio. - Creación y aplicación de Listas de Acceso.




- Autenticación de equipos de red a través del protocolo RADIUS. - Implementación de Cisco SNORT como firma secundaria de IPS.

En la Tabla 2.5.1 se muestran los detalles de las fases de implementación del proyecto:

Tabla 2.5.1 Fases de Implementación

Fases Resultado Observaciones

1 Recopilación y análisis de configuraciones. Satisfactorio

2 Depuración y afinamiento de reglas de FW Satisfactorio

Se segmentaron los privilegios de usuario para navegación en internet. Las reglas de Firewall se construyeron con base en esa segmentación.

3 Robustecimiento de cifrado de contraseñas Satisfactorio

4 Eliminación de protocolos no seguros para administración de equipos de red.

Satisfactorio

5 Configuración de Dynamic ARP Inspection Satisfactorio

DAI fue implementado en conjunto en DHCP Snooping únicamente en las redes de usuario que cuentan con asignación DHCP.

6 Implementación del protocolo 802.1x Satisfactorio **

7 Implementación de Port-Security Satisfactorio Solo para dispositivos de red que no estén dentro del dominio “cofinter.hn”.

8 Creación y aplicación de Listas de Acceso Satisfactorio

Se capturó el tráfico de red de COFINTER por un período aproximado de 5 días. Generando la información necesario para la creación de la base de las listas de acceso.

9 Autenticación de equipos de red por RADIUS

Satisfactorio

10 Implementación de Cisco SNORT Satisfactorio

Se agregó 4GB de memoria RAM y 8GB de flash a cada uno de los ISR4331 para la implementación de SNORT.

11 Capacitación de Listas de Acceso Satisfactorio

** La versión 1903 de Windows 10, instalada a partir de una actualización de Microsoft en septiembre de 2019, genera un conflico de funcionamiento del protocolo 802.1x en todas las terminales de usuario que tengan tarjetas de red Intel modelo i217-LM, i218-LM e i219-LM, impidiento la autenticación de red con el servidor NPS. Para solventar el problema, fue necesaria la implementación de un script que reinicie el servicio “Configuración Automática de Redes Cableadas” de Windows 10, mismo que fue desplegado individualmente en todas las computadoras de usuarios que trabajan con esas tarjetas de red. El diseño, pruebas y despliegue del script antes mencionado fue ejecutado por el equipo de IT de COFINTER.




Figura 2.5.1 Topología de Red de Distribución y Acceso COFINTER – Posterior

Figura 2.5.2 Topología de Red de Borde COFINTER – Posterior




La ejecución de pruebas de realizó gradualmente conforme a la ejecución de cada una de las fases mostradas en la Tabla 2.5.1. A continuación, se muestra el resultado de las pruebas ejecutadas de acuerdo a su fase de ejecución respectiva:

Tabla 2.5.2 Ejecución de Pruebas

Fases Resultado Observaciones

1 Depuración y afinamiento de reglas de FW Satisfactorio

2 Robustecimiento de cifrado de contraseñas Satisfactorio

3 Eliminación de protocolos no seguros para administración de equipos de red.

ParcialmenteSatisfactorio

No se puede eliminar el puerto 80 de la administración web de los switches de acceso.

4 Configuración de Dynamic ARP Inspection Satisfactorio

5 Implementación del protocolo 802.1x Satisfactorio Funcionamiento normal del protocolo después de la aplicación del script de reinicio de servicio.

6 Implementación de Port-Security Satisfactorio

7 Creación y aplicación de Listas de Acceso Satisfactorio

El sistema operativo de los switches N2048 requiere que las ACLs sean creadas con sentencias de tráfico de retorno, por lo que la lista de acceso de Tegucigalpa tiene un tamaño total de 114 líneas.

8 Autenticación de equipos de red por RADIUS

Satisfactorio

9 Implementación de Cisco SNORT Parcialmente Satisfactorio

Se necesita ingresar los router ISR 4331 al soporte de cisco para poder habilitar la descarga automática de las firmas de IPS actualizadas.

Figura 2.5.3 Pruebas Reglas de FortiGate.




.Figura 2.5.4 Pruebas de funcionamiento de 802.1x.

Figura 2.5.5 Pruebas de Autenticación por RADIUS.

Figura 2.5.5 Pruebas de habilitación de Cisco SNORT.




3. Finalización

3.1 Cuadro de Actividades

A continuación se presenta una tabla con el detalle de todas las actividades realizadas:

Tabla 3.1.1 Actividades Realizadas

Fecha Inicial

Fecha Final

Descripción de la Actividad

29/7/2019 30/7/2019 Robustecimiento de cifrado de contraseñas de

31/7/2019 20/9/2019 Depuración y afinamiento de reglas de Firewall

29/8/2019 4/9/2019 Captura de tráfico con sniffer

23/9/2019 27/9/2019 Configuración de Servidor RADIUS

30/10/2019 2/10/2019 Autenticación de equipos de red por RADIUS

3/10/2019 4/10/2019 Aplicación de DAI

7/10/2019 10/10/2019 Configuración de Servidor NPS para 802.1x

12/10/2019 12/10/2019 Instalación de memoria RAM y Flash a ISRs 4331

14/10/2019 30/10/2019 Despliegue e implementación de 802.1x

16/10/2019 16/10/2019 Configuración y despliegue de Cisco SNORT

31/10/2019 1/11/2019 Elminación de protocolos no seguros de administración

31/10/2019 1/11/2019 Implementación de Port-Security

31/10/2019 6/11/2019 Implementación de Listas de Acceso




Adicionalmente, se debe evaluar la Matriz de Observaciones de la auditoría externa de LuGon, que indica los puntos de mejora específicos solicitados para el robustecimiento de red de COFINTER. En la Tabla 3.2.1, se muestra el detalle del complimiento de cada una de las recomendaciones de LuGon:

Tabla 3.1.1 Matriz de Observaciones de Auditoría Externa

Ítem Recomendación Proveedor Estado Actual Cumplimiento

2

Configurar los switches para que no permitan el sniffing en la red, esto se logra implementando DAI (Dynamic ARP Inspection).

CUMPLIDO 100%

Presentar un mensaje de advertencia a todos aquellos que intentan iniciar una conexión a los dispositivos.

CUMPLIDO 100%

3 Configurar los puertos de los switches donde se conectan dispositivos de usuario para que sean autenticados antes de ofrecer los servicios de red.

CUMPLIDO 100%

5 Habilitar los protocolos seguros para administración del switch y deshabilitar los protocolos inseguros (que no cifran el tráfico) telnet y http.

CUMPLIDO 100%

6

Para mejorar la seguridad de administración de los equipos es recomendable considerar la opción de autenticar los usuarios basándose en el Active Directory a través de un RADIUS Server, de esta forma se centraliza la administración y se hereda la política de contraseñas.

CUMPLIDO 100%

7

configurar los puertos de los switches en los cuales hay servidores, impresoras, puntos de acceso, etc. conectados para que solamente el servidor o dispositivo pueda conectarse al puerto a través de su dirección MAC (Dirección física de la tarjeta de red).

CUMPLIDO 100%

10

Configurar los router para utilizar un mecanismo de cifrado de contraseñas más fuerte (service password encryption y enable secret)

CUMPLIDO 100%

Crear las reglas de acceso de manera granular para controlar el tráfico de la red, e integrar el cisco snort ips, ver: https://www.cisco.com/c/en/us/products/collateral/security/router-security/datasheet-c78-736114.html

CUMPLIDO 100%

12 Modificar la configuración del firewall para que no permita conexiones tipo túnel.

CUMPLIDO 100%

3.2 Cierre

Habiendo ejecutado cada una de las fases del Proyecto de Robustecimiento de Seguridad de Red de COFINTER, cumpliendo con las recomendaciones de la auditoría externa; la creación de una red de borde redundante con estructura HA (High Availability) y las pruebas de funcionamiento respectivas, se cierra el proyecto con resultados satisfactorios.

informe de cierre

Documents