¿Cuáles son algunos de los pasos que podrían tomarse para fortalecer un enrutador perimetral (con acceso a Internet) de los ataques de usuarios potencialmente maliciosos?
Hay tres cosas útiles que hacer cuando se endurece un enrutador de perímetro.
Actualice el firmware en el enrutador regularmente. Los enrutadores no son diferentes de otros dispositivos con software que se ejecuta en ellos. Son susceptibles a las vulnerabilidades. El firmware que se ejecuta en los enrutadores debe actualizarse si hay alguna actualización.
Soltar paquetes innecesarios. Los enrutadores pueden ser susceptibles a ataques DDoS si reciben más paquetes de los que pueden manejar. Reglas de procesamiento complejas como la inspección profunda de paquetes pueden empeorar esto. Descarte cualquier paquete que intente alcanzar puertos o direcciones IP no permitidos antes de realizar una inspección compleja en ellos.
Básicamente, necesitaría evitar que cualquier paquete de Internet llegue a la CPU del conmutador, excepto los hosts permitidos, por lo que básicamente esto se puede hacer con una política, que funciona en el nivel de hardware, antes de alcanzar el conmutador. Dicha política funcionaría de la manera que necesita recopilar los números de IP pública del conmutador, digamos que 192.168.0.1/30 VLAN 10 lo conecta a Internet y 10.0.0.0/24 VLAN 20 es con servidores, de esta manera Puede aplicar la siguiente política. Lo mejor es negar todo y permitir solo los hosts específicos que necesita, de lo que será realmente estable y seguro.
Esta es una política simplificada con una cadena para ingreso y egreso:
# 192.168.0.2/30 - other router (VLAN10)
# 192.168.0.1/30 - your router (VLAN10)
# 10.0.0.0/24 - servers (VLAN20)
# 10.0.0.10/24 - you (VLAN20)
#Allow Broadcast only on VLAN20, so you dont have malicious broadcast from other router
From Any To ff:ff:ff:ff:ff:ff VLAN 20 Permit
#Allow Multicast only on VLAN20, if you need it for VRRP you can add the rule for VLAN10
From Any To 224.0.0.0/4 VLAN 20 Permit
#Anti-spoofing rules for your servers
From 10.0.0.0/24 to 0.0.0.0/0 VLAN20 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN20 Permit
#Allow accessing (e.g. pinging the other router) for your admin
From 10.0.0.10/32 to 192.168.0.0/30 Permit
From 192.168.0.0/30 to 10.0.0.10/32 Permit
#Block any other VLAN to VLAN communication
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny
#Allow internet for 10.0.0.0/24, this allows packets from and to internet go thru VLAN10
From 10.0.0.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.0.0/24 Permit
#Deny them all, this includes access to VLAN10
From 0.0.0.0/0 to 0.0.0.0/0 Deny
Con esto, los demás no podrán cambiar de ruta o hacer ping a su conmutador. Pero al mismo tiempo, está mucho mejor protegido con la posible denegación de servicios, ya que su Switch OS está aislado. Esto es bueno en algunos escenarios.
Además, algunos conmutadores tienen contadores de hardware, por lo que solo permiten que un número limitado de paquetes de un host especificado lleguen a la CPU. De esta manera, la regla podría ser contar TODOS los paquetes que llegan desde Internet (excepto su máquina de administración) y limitarlos TODOS (desde cualquier host) a, por ejemplo, 10 paquetes por segundo. Esto sería útil para ICMP, por lo que aún puede realizar un seguimiento.
From Any to 192.168.0.1/32 Protocol ICMP Limit 10 packets / second
From Any to 192.168.0.1/32 Protocol ICMP Allow
From 192.168.0.1/32 to Any Protocol ICMP Allow
Lea otras preguntas en las etiquetas hardening