martes, 19 de febrero de 2019

SD-WAN en dispositivos Firebox Watchguard -Caso Práctico-








Definitivamente la nueva configuración SD-WAN de WatchGuard para los dispositivos Firebox M y T series es de lo mejor, un cambio realmente impresionante y que amerita una correcta interpretación, aplicación y monitoreo para ser aprovechado al máximo.

Cabe destacar que esta nueva opción no esta disponible para los dispositivos Firebox XTM, en los que se aplican configuraciones MultiWan basada en sus cuatro componentes: Failover, Round Robind, Routing Table y Overflow, en pruebas efectuadas con varios proveedores de acceso de Internet, durante más de 30 días que ameritaron, estudio, análisis, adecuaciones y mediciones podemos garantizar que SD-WAN traerá grandes beneficios para las redes empresariales que cuenten con más de un acceso de Internet en sus redes en los próximos años.

Manos a la obra, comencemos:

Antes que nada es preciso conocer conceptos básicos para iniciar:

SD-WAN: Wan definida por software

  • Jitter: Variación en el retraso de entrega de paquetes, medida en milisegundos.
  • Latencia: Retraso en la entrega de paquetes, medido en milisegundos.
  • Perdida: Porcentaje de paquetes perdidos. 


La WAN definida por software (SD-WAN) es una solución de enrutamiento basada en software que distribuye automáticamente el tráfico de red a través de múltiples conexiones WAN según las políticas que usted defina. SD-WAN está incluido en el Firebox. Firebox supervisa sus conexiones WAN, captura datos de rendimiento casi en tiempo real y utiliza estos datos para tomar decisiones de enrutamiento. Por ejemplo, si una conexión WAN se congestiona, Firebox envía automáticamente el tráfico a través de una conexión WAN diferente.


  • Para usar el enrutamiento SD-WAN basado en métricas, primero configure los destinos del monitor de enlace para interfaces externas
  • Configurar una acción SD-WAN 
  • Configurar una política para usar la acción SD-WAN.

Procedimos entonces a integrar nuestras pruebas de monitoreo con un dispositivo Firebox WatchGuard M400 con Fireware SO 12.3.1 para establecer acciones SD-WAN

Proveedores de acceso: NetUno, Conex Telecom, Patriacell y Movistar

Este punto es de vital importancia pues establecer destinos de monitoreo y los resultados al momento del censado dependerán los elementos de salud del enlace, por ejemplo: se procederán a medir: latencia, jitter y perdida de paquetes con respecto a los objetivos de monitoreo, máximo 3. Pero solo uno de los objetivos traerá los resultados.

Agregando objetivos de monitoreo, recuerde: solo uno de los objetivos comprobarán latencia, jitter y pérdida de paquetes.



Usted decide los intervalos de prueba, sugerimos cambiar cada cierto tiempo los objetivos de monitoreo pues podría ser bloqueado por múltiples conexiones dado el destino, Cabe resaltar que para obtener resultados de medición de cada enlace aplicar un mismo objetivo de monitoreo a cada uno puede ser de mayor utilidad que configurar objetivos diferentes, es comparar peras con peras los resultados de cada enlace.

Una vez configurados los objetivos de monitoreo, es prudente medir resultados para luego efectuar configuraciones de acción SD-WAN a las políticas, pueden ser pasadas 24 o 48 horas, en nuestro caso esperamos mediciones/ resultados basados en 72 horas. Esto lo puede visualizar a través de la administración del Firebox vía WEB-UI o a través del WatchGuard System Manager, veámos a través de ambos:

Para calcular la pérdida, la latencia y la fluctuación de fase, Firebox usa los 100 resultados más recientes de la sonda de los objetivos del monitor de enlace. Los resultados de la sonda se almacenan en grupos de 10. Cuando se llenan 10 grupos con 10 resultados de la sonda, se borran los resultados de la sonda del grupo más antiguo y se almacenan 10 resultados nuevos.



Fíjese que en la parte superir derecha esta el menú desplegable donde usted selecciona el tiempo en el que se mostrarán los resultados.


Ahora, veamos los resultados a través del WSM (muestra los resultados en tiempo real):

Fíjese que Movistar para estas pruebas muestra 100% de paquetes pérdidos, dadas fallas presentadas de la conexión en estas pruebas, NetUno 0%, Conex Telecom y Patriacell con apenas 1% de paquetes pérdidos. Recuerde que al hacer click con el botón derecho usted selecciona la medida que requiera verificar: jitter, pérdida de paquetes o latencia.

  
Ahora, hay que poner los diversos escenarios sobre la mesa, conocer la anatomía de las aplicaciones de uso diario, el correo electrónico, la central PBX que puede estar hosteada en la nube, en fin, lo neurálgico de las operaciones de la organización para de esta forma garantizar calidad de las conexiones y continuidad operativa. 


Indiscutiblemente es fundamental contar con una correcta aplicación de políticas en sus Firebox, con mucho sentido lógico y coherencia para tener éxito en este despliegue, muchas personas se toman a la ligera el establecer políticas en sus dispositivos Firebox WatchGuard, más no es así, es una constante de mejoras y dinámica que de acuerdo a los requerimientos de la organización se deben chequear constantemente, definitivamente no es recomendable tomarse a la ligera o a lo deportivo la aplicación de políticas en sus equipos Firewalls.

Al aplicar configuración SD-WAN en sus políticas, hay aspectos a considerar tales como:

  • ¿Que acción tomará el Firebox de acuerdo a los criterios establecidos cuando el enlace principal seleccionado tenga un porcentaje de 20% de paquetes pérdidos? -por ejemplo-
  • ¿Aplicar conmutación por error?
  • Al reestablecer sus valores como óptimos en base a la latencia, jitter y perdida de paquetes ¿Aplicará failback? (es decir que se reestablezcan las conexiones por su enlace de internet principal determinado)
Pruebas en base a escenarios:

Caso 1: Central telefónica de la organización hosteada en la nube,
Caso 2: Correo electrónico de la organización (correo corporativo) hosteado en Office 365.


En el caso 1, los resultados fueron bastantes precisos, ya que el acceso a Internet predeterminado fue Patriacell, con contingencia Conex telecom, al presentarse pérdida de paquetes en un porcentaje mayor o igual a 10% de paquetes, aplica el failover, configuración failback gradual ya que aplica corte inmediato en las llamadas telefónicas de los usuarios, por ende, se presentarán afectación de servicios.

Resultados: exitosos.

En el caso 2 decidimos crear una regla tipo granular hacía los destinos de correo entrante y saliente de office 365, separando de la política de navegación de Internet de los distintos grupos de usuarios para de esta forma discernir el tráfico, pues el correo electrónico es de vital funcionamiento en la organización

Los patrones tomados han sido jitter y latencia de los accesos ISP seleccionados para las acciones SD-WAN con failover en cuanto sean alcanzados los umbrales correspondiente (recuerde que estos valores son expresados en milisegundos) mientras mayor sea la variación del jitter entonces la comunicación con los servidores de correo será más lenta para el envío y recepción de correos.

Recuerde que mientras mayor sea la latencia y el jitter entonces mayor promedio de perdida de paquetes presentará en enlace seleccionado.



Ya para finalizar es recomendable establecer un seguimiento de los resultados y cambio de objetivos de monitoreo periódicamente, esperando haberles aportado y estamos a la orden.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526




miércoles, 11 de julio de 2018

Minería de monedas virtuales en redes empresariales.







A casi 10 años del nacimiento del sistema blockchain, las criptodivisas han despertado el fuerte interés en los ciudadanos para obtención de "dinero extra" o simplemente "hacerlo en grande y cumpliendo con las formalidades necesarias fortalecen emprendimiento". Este interés en el venezolano de a píe, es sin lugar a dudas, una luz en el abismo tomando en cuenta un férreo control cambiario impuesto desde el año 2003 por el gobierno nacional.

Hoy en día pareciera más que una luz en el abismo, una forma de sobrevivir para muchos en el país...

No voy a tratar en esta publicación aspectos legales, minería, trading, ni nada vinculado, pues mis conocimientos son muy parciales en ese ámbito, me quiero enfocar en el uso de estas aplicaciones en las redes empresariales por parte de los usuarios.

Si, es correcto; usted no debe minar en la computadora de trabajo, le explico las razones:

 
Basta con acceder a google y colocar la frase mágica: "como minar con mi pc" y blum! cantidad de respuestas se obtienen. Hasta en la nube usted puede minar. El caso es que en las redes empresariales no se debe hacer por que la computadora asignada para su labor es precisamente para ello: para hacer su labor, las herramientas intangibles pertenecen a la empresa: electricidad, Internet, las licencias con las que cuenta su PC también forma parte de las herramientas de trabajo que deben ser respetadas para tales fines.

Se debe evitar a toda costa la odiosa frase: "a mi nadie me dijo que eso no se debía hacer" y para ello se debe crear conciencia y educación en los usuarios, poniendo importante énfasis en las consecuencias, pues de seguro al dueño de la empresa no vera con buenos ojos el hecho de que usted obtenga un tipo de lucro con las herramientas de la organización.

En muchas de las organizaciones en las que brindamos servicios de seguridad gestionados (MSP, por siglas en ingles) la carencia de un documento de conformidad de uso de medios electrónicos y correcto uso de Internet y manejo de información forma parte de un vacío latente que ha traído como consecuencias infracciones de distintos niveles a los trabajadores, a su vez, la afectación de la organización en lo que refiere a: escarnio público, afectación de relación con clientes y proveedores y reputación, entre otros.

¡Si! en la organización debe haber creación de conciencia a los usuarios en virtud de apoyo a un documento de naturaleza legal que incluya a los usuarios en la seguridad de las redes empresariales y también claro esta, que cubra aspectos vinculados a su privacidad, la información de la organización es de la organización, no del usuario, los datos bancarios y otra información personal son propias del usuario, no de la organización ni de un tercero.

Seguimiento, verificación, chequeos periódicos y concientización forman parte del trabajo.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526



jueves, 26 de abril de 2018

INGENIERÍA SOCIAL...


Cuando blindar sistemas informáticos no lo es todo... 







En el día de hoy son muchas empresas las que contratan personas con conocimientos avanzados, en el área de pentesting y hacking ético. Para fortalecer su esquema de seguridad y/o identificar aquellos huecos o vulnerabilidades que puedan existir en su red empresarial.
Sin embargo, la moraleja es bien sencilla no importa la tecnología de la que se dispone o cuán cara es esta, mientras intervenga el factor humano, el sistema sigue siendo vulnerable.

El usuario es el eslabón más débil de la seguridad.




El relato anterior nos lleva a hablar de la ingeniería social. Un conjunto de técnicas psicológicas y habilidades sociales que, utilizadas de forma consciente y muchas veces premeditada, permite la obtención de información, o recursos de terceros. Lo que se hace después con la información conseguida no tiene límites, aunque eso ya no entra dentro de la ingeniería social. Por ello, en lo que respecta al mundo de la informática, es posible que un ingeniero social nunca toque un ordenador ni acceda a ningún sistema.

Se han dado casos en los que tampoco es necesario que el ingeniero social trabaje la confianza de sus víctimas o las manipule, ya que puede aprovechar datos que están a la vista como un post IT en un escritorio, las notas de una libreta, los mensajes que se ven en la pantalla de un teléfono móvil o incluso buscar en la basura (un método conocido como trashing). Dicho de otra manera, puede obtener datos sin ejercer ningún tipo de presión, lo cual se traduce en que, en estos casos en particular, no estaríamos hablando de una técnica de engaño, sino de aprovechar el descuido ajeno.

Actualmente la ingeniería social es uno de los vectores de ataque más peligrosos y que más se está utilizando para acceder a las redes de las organizaciones, haciendo uso de los empleados de las propias organizaciones.
La ingeniería social se compone de técnicas de engaño de todo tipo, tanto en el mundo físico como en el virtual, y se basa en tres principios básicos de las relaciones humanas:
  • El primer movimiento es siempre de confianza hacia el otro.
  • Todos queremos ayudar.
  • No nos gusta decir No.

Supongamos que una persona del departamento de contabilidad está trabajando en los asientos que tiene que reflejar para que cierren el balance y recibe una llamada telefónica:




Este tipo de llamadas intentan jugar con los principios que comentábamos. La persona está ocupada, no tiene mucho tiempo disponible, y recibe una llamada de alguien que dice ser del departamento de informática de su empresa, que le pide su colaboración. ¿Por qué va a dudar de que le estén mintiendo?
Evidentemente nadie debe dar su contraseña de acceso. Pero, ¿y si el atacante consigue que alguien por falta de precaución o por ganas de colaborar en exceso la proporcione? Es cuestión de probar.

Caso Ubiquiti Networks y la ingeniería social inversa

Ubiquiti Networks es un proveedor estadounidense de servicios de redes de alto rendimiento para empresas. En 2015 sufrió un ataque que le hizo perder 39.1 millones de dólares. Para ello, los cibercriminales escribieron algunos correos haciéndose pasar por miembros ejecutivos de la empresa, y pidieron a algunos empleados del área financiera que realizaran transferencias de grandes cantidades de dinero a una cuenta bancaria en particular. Como era de esperar, esta era propiedad de los cibercriminales. Esta técnica de ingeniería social se aprovecha de ciertas debilidades del ser humano, como es el hecho de ser servicial, ya que eso podría incidir en el reconocimiento por parte de los superiores. También se beneficia en que hay muchas personas que son incapaces de negarse a hacer algo que, pensado fríamente, podría resultar perjudicial. Nadie se metió dentro de los sistemas informáticos de Ubiquiti Networks, tampoco robaron los datos de la compañía. En este caso, la brecha de seguridad estaba en los propios empleados, que carecían de la formación, y desconocían los procedimientos necesarios para protegerse ante este tipo de estafas.

Como vemos, para que la seguridad forme parte de la cultura de la empresa no es suficiente con crear normas y procedimientos, ni con implantar medidas técnicas de seguridad. Es necesario que el personal de las empresas conozca este tipo de estrategias cada vez más usadas por los ciberdelincuentes e informar a los empleados de cómo deben tener presente la seguridad en el desempeño cotidiano de sus funciones: concienciar y formar ya que para ellos “eso no existe” “solo se ve en películas” etc...
Porque están expuestos a muchos factores de riesgo como integrantes de la organización, y porque son fundamentales en el planteamiento de ciberdefensa de la información de su empresa. Como se mencionó anteriormente en este artículo “mientras intervenga el factor humano” siempre existirá esa brecha, que permita utilizar la ingeniería social. No con esto se quiere decir que se deba sustituir el trabajo humano por uno robotizado.

Una vez cometida la falta por parte de ellos y viendo que perjudica no solo su trabajo, sino el de sus compañeros y los jefes de la organización es allí en donde se dan cuenta, que sus acciones y la información que transmitan y comparten es sumamente delicada.


Juan Fernández.
Analista I/ Proyectos Junior.
Servicios de Proyectos y Consultoría SGSI 0526