Realizando uma auditoria de segurança com o tablet de análise de rede portátil OptiView XG | enterprise.netscout.com

Realizando uma auditoria de segurança com o tablet de análise de rede portátil OptiView XG

A maioria das redes é projetada para ser extremamente segura do lado de fora e menos segura por dentro. Algumas redes, no entanto, como as envolvidas em segurança nacional, instituições financeiras, serviços públicos ou qualquer organização preocupada com questões de conformidade, precisam ser extremamente seguras por dentro também. Estas redes seriam encontradas, por exemplo, nos tipos de instalações onde varreduras regulares para dispositivos eletrônicos de espionagem são executadas.

Embora estas redes incluam ferramentas de monitoramento em tempo integral de problemas de segurança, especialistas em segurança usam o OptiView XG para adicionar outra camada de auditoria. Através da realização de auditorias aleatórias e sem aviso prévio de um tipo diferente do que o fornecido pelas ferramentas de monitoramento em tempo integral, esses especialistas adicionam incerteza para aqueles que desejam obter acesso não autorizado. O OptiView XG também fornece uma seleção de "terceiros" para os procedimentos de segurança em curso.

O NETSCOUT OptiView XG é adequado para esta aplicação, com uma grande variedade de recursos de testes (teste de camada física, monitoramento passivo, detecção de dispositivos e SNMP/RMON), tecnologias de conexão (cobre /fibra/ sem fio), tudo em um pacote portátil, operado por bateria. Esta nota descreve os tipos de testes que o OptiView XG pode usar para auditar a segurança de rede.


Teste ativo ou passivo?

Acessar a rede para fins de teste depende do design da rede. Os comutadores dificultam o monitoramento passivo de uma rede, pois cada porta do comutador é isolada dos seus vizinhos. A fim de efetivamente monitorar uma rede comutada, o OptiView XG precisa ser conectado de modo a lhe permitir ver o tráfego além daquele direcionado especificamente para o OptiView XG. A maneira mais simples de fazer isto é com espelhamento ou abrangência de porta, onde o comutador é direcionado para encaminhar o tráfego das portas selecionadas para a porta conectada ao analisador OptiView XG. Isto requer acesso ao comutador e conhecimento de como configurá-lo. Outra abordagem é a instalação de escutas ou utilizar os recursos em linha do analisador em links críticos, para permitir que o OptiView XG colete dados sobre o tráfego e espione conversas desejadas. Isto requer alguma premeditação para projetar e instalar as escutas nos locais mais úteis. Uma vez instalado, torna-se muito fácil para o auditor conectar o OptiView XG naa rede e começar a observação e coleta de tráfego.


Testes ativos podem fornecer muito mais informações em uma rede comutada e fornecer alguns dos recursos mais poderosos do OptiView XG. No entanto, testes ativos podem ser observados por outros dispositivos na rede e são às vezes desaprovados para aplicações de segurança, pois eles podem ser detectados por um usuário sofisticado na rede. Isso poderia permitir que um usuário pare a atividade não autorizada sendo observada pelo OptiView XG. Praticamente, isto pode ser muito difícil, porque quando o usuário observar o OptiView XG, eles também já foram observados. Porém, muitos auditores de segurança preferem ser completamente invisíveis em seus esforços e evitam testes ativos.

Fig. 1

Figura 1. O OptiView XG pode ser configurado para ser completamente "silencioso" em uma rede


Acesso à rede

Um dos métodos mais simples e eficazes para proteger uma rede é não permitir que dispositivos não autorizados nela. Uma maneira de fazer é implementar uma lista de MAC – uma lista de endereços de hardware que são permitidos na rede. Qualquer outro dispositivo que tente acesso não será conectado e será "bloqueado". Este teste com o OptiView XG é simples, pois o endereço MAC pode ser alterado a partir do painel de configuração de porta de rede, efetivamente "falsificando" outro dispositivo. Ao ver que um endereço permitido pode se conectar e outros endereços serem rejeitados, o usuário sabe que o acesso de lista de MAC está funcionando corretamente.


Uma abordagem mais sofisticada é usar a autenticação IEEE 802.1 x. Neste método, uma senha é necessária pelo dispositivo para obter acesso à rede. O dispositivo recebe acesso pelo tempo suficiente para obter a aprovação de um servidor 802.1x. Se o acesso não for concedido, a porta é desativada e o dispositivo será "bloqueado". O OptiView XG suporta 802.1X através do componente de autenticação do Windows, que permite que um certificado de autenticação seja inserido.

Fig. 2

Figura 2. Tela de configuração OptiView XG para 802.1x


Análise de Tráfego

A maneira mais simples e tradicional de pesquisar anormalidades em uma rede é ouvir passivamente. Neste modo, o dispositivo analisa e recolhe passivamente o tráfego que vê em sua conexão. Como mencionado acima, essa abordagem fornece visibilidade limitada em redes modernas, exceto quando usando spanning ou escutas. Este método tem a vantagem de ser passivo, o que significa que é essencialmente indetectável para outros dispositivos na rede. Eis o que o OptiView XG pode descobrir sobre a rede com esse método:


Aplicativos e protocolos

O OptiView XG pode categorizar os tipos de tráfego que observa em categorias diferentes, em diferentes camadas. Por exemplo, na camada 2 você pode detalhar IP e AppleTalk, na camada 3 TCP e UDP e, em camadas superiores, HTTP, FTP, SMTP etc. Há uma série de coisas que você pode procurar. Primeiro e mais simples, é a mera existência de um protocolo. Mais frequentemente do que não, engenheiros de rede ficam chocados ao encontrar inesperados protocolos operando em suas redes (muitos nem contestam as conclusões do OptiView XG). O OptiView XG pode identificar quais dispositivos estão enviando esses protocolos.

Fig. 3

Figura 3. O OptiView XG identifica protocolos por camada


Em segundo lugar, enquanto alguns protocolos podem ser aceitáveis na rede, pode ser suspeito ver esses protocolos provenientes de estações de trabalho. Por exemplo, um PC gerando protocolos de roteamento, como OSPF ou RIP, seria inesperado e poderia indicar uma tentativa de interceptar uma conversa. Em terceiro lugar, o volume de tais quadros também pode ser suspeito. Uma estação de trabalho irá gerar quadros ARP, mas se está fazendo isso regularmente e em grande volume, isso pode indicar algum tipo de infecção. De forma semelhante, um grande número de quadros ICMP (Internet Control Messaging Protocol) vindo de um PC pode indicar uma varredura de portas à procura de vulnerabilidades.

Fig. 4

Figura 4. O OptiView XG pode mostrar conversas entre estações de trabalho e outros dispositivos


Locutores / pares de conversa

Acompanhar quem está falando é também uma boa maneira de encontrar atividades suspeitas. O OptiView XG pode exibir conversas de MAC e IP, mostrando até mesmo os dispositivos por nomes DNS. Isto facilita muito ver quais dispositivos estão conversando com dispositivos fora da rede local e com quem eles estão falando.


Fig. 5

Figura 5. Aprofundar em conversas utilizando um protocolo específico.

Os testes de conversa de topo também irão mostrar informações sobre quadros de transmissão. Os quadros de transmissão podem dizer muito sobre o que está acontecendo na rede. Como eles "transmitem" por toda a rede, ou pelo menos VLAN, é muito mais provável que o OptiView XG seja capaz de vê-los sem uma escuta ou porta de abrangência. Componentes de rede, como comutadoresa e servidores, são emissores prodigiosos. Mas as estações de trabalho do usuário final normalmente geram transmissões apenas quando entram na rede ou configuram conversas. Muitos vírus e ataques usam quadros de transmissão para aprender sobre outros dispositivos na rede e como explorar suas fraquezas. Portanto, um usuário gerando a transmissão ocasional é normal – aquele que gera regularmente é suspeito.


Fig. 6

Figura 6. Uma lista de transmissores e o número de pacotes de transmissão gerados.


Correspondência livre de strings / captura de pacotes

Capturar e decodificar conversas reais, a partir de um dispositivo, são as melhores maneiras de decifrar o que está acontecendo. O OptiView XG facilita tudo isso. Uma vez que o dispositivo, conversa ou protocolo de interesse for identificado, apenas um par de toques na tela permite que os quadros sejam capturados e armazenados. O software opcional ClearSight™ Analyzer pode, depois, decodificar os quadros para ver exatamente o que está neles.

Deve-se notar que outras ferramentas seriam necessárias para decodificar uma conversa que está criptografada.


Fig. 7

Figura 7. Configuração do OptiView XG para captura de pacotes. Isto pode ser configurado automaticamente, selecionando as áreas de interesse em uma lista de dispositivos e protocolos ativos.

A captura de pacotes também pode ser reforçada ao configurar o OptiView XG para capturar os quadros, se o software vir um padrão ou palavra definida pelo usuário dentro do quadro. Embora existam outras ferramentas que podem executar uma correspondência do padrão em um local pré-definido dentro do quadro, o "free string match" do OptiView XG lhe permite encontrar o padrão em qualquer lugar dentro do quadro.


Testes ativos

Testes ativos aumentam em muito a visão do OptiView XG e podem encontrar muitas coisas que o monitoramento passivo não pode. A única desvantagem é que estes testes potencialmente poderiam sinalizar para um invasor que eles estão sendo caçados. No entanto, a quantidade e o tipo de tráfego a ser enviado é pequeno, e como o OptiView XG não é bem conhecido fora da comunidade de gerenciamento de rede, isso significa que é improvável que os testes provocariam qualquer alarme.


Descoberta de dispositivos

Embora ouvir o tráfego pode ajudar quem vê quem está na rede, há duas importantes limitações dessa abordagem. Primeiro, dispositivos que não falam não aparecerão. Em segundo lugar, em uma rede comutada, dispositivos que estão falando não aparecem a menos que você está conectado a um tronco através de uma escuta ou usando espelhamento de porta.

Os testes de descoberta ativos no OptiView XG superam estas dificuldades. O OptiView XG usa várias técnicas para sondar a rede e exigir uma resposta de quase qualquer dispositivo na rede. (Embora seja teoricamente possível se conectar a uma rede sem responder as consultas do OptiView XG, isso exigiria muita sofisticação e tornaria quase impossível para o dispositivo participar.)

Fig. 8

Figura 8. Tela de descoberta OptiView XG.


Dispositivos encontrados são classificados por tipo, como servidores, impressoras e dispositivos sem fio. Relatórios podem ser gerados para rápida comparação desses dispositivos contra uma lista de bons dispositivos. Com a capacidade de exportar os dispositivos encontrados para um arquivo CSV, as informações de descoberta podem ser importadas a outros sistemas para análise. Dispositivos sem fio ou servidores inesperados em uma rede devem ser investigados imediatamente.

A faixa de descoberta do OptiView XG pode ser controlado pelo operador. Isto controla o tamanho da lista de descobertas, bem como o tempo necessário e a quantidade de tráfego gerado. Este tipo de descoberta é tipicamente feito por VLAN individual, mas pode ser ampliado tanto quanto for desejado.


Mapeamento de rede e comutadores desconhecidos

O mapa de rede automaticamente fornece uma representação gráfica dos dispositivos na rede e suas interconexões. Isso é útil para ver exatamente onde dispositivos residem na rede e como eles estão conectados. Por exemplo, selecionando sub-redes particulares, um mapa pode ser criado para mostrar onde uma sub-rede refere-se a um site, um edifício ou um andar de um edifício. Selecionando o botão de relatório, você pode instantaneamente criar um mapa gráfico da rede que pode ser salvo como um arquivo de desenho Visio.
Comutadores, roteadores, hosts e outros dispositivos são codificados por cor para fácil identificação, assim como a representação de links. As informações apresentadas em dispositivos e links são personalizáveis. O mapa também mostrará a presença de "comutadores desconhecidos" – que poderiam ser dispositivos interconectados autorizados, sem capacidade de gerenciamento (SNMP), mas que podem ser dispositivos não autorizados.

Fig. 9

Figura 9. Mapa de rede.



Análise de comutador

Se o usuário do OptiView XG tiver acesso aos comutadores na rede, conseguirá um grau adicional de visibilidade usando os testes de detalhe do dispositivo do OptiView XG. Para ter acesso, duas condições devem ser atendidas. Primeiro, o endereço de gerenciamento (porta) do comutador deve estar disponível na rede à qual o OptiView XG está conectado. Em muitos casos, estas estsão na verdade em uma VLAN separada das estações de trabalho conectadas ao comutador. Em segundo lugar, o OptiView XG deve ser programado com a seqüência de caracteres de comunidade, a senha necessária para acessar o SNMP (Simple Network Management Protocol) no comutador. Se ambos forem atendidos, os testes abaixo podem ser executados.

Para que um dispositivo para veja ou gere tráfego na rede, ele deve ser conectado a uma porta ativa do comutador. O OptiView XG pode consultar o comutador e obter uma lista de todas as portas ativas. Isto poderia ser comparado a uma lista de portas ativas "de boa reputação" de um teste anterior. Todas as portas que estão atualmente ativas, mas não antes, indicam um novo dispositivo na rede.

O OptiView XG também pode fornecer detalhes sobre qual dispositivo ou dispositivos estão conectados a uma porta. Normalmente, apenas um dispositivo é usado por porta – mais do que um poderia indicar um dispositivo não autorizado (ver figura 10). Isto também torna mais fácil localizar um dispositivo não autorizado, mesmo se for o único na porta. Se alguém colocou um dispositivo interconetado sem gerenciamento na rede (algum dispositivo ao qual vários MACs estão ligados, com ou sem fio), este dispositivo aparecerá como "dispositivo não gerenciado". A porta do comutador upstream para estes será identificada, permitindo que essa porta seja desligada para investigação adicional. O OptiView XG também pode mostrar níveis de utilização em uma porta, que pode ajudar a encontrar dispositivos que estão gerando transmissões excessivas, que, como mencionado acima, poderiam ser suspeitas.

Fig. 10

Figura 10. O OptiView XG pode listar dispositivos conectados a cada porta do comutador.


Detalhe do dispositivo

Os testes de detalhe do dispositivo de testes permitem extrair informações sobre um dispositivo específico, como seu endereço MAC, nome DNS, protocolos suportados e se suporta IPv4, v6 ou ambos. Você também pode executar uma varredura de portas (IPv4 ou v6) no dispositivo, para avaliação de vulnerabilidades.

Wireless

As redes sem fio aumentam a flexibilidade e conveniência, mas também podem criar novas vulnerabilidades. O OptiView XG pode ajudá-lo a encontrar essas vulnerabilidades.

Um ponto de acesso sem fio inseguro (AP) pode ser uma porta aberta em sua rede. O OptiView XG pode encontrar APs em sua rede, tanto com fio e sem fio. Se o AP não for autorizado, ele pode ser rastreado até a porta específica usando o detalhe do comutador no lado com fio, ou fisicamente, usando a função de localizar no lado sem fio. As configurações de segurança do AP também podem ser validadas.

Fig. 11

Figura 11. O OptiView XG pode descobrir dispositivos sem fio e categorizá-los.


O OptiView XG também pode detectar dispositivos no lado sem fio da rede, tanto quanto no lado com fios. Registros de dispositivos podem ser mantidos e comparados, para identificar rapidamente os dispositivos novos desde a última auditoria.


Análise de espectro

Uma opção de software para o OptiView XG oferece aos profissionais de segurança a visão de que precisam sobre o mundo oculto do Wi-Fi, propiciando a eles a possibilidade de análise do espectro em um formato visível e inteligente. Isso permite que você veja, monitore, analise e gerencie todas as fontes de RF e dispositivos sem fio que influenciam o desempenho e a segurança da rede Wi-Fi, mesmo se tais dispositivos não tenham autorização ou sejam temporários. Este software de analisador de espectro não é um substituto para um produto de uso específico, mas irá mostrar dispositivos interferindo ou tentando transmitir nas bandas 2,4 e 5GHz.

SNMP

O SNMP permite acesso do OptiView XG às informações em comutadores conforme descrito acima, no entanto, isso também pode ser um risco de segurança. Deixando a dispositivos com SNMP habilitados e proteção de strings (senha) padrão comunitário pode deixá-los abertos a todo tipo de ataque, incluindo a sua completa reprogramação. Para evitar esses problemas, o administrador de rede pode implementar uma combinação dos seguintes elementos:

  • Desabilitar totalmente o SNMP (que, no entanto, limita a capacidade do admin de gerenciar o dispositivo)
  • Atualizar do SNMPv1 ou v2 para o SNMPv3, mais seguro
  • Alterar as seqüências de caracteres de comunidade para algo mais seguro
  • Permitir o acesso aos agentes SNMP somente através de uma VLAN de gerenciamento separado
  • Permitir o acesso aos agentes SNMP somente por uma lista predefinida de dispositivos
  • O OptiView XG pode testar e verificar todos estes.


    IPv6

    Embora ninguém pareça ser capaz de prever quando IPv6 será amplamente adotado em redes corporativas, o protocolo já está aqui, sendo enviado em uma variedade de produtos e sistemas operacionais. Tudo o que um usuário tem a fazer é plugar um dispositivo novo, e você tem o IPv6 em sua rede. As agências governamentais estão sendo incentivadas pela Regulação Federal de Aquisição dos EUA a exigir que todo hardware novo seja certificado como habilitado para IPv6. Isto irá aumentar o número de máquinas IPv6 em redes do governo.

    O OptiView XG pode executar todos os testes acima em uma rede IPv6, mas inclui também testes específicos projetados para abordar preocupações de segurança do IPv6.

    A primeira coisa que você vai querer saber é quanto tráfego IPv6 há em sua rede. O teste de protocolo passivo acima mencionado, lhe mostrará instantaneamente se qualquer tráfego IPv6 está presente, e quais dispositivos o estão gerando. Você pode usar Top Conversations para ver quais dispositivos estão se comunicando entre si usando IPv6.

    Em seguida, há um conjunto de testes de IPv6 ativos. O teste de dispositivos IPv6 usa os testes ativos, similares aos descritos anteriormente. para encontrar todos os dispositivos que suportam IPv6 - estejam ou não gerando ativamente tráfego IPv6.

    Em seguida, há o teste de anúncios de roteador. Endereços de subrede de anúncios para não-roteadores que não deveriam existir poderiam ser causados por erros de configuração de roteador ou de host, ou poderia ser uma indicação de atividade maliciosa. Através do envio de anúncios de roteador falsos, um invasor finge ser um roteador e todos os outros hosts na sub-rede vão enviar tráfego, deixando a sub-rede para o host atacante, resultando em um ataque intermediário.


    Fig. 12

    Figura 12. Conjunto de testes IPv6 do OptiView XG, listando dispositivos descobertos na rede


    O último é o relatório de encapsulamento. O encapsulamento permite ao IPv6 rodar em redes IPv4. O encapsulamento é suportado em todos os sistemas operacionais e muitas vezes pode se habilitar sozinho. O encapsulamento não é um problema em si, mas ele pode abrir suas redes para vulnerabilidades como pode operar de forma criptografada com endereçamento anônimo. Túneis, muitas vezes, passam despercebidos através de firewalls e sistemas de deteção de intrusão (IDS). Tocando na guia Tunneling, o OptiView XG irá mostrar todos os dispositivos se comunicando entre si utilizando o encapsulamento, mais o tipo de encapsulamento sendo usado.

    Ao ver o tipo de encapsulamento sendo usado, e que está sendo usado com ele, você pode avaliar o nível de risco. O encapsulamento entre dois dispositivos na rede local não é suspeito, mas utilizar o encapsulamento para se comunicar com dispositivos fora da rede poderia inferir um risco mais elevado. O encapsulamento Teredo é comumente usado para conexões em casa com a internet, fazendo um buraco no firewall e permitindo o NAT traversal.

    Se você observar um túnel local dentro de sua intranet há pouco risco, mas se você tiver um dispositivo local com um ponto de extremidade do túnel fora de sua rede, ele pode permitir o acesso à rede interna desde a intranet, que provavelmente estará desprotegida por firewalls ou sistemas de deteção de intrusão.


    Relatórios

    Além de fornecer as informações acima, o OptiView XG pode gerar relatórios destas informações para fácil armazenamento e comparação em auditorias futuras. Relatórios são fornecidos em formato PDF e HTML, com hiperlinks para facilidade de uso. Esses relatórios podem ser salvos no OptiView XG ou no PC local, usando a interface do usuário remoto.

    Segurança do OptiView XG

    O OptiView XG foi concebidl para suportar trabalhos em ambientes seguros. Contas de usuário no OptiView XG controlam o acesso para testes e informações confidenciais, como senhas armazenadas no instrumento. Cada conta pode ser configurada com o nível de acesso necessário. O controle remoto, se necessário, é fornecido através de um protocolo de comunicação proprietário usando um aplicativo de interface de usuário remoto, que pode ser instalado no computador cliente.

    Fig. 13

    Figura 13. Tela de configuração de contas de usuário OptiView XG.


    O OptiView XG também é projetado para ser um cliente seguro. Quando acessados usando a tela sensível ao toque ou a interface de gerenciamento, a porta de rede pode ser fechada para isolar a instalação do Windows no OptiView XG, evitando que seja acessado a partir da rede que está sendo monitorada. Isto elimina a possibilidade do OptiView XG estar infectado por vírus ou hackers


    O HD SSD usado pelo OptiView XG é facilmente acessível, através da remoção de dois parafusos na parte inferior da unidade. Isso permite que o profissional de segurança conduza uma auditoria completa da rede e remova o OptiView XG, deixando dados sensíveis (o disco rígido) seguros no local. Ao retornar para futuras auditorias, o disco rígido protegido simplesmente pode ser instalado no OptiView XG; os resultados da auditoria anterior podem então ser comparados com o status atual da rede.

    Alternativamente, agências do governo dos Estados Unidos e certos países do Tratado podem comprar a versão "US DOD SECURE" do OptiView XG. Este produto possui um OS e software operacional reforçados, e foi indicado para a lista de produtos aprovados com capacidade unificada do Departamento de Defesa (DoD) - UC APL, após certificação pela DISA (Agência de Sistemas de Informação de Defesa) para a garantia de interoperabilidade e informação (IA).


    Resumo dos testes de segurança OptiView XG

    TESTE / RECURSO VALOR COMENTÁRIOS
    Modificar o endereço MAC
  • Testar a segurança de controle de acesso ao MAC
  • Permite a falsificação de endereços MAC
    Login 802.1x
  • Testar a segurança 802.1x
  •  
    Protocolos
  • Encontrar aplicativos e protocolos não autorizados na rede e quem está os enviando
  • Encontrar dispositivos enviando protocolos inesperados
  • Encontrar dispositivos enviando grandes volumes de protocolos inesperados (ou seja, transmissões)
  • Encontrar tráfego IPv6
  •  
    Top Conversations
  • Determinar com quem as estações de trabalho locais estão falando
  • Encontrar as conversas IPv6
  • Nomes de rede dos dispositivos fora da rede
    Captura de pacotes
  • Recolher os pacotes para análise aprofundada (decodificação)
  • Free String Match lhe permite encontrar qualquer padrão em qualquer lugar no quadro
    Descoberta de dispositivos
  • Listagem de todos os dispositivos na rede
  • Determinar se dispositivos SNMP são acessíveis a partir da rede
  • Visibilidade além do comutador ou roteador; encontra dispositivos que não estão transmitindo
    Detalhes do dispositivo - Interfaces
  • Encontrar todas as portas ativas no comutador
  • Encontrar os dispositivos conectados a cada porta
  • Encontrar onde um dispositivo está conectado
  • Validar as configurações de segurança SNMP
  • Encontrar portas com vários dispositivos conectados

    Resumo dos testes de segurança OptiView XG(continuação)

    TESTE / RECURSO VALOR COMENTÁRIOS
    Detalhes do dispositivo - visão geral
  • Determinar o(s) nome(s) do dispositivo, protocolos suportados, suporte IPv4 e v6
  • Também consulta dispositivos fora da rede local.
    APs sem fio
  • Listar APs e determinar se eles são seguros
  • Encontrar APs não autorizados
  • Suporta 802.11 a/b/g/n/ac
    Clientes sem fio
  • Encontrar usuários desprotegidos
  • Encontrar usuários não autorizados
  • Suporta 802.11 a/b/g/n/ac
    Espectro sem fio
  • Encontrar dispositivos (fontes de interferência ou dispositivos sem fio não-802.11) operando nas 802.11 bandas (2,4 GHz e 5 GHz)
  •  
    Dispositivos IPv6
  • Determinar se os dispositivos IPv6 estão operando na rede
  • Visibilidade além do comutador ou roteador; encontra dispositivos que não estão transmitindo
    Anúncios de roteador IPv6
  • Descobrir dispositivos agindo como roteadores (potenciais dispositivos desonestos)
  •  
    Encapsulamento IPv6
  • Quem está utilizando o encapsulamento
  • Com quem eles estão falando
  •  
     
     
    Powered By OneLink