OWISAM-HS-003

From OWISAM
Jump to: navigation, search

Pruebas de encapsulación de tráfico con el exterior (OWISAM-HS-003)

Descripción

Se debe verificar que a los usuarios que acceden al portal cautivo no se les permite llevar a cabo ningún tipo de encapsulación de tráfico al exterior, ya sea explotando débilidades de la interfaz web o mediante la utilización de protocolos a nivel de capa de aplicación como DNS (DNS tunneling), para realizar comunicaciones con el exterior evitando el proceso de autenticación.

Un usuario que aproveche un error en el filtrado de datos podría llegar a acceder a recursos externos sin necesidad de tener credenciales de acceso válidas.


Prueba

Realizar envío de paquetes ICMP contra un sistema externo y analizar mediante el uso de un sniffer si el tráfico llega a su destino. También se deben realizar consultas DNS evaluando si es posible resolver un sistema externo.

Las herramientas referenciadas en este apartado pueden ayudar a encapsular el tráfico de red.


Recomendaciones

Asignar al usuario una vlan aislada sin conexión con redes externas. El servicio DNS encargado de ofrecer resolución de nombres al usuario conectado a la red Wi-Fi únicamente debe resolver nombres internos, no permitiendo realizar consultas DNS al exterior.


Referencias