Las medidas de la seguridad de red son herramientas y tecnolog¨ªas como los firewalls y los sistemas de prevenci¨®n de intrusiones (IPS) que se a?aden a una red para proteger los datos, la voz y los v¨ªdeos almacenados o transmitidos.
Las medidas de seguridad de red son los controles de seguridad que usted a?ade a sus redes para proteger la confidencialidad, la integridad y la disponibilidad. Estos controles contin¨²an evolucionando, pero hay muchos conocimientos b¨¢sicos que son f¨¢cilmente accesibles. Cuesta cierto esfuerzo mantener a los atacantes fuera de su red. Los firewalls, proxies y gateways trabajan con ese objetivo.
Es peligroso dar por hecho que esos dispositivos son suficientes para mantener a los atacantes completamente fuera de su red. Los hackers siempre encuentran la forma. Un hacker famoso, Kevin?Mitnick, cuando lanza pruebas de penetraci¨®n contra las empresas que le han contratado para evaluar la seguridad de su red.
Siempre hay una forma de entrar. La seguridad necesita un trabajo continuo para aprender, evolucionar e ir por delante de los hackers. Tambi¨¦n es vital contar con planes y equipos de respuesta ante incidentes cuando los hackers consiguen entrar.
Un firewall bloquea o permite el paso al tr¨¢fico. El tr¨¢fico al que se le permite pasar por un firewall est¨¢ especificado en su configuraci¨®n seg¨²n el tipo de tr¨¢fico que una empresa tiene y necesita. La pr¨¢ctica recomendada de seguridad m¨¢s importante con un firewall es que deber¨ªa bloquear todo el tr¨¢fico de forma predeterminada. Por tanto, deber¨ªa estar configurado para permitir ¨²nicamente el tr¨¢fico concreto de servicios conocidos.?La configuraci¨®n del firewall es fundamental, as¨ª que el conocimiento del administrador del firewall es vital.
Los firewalls operan en las diferentes capas del modelo de interconexi¨®n de sistemas abiertos de la Organizaci¨®n Internacional de Normalizaci¨®n (ISO?OSI, por sus siglas en ingl¨¦s). Normalmente, cualquier herramienta llamada firewall se sit¨²a entre las capas?2?y?5. Si el firewall est¨¢ en la capa?7, se llama proxy o gateway. La excepci¨®n es un firewall de aplicaciones web (WAF, por sus siglas en ingl¨¦s), que utiliza la palabra firewall y est¨¢ en la capa?7. Un firewall analiza la informaci¨®n que encuentra en la capa del modelo OSI en la que trabaja.
Aqu¨ª tenemos unos ejemplos de c¨®mo un firewall podr¨ªa operar en las diferentes capas:
?
Un firewall se configura mediante una lista de reglas que a veces se llaman pol¨ªticas. El firewall utiliza esta lista de reglas para determinar qu¨¦ hacer con el tr¨¢fico una vez que llega al firewall. Las reglas funcionan con una perspectiva vertical de arriba abajo.
El firewall compara el marco o el paquete que recibe con la primera regla en la lista. Si concuerda con el tipo de tr¨¢fico de esa regla, sigue las instrucciones de dicha regla. Una regla podr¨ªa decir que el tr¨¢fico puede pasar o que se debe bloquear o descartar.
Si el marco o paquete no concuerda con la primera regla, el firewall lo compara con la segunda, etc. Si el tr¨¢fico no concuerda con ninguna de las reglas definidas de forma expl¨ªcita, el firewall seguir¨¢ la regla final la cual deber¨ªa ser descartar el tr¨¢fico.
Un firewall de proxy se sit¨²a en la capa?7 del modelo OSI. Cuando un proxy recibe tr¨¢fico, procesa el marco o el paquete a trav¨¦s de las capas. Por ejemplo, si el marco se quita en la capa?2, el encabezado del paquete se quita en la capa?3 y as¨ª hasta que solo queden los datos en la capa?7.
La conexi¨®n de la seguridad de la capa de transporte (TLS, por sus siglas en ingl¨¦s) se termina en la capa?4 y los datos en el proxy son un texto claro desde ese punto en adelante. Despu¨¦s el proxy analiza los datos que se est¨¢n transmitiendo, lo cual hubiera sido imposible en niveles m¨¢s bajos debido al cifrado. Esto permite que el dispositivo analice muchos m¨¢s datos que un firewall est¨¢ndar. Normalmente necesita m¨¢s tiempo o potencia de procesamiento que un firewall, pero ofrece mucho m¨¢s control sobre el tr¨¢fico del usuario.
El t¨¦rmino gateway tiene diferentes significados seg¨²n a qui¨¦n le pregunte. Tradicionalmente un gateway es una porci¨®n de hardware que se encuentra entre dos redes. Hoy en d¨ªa un gateway normalmente tiene un elemento de firewall en ella. Por ejemplo, Microsoft?Azure tiene un WAF en su gateway. Por tanto, ahora un gateway podr¨ªa ser un tipo de firewall.
Lo siguiente es detectar intrusiones en una red mediante los sistemas de detecci¨®n de intrusiones (IDS, por sus siglas en ingl¨¦s). Estos dispositivos son pasivos. Vigilan el tr¨¢fico de la red y registran el tr¨¢fico sospechoso. Un IDS podr¨ªa estar en la red o en el dispositivo final. Seg¨²n d¨®nde se encuentre se puede llamar IDS basado en la red (NIDS) o IDS basado en host (HIDS).
Un NIDS normalmente est¨¢ conectado a un pulsador o un puerto espejo de un conmutador. Esto quiere decir que el tr¨¢fico llega a su destino sin ninguna interferencia y se env¨ªa una copia al puerto espejo del NIDS para que lo analice. Si es un HIDS, se encuentra en un equipo port¨¢til, una tableta, un servidor, etc. La mayor¨ªa de los HIDS no analizan el tr¨¢fico en directo, si no que analizan los registros de tr¨¢fico despu¨¦s de que ocurran.
En alg¨²n punto, los fabricantes llevaron estos dispositivos al siguiente nivel. Si pueden detectar un ataque, ?por qu¨¦ no descartar paquetes o marcos sospechosos en el dispositivo en vez de simplemente informar de ello? As¨ª es como nacieron los sistema de prevenci¨®n de intrusiones (IPS, por sus siglas en ingl¨¦s). Los IPS tambi¨¦n pueden basarse en la red (NIPS) o en host (HIPS).
Es una idea maravillosa, pero tiene un inconveniente. El IPS debe saber qu¨¦ es tr¨¢fico bueno y qu¨¦ no lo es. Puede hacerse mediante archivos de firmas o puede aprenderlo.
Lo siguiente es tratar la protecci¨®n de los datos, la voz o el v¨ªdeo que se transmiten a cualquier lado y en los que alguien podr¨ªa inmiscuirse. Esto se incluye en una red dom¨¦stica o corporativa y tambi¨¦n fuera de esas redes como a trav¨¦s de Internet o en la red de un proveedor de servicio.
El cifrado trata este problema al hacer que los datos no se puedan leer sin la clave. Para los datos en tr¨¢nsito hay unas pocas opciones para su cifrado. Son las siguientes:
SSL/TSL se ha utilizado desde?1995 para proteger las conexiones basadas en buscador. Netscape invent¨® la SSL. Las versiones?2.0?y?3.0 estuvieron en uso hasta que lo adquiri¨® el Grupo de Trabajo de Ingenier¨ªa en Internet (IETF) y le cambi¨® el nombre. Esto tuvo lugar en?1999 cuando America?Online (AOL) compr¨® Netscape. Ahora TLS?1.3 (RFC?8446) es la versi¨®n m¨¢s reciente. TLS no solo se usa para las conexiones basadas en buscador. Tambi¨¦n se utiliza en la conexi¨®n VPN de un usuario con la oficina.
SSL/TSL es un protocolo de la capa de transporte que utiliza el puerto?443 del TCP cuando se aplica a las conexiones del buscador.
SSH es un m¨¦todo de cifrado que suele utilizarse para la capacidad de acceso remoto. Los administradores de la red utilizan el SSH para acceder y administrar de forma remota dispositivos de la red como enrutadores y conmutadores. Se piensa en ello como un reemplazo de Telnet, el cual es un protocolo de acceso remoto de la capa?7 que no est¨¢ cifrado, aunque tambi¨¦n se puede utilizar para las conexiones VPN. El SSH se especifica en el RFC?4253 del IETF. Utiliza el puerto?22 del TCP.
IPsec es un protocolo de las capas de la red que le otorga la capacidad del cifrado y de la verificaci¨®n de la integridad a cualquier tipo de conexi¨®n. Hay muchos documentos RFC del IETF diferentes que especifican las diferentes partes de lo que se considera el IPsec. RFC?6071 ofrece un mapa de ruta que muestra c¨®mo estos documentos se relacionan entre ellos.
IPsec proporciona dos protocolos de seguridad: authentication header (AH) y encapsulating security payload (ESP).
La protecci¨®n de la propiedad intelectual (PI) contin¨²a siendo una preocupaci¨®n. En la PI se incluyen los manuales, procesos, documentos de dise?o, datos de desarrollo e investigaci¨®n, etc. Hay dos grandes problemas. El primero es que la informaci¨®n que contiene siga siendo confidencial y el segundo es asegurar que la informaci¨®n solo la puedan ver aquellos que quiere que la vean. La clasificaci¨®n de datos y el control de acceso son dos de las muchas cosas que se utilizan para controlar el acceso de forma apropiada.
Las preocupaciones sobre las filtraciones de los datos desde su empresa se pueden controlar mediante la tecnolog¨ªa de prevenci¨®n de filtraci¨®n de datos (DLP, por sus siglas en ingl¨¦s). Busca informaci¨®n confidencial en flujos de datos como los emails o las transferencias bancarias.
Si el software DLP ve informaci¨®n confidencial como un n¨²mero de una tarjeta de cr¨¦dito, bloquea o detiene la transmisi¨®n. Tambi¨¦n puede cifrarlo, si esa fuese una opci¨®n m¨¢s apropiada. La pregunta es qu¨¦ quiere controlar su empresa y c¨®mo quiere que la red responda cuando el software DLP detecta los datos.
DRM utiliza la tecnolog¨ªa para controlar el acceso a la PI. Si ha utilizado Kindle, iTunes, Spotify, Netflix o Amazon?Prime?Video, ha utilizado un software DRM. El software le permite ver el v¨ªdeo, leer el libro o escuchar la m¨²sica una vez que la ha adquirido del proveedor. Un ejemplo de empresa ser¨ªa Cisco, que controla el acceso a los manuales de los cursos una vez que el cliente adquiere la clase.
Javelin y LockLizard son otros ejemplos de la tecnolog¨ªa DRM que las empresas pueden utilizar para controlar la distribuci¨®n de contenido. La tecnolog¨ªa utiliza un control de acceso que determina cu¨¢nto tiempo se puede utilizar el contenido, si se puede imprimir, si se puede compartir, etc. Los par¨¢metros se basan en los deseos del due?o de la PI.
Probablemente la medida de seguridad m¨¢s importante que una empresa puede utilizar incluya la correcci¨®n y detecci¨®n de problemas de seguridad. El punto de inicio es el registro. Virtualmente, todos los sistemas en o adjuntos a una red deber¨ªan generar registros.
Una empresa determina qu¨¦ registrar exactamente. Esto puede incluir intentos de registro, flujos de tr¨¢fico, paquetes, acciones tomadas o cada pulsaci¨®n de tecla que realiza un usuario. La decisi¨®n sobre qu¨¦ registrar deber¨ªa tomarse en consecuencia con las probabilidades de riesgo de una empresa, la confidencialidad de los activos y las vulnerabilidades de los sistemas.
Todos estos sistemas deber¨ªan generar registros:
Sistemas en la red
Sistemas conectados a la red
?
Esto tiene como resultado un gran n¨²mero de eventos registrados. Para que todos estos datos tengan sentido es necesario enviar los registros, los cuales tambi¨¦n son auditor¨ªas, a una ubicaci¨®n central como un servidor syslog. Una vez que los registros est¨¢n en el servidor syslog, un sistema de gesti¨®n de eventos e informaci¨®n de seguridad (SIEM) los analiza.
Un SIEM es una herramienta que analiza los registros de todos los sistemas y correlaciona los eventos. Busca indicaciones de compromiso (IoC, por sus siglas en ingl¨¦s). Un IoC no siempre es una prueba de un evento real, por lo que lo tienen que analizar humanos. Aqu¨ª es donde un centro de operaciones de seguridad y un equipo de respuesta ante incidentes (SOC e IRT, por sus siglas en ingl¨¦s) deben determinar cu¨¢les son los siguientes pasos.
Art¨ªculos relacionados