¿Cuáles son las medidas de la seguridad de red?

Las medidas de la seguridad de red son herramientas y tecnologías como los firewalls y los sistemas de prevención de intrusiones (IPS) que se añaden a una red para proteger los datos, la voz y los vídeos almacenados o transmitidos.

Medidas de seguridad de red

Las medidas de seguridad de red son los controles de seguridad que usted añade a sus redes para proteger la confidencialidad, la integridad y la disponibilidad. Estos controles continúan evolucionando, pero hay muchos conocimientos básicos que son fácilmente accesibles. Cuesta cierto esfuerzo mantener a los atacantes fuera de su red. Los firewalls, proxies y gateways trabajan con ese objetivo.

Es peligroso dar por hecho que esos dispositivos son suficientes para mantener a los atacantes completamente fuera de su red. Los hackers siempre encuentran la forma. Un hacker famoso, Kevin Mitnick, dice tener un éxito del 100 % cuando lanza pruebas de penetración contra las empresas que le han contratado para evaluar la seguridad de su red.

Siempre hay una forma de entrar. La seguridad necesita un trabajo continuo para aprender, evolucionar e ir por delante de los hackers. También es vital contar con planes y equipos de respuesta ante incidentes cuando los hackers consiguen entrar.

Firewall

Un firewall bloquea o permite el paso al tráfico. El tráfico al que se le permite pasar por un firewall está especificado en su configuración según el tipo de tráfico que una empresa tiene y necesita. La práctica recomendada de seguridad más importante con un firewall es que debería bloquear todo el tráfico de forma predeterminada. Por tanto, debería estar configurado para permitir únicamente el tráfico concreto de servicios conocidos. La configuración del firewall es fundamental, así que el conocimiento del administrador del firewall es vital.

Los firewalls operan en las diferentes capas del modelo de interconexión de sistemas abiertos de la Organización Internacional de Normalización (ISO OSI, por sus siglas en inglés). Normalmente, cualquier herramienta llamada firewall se sitúa entre las capas 2 y 5. Si el firewall está en la capa 7, se llama proxy o gateway. La excepción es un firewall de aplicaciones web (WAF, por sus siglas en inglés), que utiliza la palabra firewall y está en la capa 7. Un firewall analiza la información que encuentra en la capa del modelo OSI en la que trabaja.

Aquí tenemos unos ejemplos de cómo un firewall podría operar en las diferentes capas:

  • Capa 2 (enlace de datos): podría suponer una decisión de bloqueo o de acceso según la dirección del control de acceso multimedia (MAC, por sus siglas en inglés) del marco.
  • Capa 3 (red): podría suponer una decisión de bloqueo o de acceso según la dirección del protocolo de Internet (IP, por sus siglas en inglés) del paquete.
  • Capa 4 (transporte): podría suponer una decisión de bloqueo o de acceso según el número de puerto del protocolo de control de transmisión (TCP, por sus siglas en inglés) en el datagrama.
  • Capa 5 (sesión): podría suponer una decisión de bloqueo o de acceso según la información del protocolo a tiempo real (RTP, por sus siglas en inglés).
  • Capa 7 (datos): podría suponer una decisión de bloqueo o de acceso según la aplicación o el servicio de la aplicación.

 

Un firewall se configura mediante una lista de reglas que a veces se llaman políticas. El firewall utiliza esta lista de reglas para determinar qué hacer con el tráfico una vez que llega al firewall. Las reglas funcionan con una perspectiva vertical de arriba abajo.

El firewall compara el marco o el paquete que recibe con la primera regla en la lista. Si concuerda con el tipo de tráfico de esa regla, sigue las instrucciones de dicha regla. Una regla podría decir que el tráfico puede pasar o que se debe bloquear o descartar.

Si el marco o paquete no concuerda con la primera regla, el firewall lo compara con la segunda, etc. Si el tráfico no concuerda con ninguna de las reglas definidas de forma explícita, el firewall seguirá la regla final la cual debería ser descartar el tráfico.

Proxy

Un firewall de proxy se sitúa en la capa 7 del modelo OSI. Cuando un proxy recibe tráfico, procesa el marco o el paquete a través de las capas. Por ejemplo, si el marco se quita en la capa 2, el encabezado del paquete se quita en la capa 3 y así hasta que solo queden los datos en la capa 7.

La conexión de la seguridad de la capa de transporte (TLS, por sus siglas en inglés) se termina en la capa 4 y los datos en el proxy son un texto claro desde ese punto en adelante. Después el proxy analiza los datos que se están transmitiendo, lo cual hubiera sido imposible en niveles más bajos debido al cifrado. Esto permite que el dispositivo analice muchos más datos que un firewall estándar. Normalmente necesita más tiempo o potencia de procesamiento que un firewall, pero ofrece mucho más control sobre el tráfico del usuario.

Gateway

El término gateway tiene diferentes significados según a quién le pregunte. Tradicionalmente un gateway es una porción de hardware que se encuentra entre dos redes. Hoy en día un gateway normalmente tiene un elemento de firewall en ella. Por ejemplo, Microsoft Azure tiene un WAF en su gateway. Por tanto, ahora un gateway podría ser un tipo de firewall.

Sistemas de detección y prevención de intrusiones

Lo siguiente es detectar intrusiones en una red mediante los sistemas de detección de intrusiones (IDS, por sus siglas en inglés). Estos dispositivos son pasivos. Vigilan el tráfico de la red y registran el tráfico sospechoso. Un IDS podría estar en la red o en el dispositivo final. Según dónde se encuentre se puede llamar IDS basado en la red (NIDS) o IDS basado en host (HIDS).

Un NIDS normalmente está conectado a un pulsador o un puerto espejo de un conmutador. Esto quiere decir que el tráfico llega a su destino sin ninguna interferencia y se envía una copia al puerto espejo del NIDS para que lo analice. Si es un HIDS, se encuentra en un equipo portátil, una tableta, un servidor, etc. La mayoría de los HIDS no analizan el tráfico en directo, si no que analizan los registros de tráfico después de que ocurran.

En algún punto, los fabricantes llevaron estos dispositivos al siguiente nivel. Si pueden detectar un ataque, ¿por qué no descartar paquetes o marcos sospechosos en el dispositivo en vez de simplemente informar de ello? Así es como nacieron los sistema de prevención de intrusiones (IPS, por sus siglas en inglés). Los IPS también pueden basarse en la red (NIPS) o en host (HIPS).

Es una idea maravillosa, pero tiene un inconveniente. El IPS debe saber qué es tráfico bueno y qué no lo es. Puede hacerse mediante archivos de firmas o puede aprenderlo.

Red privada virtual (VPN, por sus siglas en inglés)

Lo siguiente es tratar la protección de los datos, la voz o el vídeo que se transmiten a cualquier lado y en los que alguien podría inmiscuirse. Esto se incluye en una red doméstica o corporativa y también fuera de esas redes como a través de Internet o en la red de un proveedor de servicio.

El cifrado trata este problema al hacer que los datos no se puedan leer sin la clave. Para los datos en tránsito hay unas pocas opciones para su cifrado. Son las siguientes:

  • Capa de sockets seguros (SSL)/Seguridad de la capa de trasporte (TLS)
  • Secure Shell (SSH)
  • Internet Protocol Security (IPsec)

SSL/TLS

SSL/TSL se ha utilizado desde 1995 para proteger las conexiones basadas en buscador. Netscape inventó la SSL. Las versiones 2.0 y 3.0 estuvieron en uso hasta que lo adquirió el Grupo de Trabajo de Ingeniería en Internet (IETF) y le cambió el nombre. Esto tuvo lugar en 1999 cuando America Online (AOL) compró Netscape. Ahora TLS 1.3 (RFC 8446) es la versión más reciente. TLS no solo se usa para las conexiones basadas en buscador. También se utiliza en la conexión VPN de un usuario con la oficina.

SSL/TSL es un protocolo de la capa de transporte que utiliza el puerto 443 del TCP cuando se aplica a las conexiones del buscador.

SSH

SSH es un método de cifrado que suele utilizarse para la capacidad de acceso remoto. Los administradores de la red utilizan el SSH para acceder y administrar de forma remota dispositivos de la red como enrutadores y conmutadores. Se piensa en ello como un reemplazo de Telnet, el cual es un protocolo de acceso remoto de la capa 7 que no está cifrado, aunque también se puede utilizar para las conexiones VPN. El SSH se especifica en el RFC 4253 del IETF. Utiliza el puerto 22 del TCP.

IPsec

IPsec es un protocolo de las capas de la red que le otorga la capacidad del cifrado y de la verificación de la integridad a cualquier tipo de conexión. Hay muchos documentos RFC del IETF diferentes que especifican las diferentes partes de lo que se considera el IPsec. RFC 6071 ofrece un mapa de ruta que muestra cómo estos documentos se relacionan entre ellos.

IPsec proporciona dos protocolos de seguridad: authentication header (AH) y encapsulating security payload (ESP).

  • El AH se utiliza para proporcionar una autenticación e integridad del origen de los datos. Una implementación IPsec no tiene por qué ser compatible con el AH. El AH cifra el encabezado del paquete IP.
  • Todas las implementaciones IPsec deben ser compatibles con el ESP, lo cual ofrece una autenticación, integridad y confidencialidad del origen de los datos. El ESP cifra la carga del paquete IP.

Prevención de filtración de datos y gestión de derechos digitales

La protección de la propiedad intelectual (PI) continúa siendo una preocupación. En la PI se incluyen los manuales, procesos, documentos de diseño, datos de desarrollo e investigación, etc. Hay dos grandes problemas. El primero es que la información que contiene siga siendo confidencial y el segundo es asegurar que la información solo la puedan ver aquellos que quiere que la vean. La clasificación de datos y el control de acceso son dos de las muchas cosas que se utilizan para controlar el acceso de forma apropiada.

Las preocupaciones sobre las filtraciones de los datos desde su empresa se pueden controlar mediante la tecnología de prevención de filtración de datos (DLP, por sus siglas en inglés). Busca información confidencial en flujos de datos como los emails o las transferencias bancarias.

Si el software DLP ve información confidencial como un número de una tarjeta de crédito, bloquea o detiene la transmisión. También puede cifrarlo, si esa fuese una opción más apropiada. La pregunta es qué quiere controlar su empresa y cómo quiere que la red responda cuando el software DLP detecta los datos.

DRM utiliza la tecnología para controlar el acceso a la PI. Si ha utilizado Kindle, iTunes, Spotify, Netflix o Amazon Prime Video, ha utilizado un software DRM. El software le permite ver el vídeo, leer el libro o escuchar la música una vez que la ha adquirido del proveedor. Un ejemplo de empresa sería Cisco, que controla el acceso a los manuales de los cursos una vez que el cliente adquiere la clase.

Javelin y LockLizard son otros ejemplos de la tecnología DRM que las empresas pueden utilizar para controlar la distribución de contenido. La tecnología utiliza un control de acceso que determina cuánto tiempo se puede utilizar el contenido, si se puede imprimir, si se puede compartir, etc. Los parámetros se basan en los deseos del dueño de la PI.

Registros, supervisión y SIEM

Probablemente la medida de seguridad más importante que una empresa puede utilizar incluya la corrección y detección de problemas de seguridad. El punto de inicio es el registro. Virtualmente, todos los sistemas en o adjuntos a una red deberían generar registros.

Una empresa determina qué registrar exactamente. Esto puede incluir intentos de registro, flujos de tráfico, paquetes, acciones tomadas o cada pulsación de tecla que realiza un usuario. La decisión sobre qué registrar debería tomarse en consecuencia con las probabilidades de riesgo de una empresa, la confidencialidad de los activos y las vulnerabilidades de los sistemas.

Todos estos sistemas deberían generar registros:

Sistemas en la red

  • Enrutadores y conmutadores
  • IDS e IPS
  • Firewalls


Sistemas conectados a la red

  • Servidores
  • Equipos portátiles
  • Cámaras
  • Dispositivos de escritorio y teléfonos móviles
  • Bases de datos
  • Dispositivos del Internet de las cosas (IoT)

 

Esto tiene como resultado un gran número de eventos registrados. Para que todos estos datos tengan sentido es necesario enviar los registros, los cuales también son auditorías, a una ubicación central como un servidor syslog. Una vez que los registros están en el servidor syslog, un sistema de gestión de eventos e información de seguridad (SIEM) los analiza.

Un SIEM es una herramienta que analiza los registros de todos los sistemas y correlaciona los eventos. Busca indicaciones de compromiso (IoC, por sus siglas en inglés). Un IoC no siempre es una prueba de un evento real, por lo que lo tienen que analizar humanos. Aquí es donde un centro de operaciones de seguridad y un equipo de respuesta ante incidentes (SOC e IRT, por sus siglas en inglés) deben determinar cuáles son los siguientes pasos.

Artículos relacionados