Las medidas para la seguridad de redes son las herramientas y tecnologías como firewalls y los Intrusion Prevention Systems (IPS) que se agregan a una red para proteger datos, voz y video almacenados o transmitidos.
Las medidas para la seguridad de redes son los controles de seguridad que agrega a sus redes para proteger la confidencialidad, integridad y disponibilidad. Estos controles continúan evolucionando, pero hay mucho conocimiento fundamental que está disponible. Toma esfuerzo mantener fuera de la red a los atacantes. Firewalls, proxies y gateways son algunas de las herramientas que se usan para este fin.
Es peligroso asumir que estos dispositivos bloquearán por completo a los atacantes de su red. Los hackers eventualmente encuentran una entrada. Un hacker conocido, Kevin Mitnick, dice que tiene un porcentaje de éxito del 100% al realizar pruebas de penetración contra empresas que lo han contratado para evaluar la seguridad de sus redes.
Siempre hay una forma de entrar. La seguridad requiere de trabajo continuo para aprender, evolucionar y mantenerse un paso adelante de los hackers. También es crítico contar con planes y equipos de respuesta a incidentes cuando los hackers logren encontrar un punto de entrada.
Un firewalls bloquea o permite el paso del tráfico. El tráfico al que se le permite el paso a través de un firewall está específicado en su configuración, basado en el tipo de tráfico que un negocio tiene y necesita. La mejor práctica de seguridad más importante con un firewall es que debe de bloquear por defecto todo el tráfico. Debe entonces configurarse para solamente permitir el paso de tráfico específico hacia servicios conocidos. La configuración del firewall es crítica, por lo que el conocimiento del administrador del firewall es crucial.
Los firewalls operan en distintas capas dentro del modelo de International Standards Organization Open System Interconnect (ISO OSI). Usualmente, cualquier cosa llamada firewall vive en las capas 2 a la 5. Si el firewall se encuentra en la capa 7, entonces se le refiere como un proxy o un gateway. La excepción es un web application firewall (WAF), el cual usa la palabra firewall y se encuentra en el nivel 7. Un firewall analiza la información que se encuentra en la capa del modelo OSI donde funciona.
Estos son algunos ejemplos de cómo un firewall puede operar en distintas capas:
Un firewall se configura con una lista de reglas a las que a veces se les refiere como políticas. El firewall usa esta lista de reglas para determinar qué hacer con el tráfico una vez que llega al firewall. Las reglas funcionan desde una perspectiva de arriba hacia abajo.
El firewall compara el marco o paquete que acaba de recibir con la primera regla de la lista. Si concuerda el tipo de tráfico de esa regla, sigue las instrucciones para esa regla. Una regla podría decir que el tráfico puede pasar o que debería de ser bloqueado y descartado.
Si el marco o el paquete no concuerda con la primera regla, el firewall hace la comparación con la segunda y así se sigue. Si el tráfico no concuerda con una de las reglas definidas explícitamente, el firewall seguirá la última regla, la cual dicta que se debe descartar el tráfico.
Un firewall proxy vive en la capa 7 del modelo OSI. Cuando un proxy recibe tráfico, procesa el marco o paquete a través de las capas. Por ejemplo, si el marco se elimina en la capa 2, los headers del paquete se eliminan en la capa 3 y así hasta que solamente existan los datos en la capa 7.
La conexión TLS (transport layer security) se finaliza en la capa 4, y los datos están en texto claro dentro del proxy a partir de ese punto. El proxy entonces analiza los datos que se están transmitiendo, lo cual habría sido imposible en niveles más bajos debido a la encripción. Esto permite que el dispositivo analice muchos más datos que un firewall estándar. Esto usualmente toma más tiempo o poder de procesamiento que un firewall pero da mucho más control sobre el tráfico de usuarios.
El término gateway tiene diferentes significados dependiendo de con quién se esté hablando. Un gateway era tradicionalmente una pieza de hardware que se encontraba entre dos redes. El gateway promedio todavía cuenta con un elemento de firewall. Por ejemplo, Microsoft Azure tiene un WAF integrado a su gateway. Entonces, se podría argumentar que un gateway es un tipo de firewall.
El siguiente tema es detectar las intrusiones a una red usando Intrusion Detection Systems (IDSs). Estos dispositivos son pasivos. Miran pasar al tráfico de la red y registran el tráfico sospechoso. Un IDS podría encontrarse en la red o en el dispositivo final. Dependiendo en dónde se encuentre, se le llama un network-based IDS (NIDS) o host-based IDS (HIDS).
Un NIDS usualmente se conecta al puerto tap o span de un switch. Esto significa que el tráfico pasa a su destino sin interferencia y una copia va hacia el puerto span del NIDS para su análisis. Si se trata de un HIDS, reside en la laptop, tableta, servidor, etc. La mayoría de los HIDS no analizan el tráfico vivo, pero sí analizan los logs resultantes del tráfico.
En algún punto, los fabricantes llevaron estos dispositivos al siguiente nivel. Si pueden detectar un ataque, por qué no solamente detener a los marcos o paquetes sospechosos en el dispositivo en lugar de solamente reportarlo. Así es como surgieron los sistemas de prevención de intrusiones (IPS). Los IPSs también pueden estar basados en la red (NIPS) o en el host (HIPS).
Esta es una idea maravillosa, pero tiene una desventaja. El IPS debe conocer qué es y que no es tráfico “bueno”. Esto se puede hacer con archivos de firmas o puede aprender.
El siguiente tema es abordar cómo se protegen los datos, voz o video que se transmiten de cualquier forma en que alguien no deseado pueda estar escuchando. Esto incluye dentro de una red empresarial o doméstica y fuera de ellas, como en el internet o en la red de un proveedor de servicios.
La encripción aborda este tema haciendo que sea imposible leer los datos a menos de que se cuente con la clave. Para los datos en tránsito, hay algunas opciones para encriptar. Estas son las siguientes:
SSL/TLS ha estado en uso desde 1995 para proteger las conexiones basadas en navegadores. Netscape inventó SSL. Las versiones 2.0 y 3.0 se encontraron en uso hasta que la Internet Engineering Task Force (IETF) las adoptó y les dio un nuevo nombre. Esto ocurrió en 1999 cuando America Online (AOL) compró a Netscape. Ahora TLS 1.3 (RFC 8446) es la última versión. TLS no solamente se usa para conexiones basadas en navegadores. También se usan para una conexión de un usuario de una VPN para conectarse a la oficina.
SSL/TLS es un protocolo en la capa de transporte que usa el puerto TCP 443 cuando se aplica a las conexiones en navegador.
SSH es un método de encripción comúnmente usado para las capacidades de inicio de sesión remota. Los administradores de la red usan SSH para iniciar sesión y administrar dispositivos de la red como routers y switches. Generalmente se le piensa como un repuesto para Telnet, el cual es un protocolo de inicio de sesión remota de la capa 7 que no está encriptado, aunque también puede usarse para conexiones VPN. SSH se especifica en IETF RFC 4253. Usa TCP puerto 22.
IPsec es un protocolo de la capa de la red que brinda capacidades de encripción y revisión de integridad a cualquier tipo de conexión. Existen muchos documentos IETF RFC diferentes que especifican las diferentes partes de lo que se considera como IPsec. RFC 6071 ofrece una ruta crítica que muestra cómo se relacionan estos documentos entre ellos.
IPsec ofrece dos protocolos de seguridad: authentication header (AH) y encapsulating security payload (ESP).
La protección de la propiedad intelectual (IP) continúa siendo un tema de preocupación. La IP incluye manuales, procesos, documentos de diseño, datos de investigación y desarrollo, etc. Hay dos temas grandes aquí. El primero es mantener contenida la información confidencial y el segundo es asegurarse de que la información sólo puede ser vista por quien debe de ser vista. La clasificación y control de accesos son dos de muchas de las cosas que se usan para controlar los accesos de forma apropiada.
Las preocupaciones acerca de los datos que salen de su negocio de manera inapropiada pueden controlarse por medio de tecnología de data leak prevention (DLP). Busca información sensible en los flujos de datos como emails o transferencias de archivos.
Si el software DLP ve información sensible como el número de una tarjeta de crédito, bloquea o detiene la transmisión. También puede encriptar si esa llegara a ser una opción más apropiada. La pregunta reside en lo que su negocio quiere controlar y cómo quiere que responda la red cuando el software DLP detecte esos datos.
El DRM usa la tecnología para controlar el acceso a la IP. Si alguna vez ha usado Kindle, iTunes, Spotify, Netflix, or Amazon Prime Video, ha usado software DRM. Una vez que lo ha adquirido con el vendor, el software le permite ver el video, leer el libro o escuchar la música.. Un ejemplo de negocio es Cisco controlando los accesos a los materiales de sus cursos una vez que un cliente adquiere una clase.
Javelin y LockLizard son otros ejemplos de tecnología DRM que los negocios pueden usar para controlar la distribución de contenidos. La tecnología DRM usa control de accesos que determina por cuánto tiempo alguien puede usar el contenido, si puede imprimirse, si puede compartirse, etc. Los parámetros se basan en los deseos del dueño de la IP.
Posiblemente, las medidas de seguridad más críticas que puede colocar un negocio involucran la detección y corrección de temas de seguridad. El punto de inicio es el logging. Prácticamente todos los sistemas dentro de o conectados a una red deben de generar logs.
Lo que se registra lo determina el mismo negocio. Esto podría incluir intentos de inicio de sesión, flujos de tráfico, paquetes, acciones tomadas o incluso cada tecleo que hace un usuario. La decisión de qué se debe registrar debe basarse en el apetito de riesgo del negocio, la sensibilidad de los activos y las vulnerabilidades de los sistemas.
Todos estos sistemas deben de generar logs:
Sistemas en la red
Sistemas conectados a la red
Esto resulta en un gran número de eventos registrados. Para hacer sentido de todos estos datos, es necesario mandar los logs, los cuales también son rastros para auditorías, a una ubicación central como un servidor syslog. Una vez que los logs se encuentran en el servidor syslog, son analizados por un SIEM (security information event manager).
Un SIEM es una herramienta que analiza los logs de todos los sistemas y correlaciona los eventos. Busca indicaroes de compromiso (IOC). Un IOC no siempre representa evidencia de un evento malicioso, por lo que debe de ser analizado por personas. Aquí es donde un SOC (security operation center) y un equipo de respuesta a incidentes (IRT) deben determinar cuáles son los siguientes pasos.