Seguridad de red: fundamentos
¿Es la primera vez que aborda la seguridad de red? Antes de que se pierda entre bits y bytes, eche un vistazo a este repaso de Stephen Northcutt del Instituto SANS.
Hay exactamente dos claves que tener en cuenta en el área de la Seguridad de la Información: primero, configure el sistema y la red correctamente y manténgalo así. Como es imposible hacerlo perfectamente, la segunda clave es conocer el tráfico que entra y sale de la red. De esta forma, si algo terrible sucede podrá detectarlo. Por tanto, todas las tareas que hay que hacer en cuando a la seguridad de red se engloban en estas tres:
1. Protección: configurar nuestros sistemas y redes lo más correctamente posible.
2. Detección: identificar si la configuración ha cambiado o si el tráfico de red indica que existe un problema.
3. Reacción: después de identificarlo rápidamente, responderemos a cualquier problema y volveremos al estado “seguro” lo más rápidamente posible.
Defensa a fondo
Como no podemos alcanzar la seguridad total, tenemos que aceptar un cierto nivel de riesgo. El riesgo se define como la probabilidad de que una amenaza se convierta en vulnerabilidad. Es difícil calcular el riesgo, pero conseguiremos hacernos una idea si evaluamos nuestra superficie de ataque, la exposición y las vulnerabilidades que tenemos y que pueden ser aprovechadas por otros. Un escáner o test de vulnerabilidades nos ayuda a medir o definir nuestra superficie de ataque. Una cosa que podemos hacer para reducir nuestro riesgo y mejorar nuestras posibilidades de supervivencia es utilizar múltiples defensas. Hay cinco arquitecturas básicas para desarrollar las defensas en profundidad:
1. El método uniforme de protección a fondo para la defensa implica generalmente que un firewall separe la zona interna de confianza del resto de Internet. La mayoría de implementación tienen un antivirus en el almacén de correo y más en los servidores y equipos de sobremesa. Generalmente significa que todos los hosts internos reciben el mismo nivel de protección contra ataques por parte de la infraestructura de red. Es la arquitectura más habitual y más fácil de implementar; y también la menos eficiente en cuanto al grado de seguridad de la información, a menos que todos los activos informativos de la organización tengan exactamente el mismo nivel de importancia.
2. Protección de enclaves: simplemente consiste en subdividir la red interna para que no haya una única gran zona sin protecciones internas. Esto se puede hacer mediante cortafuegos, VPNs, VLANs y Network Access Control.
3. Centrado en la información: Grace Hopper, una famosa investigadora informática, decía “algún día en el balance de resultados corporativos habrá una línea para la información, porque en la mayoría de los casos la información es más valiosa que el hardware que la procesa”. Es importante comprender y ser capaces de ayudar a que los demás comprendan el valor de la información. Además de información considerada valiosa como propiedad intelectual (patentes, marcas, derechos de autor, etc.) también hay que tener en cuenta la documentación corporativa, cada vez más importante. Para configurar una arquitectura de defensa centrada en la información debemos localizar nuestra información más crítica y valiosa y asegurarnos de que disponemos de la protección adecuada. Esto antes era costoso, pero ahora muchas empresas disponen de procedimientos para localizar la información y etiquetarla, así que resulta mucho más sencillo.
4. Análisis del vector de amenaza: es similar al centrado en la información. Requiere que identifiquemos los activos que queremos proteger en orden de prioridad, que realicemos un análisis para determinar las rutas que podría utilizar la vulnerabilidad y que imaginemos cómo colocar los controles en los vectores para evitar que la amenaza entre por dicho fallo.
5. Control de acceso basado en roles (RBAC, Role-based access control): es un método de control de acceso que implementan las empresas para asegurar que sólo los usuarios autorizados tienen acceso a los datos. A diferencia de otros métodos de control de acceso, el control basado en roles asigna usuarios a los distintos roles, y se garantizan permisos a estos roles en función de las necesidades del puesto de cada usuario. Se puede asignar un número indeterminado de roles a un usuario para poder realizar las tareas diarias. Por ejemplo, un usuario puede necesitar el rol de desarrollador y el de analista. Cada rol definirá los permisos necesarios para acceder a los distintos objetos. Con el control de acceso a red (
