La seguridad en la red es el término general que se utiliza para describir la protección de todos los recursos informáticos de los fallos y ataques a la integridad, la confidencialidad y la disponibilidad. Esto incluye el anti-malware, los firewalls, la detección de intrusiones, la tecnología de prevención de pérdida de datos y otros tipos de protecciones.
La seguridad en la red incluye controles de protección específicos que se añaden a una red. Estos controles han evolucionado a lo largo de los años y seguirán haciéndolo a medida que vayamos aprendiendo más sobre las redes y a medida que los hackers vayan aprendiendo nuevas formas de ataque.
Para garantizar que ha añadido los mejores controles de protección es necesario entender primero el entorno de las amenazas y las vulnerabilidades de la red. También es importante entender qué tipos de controles están disponibles para que pueda aplicar los proveedores, las soluciones y las configuraciones correctas a su red.
Las amenazas son posibles infracciones que afectan a la confidencialidad, disponibilidad o integridad de los recursos. Las amenazas pueden incluir la divulgación de datos confidenciales, alteración de los datos o incluso la denegación de acceso a algún servicio.
El panorama de amenazas se compone de la información disponible sobre amenazas, los agentes de amenazas y los vectores de amenazas que permiten que ocurra un ataque. El agente de amenazas es una persona o un grupo de personas que pretenden causar algún daño utilizando amenazas existentes.
Por ejemplo, en el caso de un equipo portátil robado el agente de amenaza es el ladrón. El vector de amenazas es la ruta que sigue un ataque, como una puerta sin cerrar o un equipo portátil que no está asegurado a una mesa.
Para que se lleve a cabo una amenaza debe existir una vulnerabilidad que se pueda aprovechar. Una vulnerabilidad es una debilidad o un error que los agentes de amenazas pueden utilizar para infringir las políticas de seguridad.
Siguiendo con el ejemplo del equipo portátil, un diseño de un peso ligero, la portabilidad y la conveniencia son características que atraen a muchos clientes. Al mismo tiempo, todas esas características son debilidades que aumentan las probabilidades de robo. Los controles de seguridad como las cerraduras de la puerta o los bloqueos de cable ralentizan al agente de las amenazas y reduce la probabilidad de robo, lo cual disminuye el riesgo general.
La confidencialidad, la integridad y la disponibilidad (CIA, por sus siglas en inglés) son las características principales que definen el objetivo de cualquier proceso de seguridad de la información. Hay muchas estrategias y actividades involucradas en el proceso y cada una corresponde a una de estas tres fases: prevención, detección y respuesta.
Los pilares de la fase de prevención son los siguientes y se llevan a cabo mediante una política bien documentada:
La detección consiste en utilizar funciones que supervisen y registren la actividad del sistema. En el caso de una posible brecha o de una actividad maliciosa, los sistemas de detección deberían notificar a la parte o persona responsable. El proceso de detección solo sirve de algo cuando va seguido de una respuesta planeada a tiempo.
La respuesta es una corrección bien planeada para un incidente que consiste en la paralización del ataque en curso, la actualización de un sistema con el parche más reciente o el cambio de la configuración de un firewall.
Obtenga más información sobre los tipos de seguridad en la red
Es importante entender los conceptos cruciales de la seguridad en la red. Si usted, siendo una buena persona, no está al tanto de las vulnerabilidades y los agentes de amenazas, no sabrá cuáles son los mejores controles de seguridad que tiene que utilizar. Un ejemplo es entender que la identidad del usuario tiene que verificarse antes de acceder al sistema. Esto es un conocimiento esencial que le permite identificar la solución y el proveedor correcto.
El control de acceso es un tipo de control de seguridad con el que prácticamente todo el mundo está familiarizado. Hoy en día, la mayoría de las personas han utilizado una contraseña para iniciar sesión en un equipo, posiblemente habrán pasado unos pocos minutos desde que ha sucedido por última vez. Puede que haya tenido que utilizar una contraseña para acceder a una red, una aplicación o un archivo. La persona media tiene al menos 10 contraseñas de las que hacer un seguimiento.
La implementación del control de acceso se divide en cuatro partes: identificación, autenticación, autorización y responsabilidad (IAAR). Este proceso confirma la identidad del usuario a través de un identificador único como lo es un id. de usuario, un nombre de usuario o un número de cuenta.
El sistema autentifica la identidad del usuario mediante la verificación de las credenciales que el usuario conoce como el nombre de usuario y la contraseña. También podría ser algo que tenga el usuario como una tarjeta de identidad o una contraseña de un solo uso. Después de que el sistema verifique al usuario, la autorización es el proceso que le concede el permiso de acceso.
La última parte, la responsabilidad, implica un seguimiento de la actividad del usuario para hacer que aquellos que tienen acceso sean responsables de sus acciones en un sistema. Las contraseñas no son la única opción hoy en día. Hay muchas opciones, incluyendo un software o hardware generador de contraseñas de un solo uso, tarjetas inteligentes y opciones biométricas. Para la elección de la opción adecuada para cualquier recurso de red es necesaria una consideración premeditada.
La segmentación de la red consiste en dividir una red en partes lógicas más pequeñas para que se puedan añadir los controles entre ellas. Así se mejora el rendimiento y la seguridad. Las redes de área local virtual (VLAN) son un método común de segmentación de la red que se lleva a cabo de forma local o utilizando una infraestructura en la nube. Cuando se utiliza para la nube, se llaman nubes privadas virtuales (VPC).
Las funciones de red tradicionales en un datacenter físico tienen un perímetro claramente definido. Era el punto en el que el datacenter tenía una conexión con el mundo exterior. Hoy en día los perímetros son más difíciles de definir, pero seguimos utilizando mucha de la misma tecnología.
Esto incluye firewalls (FW), sistemas de detección de intrusiones (IDS) sistema de prevención de intrusiones (IPS). Cuando usted define un perímetro es necesario determinar qué datos, voz y vídeo pueden pasar. Una vez que entiende qué tipo de tráfico debe fluir, se pueden configurar los mecanismos de control de acuerdo con esto.
El cifrado garantiza la confidencialidad y la integridad de los datos en tránsito o en reposo mediante la conversión de estos en un cifrado utilizando una clave. Los dos tipos básicos de cifrado son la criptografía simétrica y la asimétrica.
Los antiguos egipcios utilizaban el cifrado simétrico con fines de confidencialidad. Hoy en día utilizamos el mismo concepto, pero empleando algoritmos mucho más complejos. Por ejemplo, si quiere que una sesión de la banca electrónica siga siendo confidencial, lo cifraría con un cifrado simétrico. Para garantizar la autenticidad del sitio web del banco, utilizaría un cifrado asimétrico para intercambiar de forma segura las claves para el cifrado simétrico de esa sesión.
Un hash utiliza un algoritmo que genera una cadena de una longitud fija de caracteres aleatorios al convertir los datos o el mensaje original en un valor corto. Esto funciona como clave para garantizar la integridad de ese mensaje o esos datos.
Los algoritmos de hash son una forma de verificar la integridad de la comunicación. Es tan sencillo como leer esta oración. ¿Cómo podemos estar seguros de que esto es lo que estaba escrito? ¿Se ha cambiado de forma accidental o maliciosa?
Los algoritmos de hash se utilizan para demostrar que las letras, o los bits, no se han alterado de forma accidental. Tener el hash protegido con un cifrado le ayuda a saber que el hacker no ha cambiado el texto de forma maliciosa. El uso del hash para almacenar contraseñas, archivos de supervisión y garantizar la integridad de la comunicación de forma segura está muy extendido.
Obtenga más información sobre los aspectos básicos de la seguridad en la red
Las personas, las operaciones y la tecnología son los elementos principales que contribuyen con una seguridad en la red que tiene una defensa en profundidad. Una vez que identifique y evalúe los riesgos que amenazan a su empresa, puede determinar las necesidades de la seguridad de su red. Esto incluye el tipo de tecnología que necesita emplear para la seguridad perimetral, las respuestas a las alertas generadas desde firewalls, la detección y prevención de intrusiones y los registros. Empecemos con los firewalls.
Los firewalls son una medida de seguridad tradicional que se han añadido a las redes y los sistemas finales durante más de 25 años. Para un firewall el tráfico se divide en dos categorías: el tráfico deseado para que pase y el tráfico no deseable para bloquear. El filtro de paquetes fue uno de los primeros firewalls que descartaba el tráfico no deseado.
Los proveedores han encontrado muchas formas diferentes para que los firewalls analicen y clasifiquen el tráfico automáticamente, lo cual ha llevado a diferentes variaciones del firewall. Estas incluyen los primeros filtros de paquetes, los firewalls de última generación y, ahora, los firewalls de la generación de la nube.
Al contrario que los firewalls, un sistema de detección y prevención de intrusiones (IDPS, por sus siglas en inglés) supervisa la red en busca de actividad maliciosa, mediante la realización de informes y la respuesta a los incidentes de seguridad en la red y a las posibles amenazas. Un firewall busca el tráfico deseado y bloquea el resto.
Un sistema de detección de intrusiones (IDS) busca el tráfico que no debería estar ahí. Se centra en encontrar el tráfico que provenga de un hacker u otros agentes perversos. A medida que la tecnología avanzaba, alguien debió hacerse una buena pregunta: si sabemos que el tráfico proviene de un hacker, ¿por qué simplemente lo añadimos al registro? ¿Por qué no descartamos ese tráfico en cuanto lo identificamos? A partir de ahí, la tecnología progresó hacia los sistemas de prevención de intrusiones (IPS).
Un IPS es activo por naturaleza. Cuando se da cuenta de que el tráfico que está fluyendo proviene de un hacker, toma cartas en el asunto y destruye dicho tráfico. Parece un plan brillante. En el mundo real es muy complicado ajustar correctamente este tipo de sistemas. Si no están ajustados correctamente, descartarán el tráfico bueno y dejarán pasar al tráfico del hacker. Por tanto, la mayoría de las empresas se quedan con el IDS y tiene registros, un sistema de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) y planes y equipos de respuesta preparados.
Una red privada virtual (VPN) protege la confidencialidad de los datos cuando atraviesan su red. El núcleo de una VPN es el cifrado, aunque también utiliza la autenticación. Hay tres opciones de cifrado para una VPN, especialmente para las aplicaciones que tienen los usuarios en sus equipos portátiles o teléfonos para conectarse a la oficina de forma remota. Las tres opciones son IPSec, SSL/TLS y SSH. Estos tres protocolos de cifrado también se utilizan para otras aplicaciones.
IPSec es un protocolo de cifrado que se puede utilizar en cualquier situación, ya que funciona en la capa 3 del modelo de interconexión de sistemas abiertos (OSI, por sus siglas en inglés) de la Organización Internacional de Normalización (ISO). La capa 3 es la capa de red que lleva los datos, la voz o el vídeo a su destino correcto en la red. Por tanto, si añade IPSec, transportará sus datos a su destino en un formato cifrado y confidencial. Otro uso común, además de con las VPN, es para la conexión de sitio a sitio entre ubicaciones comerciales.
La seguridad de la capa de transporte (TLS, por sus siglas en inglés) es la actualización de la SSL. Se hubiese llamado SSL 4.0 si su dueño no se hubiera cambiado de Netscape al Grupo de Trabajo de Ingeniería en Internet (IETF, por sus siglas en inglés) en 1999. TLS proporciona una opción de cifrado para las VPN, pero también para cualquier conexión con base en la web. Estas conexiones podrían ser una conexión con un banco basada en un buscador, Amazon o cualquier otro sitio que tenga un candado en la esquina de su buscador.
Secure Shell (SSH) se utiliza principalmente para las conexiones remotas de un equipo a otro. Lo han utilizado los administradores de red para conectarse a servidores, enrutadores y conmutadores con fines administrativos. Estas conexiones son para la configuración y la supervisión.
Cuando su empresa tiene contenido, libros, manuales, etc., que le gustaría compartir con sus clientes de una forma controlada, la gestión de derechos digitales (DRM, por sus siglas en inglés) es la solución. La mayoría de las personas que tienen un equipo están familiarizadas con el software DRM.
Si utiliza Netflix o Amazon Prime Videos o escucha música en Spotify o iTunes, ha visto un DRM. Si lee libros en Kindle, no puede compartir de cualquier forma ese libro con alguien. El software DRM de la aplicación de Kindle normalmente no lo permite, pero depende de los derechos que tenga el libro.
Si a su empresa le preocupa que los usuarios envíen un email que contenga información confidencial como un número de tarjeta de crédito a alguien de fuera de la empresa, la prevención de filtración de datos (DLP, por sus siglas en inglés) es la solución.
Las herramientas DLP buscan tráfico que no debería salir de la empresa, lo cual supondría una filtración, y paraliza esa transmisión. O por lo menos esa es la idea. Es muy difícil configurar la DLP correctamente, pero merece la pena intentar proteger a la empresa de filtraciones accidentales de datos.
Lo más importante que hay que añadir a cualquier empresa es la supervisión. Es importante buscar ataques, amenazas, filtraciones, hackers, etc. En seguridad es mejor dar por hecho que su empresa va a ser hackeada y que los usuarios van a cometer errores. Por tanto, esté atento a los ataques y esté preparado para responder. Uno de los mayores problemas para la empresa media es que es no saben que están siendo atacadas.
Los dispositivos tienen que registrar los eventos para que usted sepa qué ha sucedido y qué está sucediendo en su red. Una vez que se registra el evento, debería mandarse a un servidor syslog central para su análisis.
La herramienta de análisis se llama gestor de eventos e información de seguridad (SIEM, por sus siglas en inglés). Su trabajo es relacionar eventos y buscar indicadores de compromiso (IoC, por sus siglas en inglés). Si hay un IoC, alguien debería revisar ese evento y determinar si hay que tomar cartas en el asunto para detener un ataque o para reparar y restaurar los sistemas después de un ataque.
Obtenga más información sobre las medidas de seguridad en la red