La seguridad de redes es un término amplio para describir la protección de todos los recursos de cómputo ante ataques y fallas en la disponibilidad, confidencialidad e integridad. Esto involucra anti-malware, firewalls, detección de intrusiones, tecnología para la prevención de la pérdida de datos y otras protecciones.
La seguridad de redes involucra controles específicos de protección que se agregan a una red. Estos controles han evolucionado a lo largo de los años y continuarán creciendo conforme conozcamos más acerca de la defensa óptima de una red, y conforme los hackers encuentren nuevas formas de atacar.
Para asegurar de que cuenta con los mejores controles para su protección, es necesario comprender primero el panorama de amanazas y las vulnerabilidades de la red. También es importante entender qué tipos de controles están disponibles para que pueda aplicar los vendors, soluciones y configuraciones correctos para su red.
Las amenazas son violaciones potenciales que afectan la confidencialidad, disponibilidad o integridad de los recursos. Las amenazas pueden incluir la revelación de datos sensibles, la alteración de datos o incluso la denegación de acceso a un servicio.
El panorama de amenazas consiste de información disponible acerca de las amenazas, los actores maliciosos y el vector de amenazas que permite que ocurra un ataque. El actor malicioso es una persona o un grupo de personas que busca causar daño utilizando amenazas existentes.
Por ejemplo, en el caso de una laptop robada, el actor malicioso es el ladrón. El vector de amenazas es el camino que toma la amenaza, como una puerta abierta y una laptop descuidada.
Para que se realice una amenaza, debe de existir una vulnerabilidad capaz de ser explotada. Una vulnerabilidad es una debilidad o falla que pueden usar los actores maliciosos para violar las políticas de seguridad.
Continuando con nuestro ejemplo de la laptop, un diseño ligero, su portabilidad y conveniencia son características que atraen a varios clientes. Al mismo tiempo, esas características son debilidades que pueden incrementar la probabilidad de robo. Los controles de seguridad como los seguros en las puertas o los candados para la computadora reducen el progreso del actor malicioso y reducen la probabilidad del robo, lo cual reduce el riesgo en general.
La confidencialidad, integridad y disponibilidad (CIA por sus siglas en inglés) son los principales atributos que definen la meta de cualquier proceso de seguridad de la información. Hay muchas estrategias y actividades involucradas en el proceso, y cada una cae en alguna de las tres fases: prevención, detección y respuesta.
Los pilares de la prevención son como sigue, y se ejecutan a través de una política bien documentada:
La detección se trata de emplear capacidades que monitoreen y registren las actividades en el sistema. En el caso de una posible brecha o actividad maliciosa, los sistemas de detección deberían notificar a la parte o persona responsable. El proceso de detección solamente es valioso cuando es soportado por una respuesta puntual y planeada.
La respuesta es una corrección bien planeada para un incidente que cubre el bloqueo de un ataque, la actualización de un sistema con el último parche o cambiar las configuraciones en un firewall.
Es importante entender conceptos críticos de la seguridad de redes. Si usted no está consciente de las vulnerabilidades y actores maliciosos, no sabrá cuáles serán los mejores controles de seguridad para implementar. Un ejemplo es entender que es necesario verificar la identidad de un usuario antes de que pueda acceder al sistema. Este es conocimiento esencial que le permite identificar al vendor y la solución correctos.
El control de accesos es un tipo de control de seguridad con el que casi todos están familiarizados. La mayoría de la gente hoy en día ha usado una contraseña para iniciar sesión en una computadora. Pudo haber usado una contraseña para acceder a una red, una aplicación o un archivo. La persona promedio cuenta al menos con 10 contraseñas.
La implementación del control de accesos se divide en cuatro partes: identificación, verificación (o autenticación), autorización y contabilización (o accouting) (IAAA). Este proceso confirma la identidad del usuario por medio de un identificador único como un ID de usuario, nombre de usuario o número de cuenta.
El sistema verifica la identidad del usuario al verificar las credenciales que el usuario conoce, como usuario y contraseña. O que podrían estar en posesión del usuario, como una credencial o una contraseña única. Después de que el sistema verifica un usuario, la autorización es el proceso de otorgar el permiso de acceso.
La última parte – accounting – es el rastreo de las actividades del usuario para la rendición de cuentas de las acciones en un sistema por parte de aquellos con acceso a él. Las contraseñas no son la única opción actualmente. Hay varias opciones, incluyendo una generación de contraseñas únicas, hardware o software, smart cards y biométricos. Elegir la opción correcta para cualquier recurso de la red requiere de una consideración cuidadosa.
La segmentación de redes es la división de una red en partes lógicas más pequeñas para que se puedan agregar controles entre ellas. Esto mejora el desempeño y mejora la seguridad. Las Virtual local area networks (VLANs) son un método común de segmentación de redes que puede realizarse on-premises o usando la infraestructura en la nube. Cuando se usan para la nube, se llaman virtual private clouds (VPCs).
El networking tradición dentro de un data center físico tenía un perímetro definido claramente. Fue el punto en el que el data center tenía una conexión al mundo exterior. Hoy, los perímetros son más difíciles de definir, pero aún usamos a menudo la misma tecnología.
Esto incluye firewalls (FW), intrusion detection systems (IDS), and intrusion prevention systems (IPS). Cuando se define un perímetro, es necesario determinar cuáles son los datos, voz y video que tienen permitido pasar. Una vez que entienda cuál es el tipo de tráfico que debe fluir, se pueden configurar los mecanismos de control de acuerdo con ello.
La encripción asegura la confidencialidad y la integridad de los datos en tránsito o en reposo al convertirlos en un cifrado que requiere de una clave. La criptografía simétrica y asimétrica son los dos tipos básicos de encripción.
Los antiguos egipcios usaron la encripción simétrica para sus propósitos de confidencialidad. Hoy usamos el mismo concepto, pero empleamos algoritmos mucho más complejos. Por ejemplo, si quiere mantener confidencial su sesión de banca en línea, la encriptaría de forma simétrica. Para asegurar la autenticidad del sitio web bancario, usaría la encripción asimétrica para intercambiar de forma segura las claves para la encripción simétrica de esa sesión.
El hashing usa un algoritmo para generar una serie de longitud fija de caracteres al azar al convertir el mensaje o los datos originales a un valor corto. Esto sirve como una clave para asegurar la integridad de ese mismo mensaje o datos.
Los algoritmos de hashing son una forma de verificar la integridad de las comunicaciones. Es tan sencillo como leer esta oración. ¿Cómo sabe con certeza que esto fue lo que se redactó? ¿Ha sido alterado de forma accidental o con dolo?
Los algoritmos de hashing se usan para probar que las letras, o los bits, no se han alterado accidentalmente. Proteger el hash con encripción le ayuda a saber que un hacker no ha cambiado el texto maliciosamente. El hashing se usa comúnmente para almacenar contraseñas de forma segura, monitorear archivos y asegurar la integridad de las comunicaciones.
Conozca más acerca de los fundamentos de la seguridad de redes
La gente, las operaciones y la tecnología son los elementos principales que contribuyan a la defensa profunda de la seguridad de la red. Una vez que identifique y evalúe los riesgos que amenazan a su negocio, puede determinar cuáles son sus necesidades de seguridad de redes. Esto incluye el tipo de tecnología que se necesita para para la seguridad perimetral, responder ante alertas generadas desde los firewalls, detección y prevención de intrusiones y logs. Comencemos con los firewalls.
Los firewalls son una medida tradicional de seguridad que se ha agregado a las redes y sistemas finales por más de 25 años. Para un firewall, el tráfico cae en una de dos categorías: deseable o no deseable. El filtrado de paquetes fue uno de los primeros firewalls que filtraban el tráfico no deseado.
Los vendors han encontrado diversas formas para que los firewalls analicen y categoricen automáticamente el tráfico, dando como resultado diferentes variaciones de firewalls. Estas incluyen los filtros de paquetes, firewalls de próxima generación y ahora los firewalls de la generación de la nube.
A diferencia de los firewalls, un IDPS (intrusion detection and prevention system) monitorea la red para detectar actividad maliciosa, reportando y respondiendo a los incidentes de seguridad de la red y potenciales amenazas. Un firewall busca tráfico deseado y bloquea el resto.
Un IDS (intrusion detection system) busca el tráfico que no debería de estar ahí. Se enfoca en encontrar el tráfico generado por un hacker o por otro actor malicioso. Conforme evolucionó la tecnología, alguien debió de haber hecho una muy buena pregunta: Si sabemos que el tráfico proviene de un hacker, ¿por qué nada más lo estamos registrando en un log? ¿Por qué no estamos descartando el tráfico tan pronto es identificado? De ahí, la tecnología llevó a los IPSs (intrusion prevention systems).
Un IPS es activo por naturaleza. Cuando se da cuenta de que el tráfico que está pasando proviene de un hacker, actúa y destruye ese tráfico. Esto suena brillante. En el mundo real, es complicado configurar apropiadamente estos sistemas. Si no se les configura apropiadamente, descartan tráfico benigno y dejan entrar el malicioso. Por esto, la mayoría de los negocios se detienen hasta el IDS y tienen logs, un SIEM (security information event manager) y planes y equipos de respuesta a incidentes.
Una VPN (virtual private network) protege la confidencialidad de los datos que recorren su red. El núcleo de las VPNs es la encripción, aunque también usa la autenticación. Existen tres opción de encripción para una VPN, especialmente para las aplicaciones que tienen los usuarios en sus laptops o teléfonos para conectarse a la oficina de forma remota. Las tres opciones son IPSec, SSL/TLS, y SSH. Estos tres protocolos de encripción también se usan para otras aplicaciones.
IPSec es un protocolo de encripción que puede usarse en casi cualquier escenario, ya que funciona en la capa 3 del modelo OSI (Open System Interconnect) de ISO (International Standards Organization). La capa 3 es aquella que lleva los datos, voz o video hacia su destino correcto en la red. Entonces, si agrega IPSec, llevará sus datos hacia su destino en un formato encriptado y confidencial. Un uso común además de las VPNs es para la conectividad sitio-a-sitio entre ubicaciones de negocio.
Transport Layer Security (TLS) es la actualización de SSL. Se pudo haber llamado SSL 4.0 de no haber sido porque pasó de ser de Netscape a ser de la International Engineering Task Force (IETF) en 1999. TLS ofrece una opción de encriptación para VPNs, pero también para cualquier conexión basada en la web. Estas conexiones podrían ser una conexión basada en el navegador hacia un banco, Amazon o cualquier otro sitio que tiene un candado en su navegador.
Secure Shell (SSH) se usa principalmente para conexiones remotas de una computadora a otra. Los administradores de red comúnmente la han usado para conectarse a servidores, routers y switches para propósitos administrativos. Estas conexiones son para configuración y monitoreo.
Cuando su empresa tiene contenido, libros, manuales, etc., que quiere compartir con sus clientes de forma controlada, la solución es el digital rights management (DRM). El software DRM es muy familiar para la mayoría de las personas que tienen una computadora actualmente.
Si ve contenido en Netflix o Amazon Prime o escucha música en Spotify o iTunes, ha visto el DRM en acción. Si lee un libro en Kindle, no puede compartir ese libro con cualquier persona al azar. El software DRM de la aplicación de Kindle generalmente no lo permite, pero depende de los derechos del libro.
Si su empresa está preocupada por que llegue a enviarse información sensible por medio de correo electrónico, como el número de una tarjeta de crédito, a alguien fuera de la organización, data leak prevention (DLP) es la solución.
Las herramientas DLP revisan el tráfico que no debe de salir de un negocio, lo cual sería clasificado como una fuga, y detienen la transmisión. Al menos esa es la idea. Es complicado configurar correctamente un DLP, pero vale la pena revisarlo para proteger a su empresa contra fugas de datos accidentales.
El control más importante que se debe agregar a todos los negocios es el monitoreo. Es importante estar vigilante ante ataques, amenazas, brechas, hackers, etc. En la seguridad, es mejor asumir que su negocio será hackeado y que los usuarios cometerán errores. Entonces, esté vigilante ante los ataques esté listo para responder. Uno de los problemas más importantes para el negocio promedio es que ni siquiera se llega a enterar de que han sido atacados.
Los dispositivos necesitan registrar eventos para que pueda conocer qué es lo que ha sucedido y qué ocurre actualmente dentro de su red. Una vez que se registran los eventos, deben de enviarse a un servidor syslog central para su análisis.
La herramienta de análisis se llama Security Information Event Manager (SIEM). Tiene el trabajo de correlacionar eventos y buscar indicadores de compromiso (IOC). Si existe un IOC, alguien debe de revisar el evento y determinar si se necesita tomar acción para detener un ataque o reparar y restaurar los sistemas después de un ataque.