Feb 1, 2010

Arquitectura de seguridad perimetral

Uno de los mayores problemas de seguridad existentes en los tiempos modernos es la gran cantidad de amenazas que pueden encontrase, así como el número de dispositivos que se conectan a las distintas redes corporativas. Por esta razón, es prácticamente imposible encontrar lo que se conoce como una red "limpia" o inmune a contenido malicioso.

En la mayoría de las corporaciones, la arquitectura de seguridad perimetral está basada en un único elemento delimitador entre las redes internas y las redes externas (susceptibles de aportar contenidos dañinos) es un firewall que opera a nivel de red.

Un firewall es el modelo más básico que se tiene para proteger una red mediante el bloqueo de puertos. El principal problema de los firewalls es que sólo saben detener el tráfico destinado a un puerto o transportado mediante un protocolo concreto en base a unas determinadas reglas previamente establecidas. El problema viene cuando se tiene que permitir que circulen paquetes a través de un determinado puerto.

Un firewall examina el tráfico entrante por esos puertos abiertos, pero ese análisis se realiza a nivel de enlace o a nivel de red, es decir, en función de ciertos campos del paquete TCP/IP como por ejemplo las direcciones IP o puertos. Pero el área de datos proveniente del nivel de aplicación en ningún caso se considera, y ésta es la parte del paquete que presenta mayor riesgo de cara a la seguridad interna de una red. Además estos dispositivos tampoco disponen de la inteligencia suficiente como para poder detectar anomalías basándose en patrones de tráfico.

Por lo tanto, dichos puertos accesibles desde el exterior están sometidos a un cúmulo de importantes amenazas externas, como por ejemplo malware (virus, gusanos, troyanos, spyware) y ataques hacking (malformación de protocolos, escaneos de puertos, ataques DOS y SYN, avalanchas de tráfico, exploits, etc.). Es un error muy grave el hecho de delegar en los dispositivos finales las medidas de seguridad. Esta situación debe ser siempre una acción complementaria sumada a una correcta política de seguridad perimetral.

En la mayoría de los casos, los responsables de la seguridad informática de las compañías argumentan que es suficiente con tener un firewall a la entrada de la red, un antivirus en cada uno de los equipos y una sonda que rastree los eventos internos. En los párrafos anteriores se han expuesto los motivos por los que un simple firewall no es una medida lo adecuadamente disuasoria.

Con respecto a los antivirus, estas aplicaciones en teoría nos protegen de la mayoría de los virus existentes, basando su reconocimiento en una serie de firmas o patrones. Pero hoy en día los virus son capaces de mutar al poco tiempo de infectar la máquina, con lo que dificultan su identificación por parte de los antivirus.

En este sentido juegan un papel muy importante los sistemas IDS (Intrusion Detection System) como por ejemplo Snort, ya que son capaces de detectar cadenas anómalas dentro de los paquetes que circulan por una red, como por ejemplo virus cuyas firmas aún no han sido incorporadas al motor del antivirus.

Pero como bien ilustra el acrónimo IDS, estamos ante un sistema detector o pasivo, es decir, capaz de descubrir alguna situación que se salga fuera del marco habitual de comportamiento e informar a continuación al administrador. Pero en la mayoría de los casos, ese periodo de tiempo que transcurre desde que un ataque es detectado hasta que realmente se toman las medidas pertinentes, puede ser nefasto para los intereses de una organización. En este ámbito de riesgo expuesto toma especial relevancia el concepto de IPS (Intrusion Prevention System), que tecnológicamente viene a ser un IDS pero con la capacidad de prevención o bloqueo (sistema activo).


Por todo ello se recomienda establecer siempre una solución completa a la entrada de cualquier red corporativa (sistema All-In-One), la cual frene o mitigue la mayoría de las amenazas externas. Existen multitud de alternativas en el mercado que proveen soluciones de estas características, pero como mínimo deben cumplir siempre con las siguientes características técnicas: firewall, servidor VPN, IPS, anti-malware, anti-spam, filtrado web y filtrado de contenidos.

Por último, decir también que esta solución debe de situarse siempre en Alta Disponibilidad.

No comments:

Post a Comment