Mejores Prácticas en Seguridad de Redes

1. Confidencialidad, Integridad y Disponibilidad

Es cierto que la lista de tipos de ataques de red es larga. Pero hay muchas mejores prácticas que puedes usar para defender su red, como aprenderás en este tema.

La seguridad de la red consiste en proteger la información y los sistemas de información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados.

La mayoría de las organizaciones siguen la tríada de seguridad de la información CID (CIA, Confidentiality, Integrity &Availability):

• Confidencialidad – Solamente individuos, entidades o procesos autorizados pueden tener acceso a información confidencial. Puede requerir el uso de algoritmos de cifrado criptográfico como AES para cifrar y descifrar datos.
• Integridad – Se refiere a proteger los datos de modificaciones no autorizadas. Requiere el uso de algoritmos de hashing criptográficos como SHA.
• Disponibilidad – Los usuarios autorizados deben tener acceso ininterrumpido a los recursos y datos importantes. Esto requiere la implementación de servicios, puertas de enlace y enlaces redundantes.

Tríada CID

2. Enfoque de Defensa en Profundidad

Para garantizar comunicaciones seguras en redes públicas y privadas, el primer objetivo es proteger los dispositivos, como routers, switches, servidores y hosts. La mayoría de las organizaciones emplean un enfoque de defensa en profundidad para la seguridad. Esto también se conoce como un enfoque en capas. Esto requiere una combinación de dispositivos y servicios de red que trabajen juntos en conjunto. Mira la red de la figura.

Protección Contra Ataques a Redes

Se aplican varios dispositivos y servicios de seguridad para proteger a los usuarios y los activos de una organización contra las amenazas del TCP/IP.

• VPN – Un router se utiliza para proporcionar servicios seguros de VPN con sitios corporativos y soporte de acceso remoto para usuarios remotos que utilizan túneles cifrados seguros.
• Firewall ASA – Este dispositivo dedicado proporciona servicios de firewall con estado. Asegura que el tráfico interno puede salir y volver, pero el tráfico externo no puede iniciar conexiones con los hosts internos.
• IPS – Un Sistema de Prevención de Intrusos (IPS) monitorea el tráfico entrante y saliente en busca de malware, firmas de ataques a la red y más. Si reconoce una amenaza, puede detenerla inmediatamente.
• ESA/WSA – El dispositivo de seguridad de correo electrónico (ESA) filtra el spam y los correos electrónicos sospechosos. El dispositivo de seguridad web filtra los sitios de Internet conocidos y sospechosos de malware.
• Servidor AAA – Este servidor contiene una base de datos segura de quién está autorizado a acceder y administrar los dispositivos de la red. Los dispositivos de red autentican a los usuarios administrativos utilizando esta base de datos.

Todos los dispositivos de red, incluidos el router y los switches, están reforzados, lo que significa que se han protegido para evitar que los actores de amenazas obtengan acceso y alteren los dispositivos.

Luego, debes proteger los datos a medida que viajan a través de varios enlaces. Esto puede incluir el tráfico interno, pero la mayor preocupación es proteger los datos que viajan fuera de la organización a sitios de sucursales, teletrabajadores y partners.

3. Firewalls

Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes. Haz clic en Reproducir en la figura para ver una animación de cómo funciona un firewall.

Funcionamiento del firewall

Todos los firewalls comparten algunas propiedades comunes:

• Los firewalls resisten ataques de red.
• Los firewalls son el único punto de tránsito entre las redes corporativas internas y las redes externas porque todo el tráfico circula por ellos.
• Los firewalls aplican la política de control de acceso.

Los firewalls en una red brindan numerosos beneficios:

• Evitan la exposición de hosts, recursos y aplicaciones confidenciales a usuarios no confiables.
• Limpia el flujo de protocolos, lo que evita el aprovechamiento de las fallas de protocolos.
• Bloquean los datos maliciosos de servidores y clientes.
• Simplifican la administración de la seguridad, ya que la mayor parte del control del acceso a redes se deriva a unos pocos firewalls de la red.

Los firewalls también tienen algunas limitaciones:

• Un firewall mal configurado puede tener graves consecuencias para la red, por ejemplo, convertirse en un punto único de falla.
• Los datos de muchas aplicaciones no se pueden transmitir con seguridad mediante firewalls.
• Los usuarios pueden buscar maneras de esquivar el firewall para recibir material bloqueado, lo que expone a la red a posibles ataques.
• Puede reducirse la velocidad de la red.
• El tráfico no autorizado se puede tunelizar u ocultar como tráfico legítimo a través del firewall.

4. IPS

Para defenderse contra ataques rápidos y en evolución, es posible que necesites sistemas de detección y prevención rentables, como los sistemas de detección de intrusos (IDS) o los sistemas de prevención de intrusos (IPS) más escalables. La arquitectura de red integra estas soluciones en los puntos de entrada y salida de la red.

Las tecnologías IDS e IPS comparten varias características, como se ve en la figura. Ambas tecnologías se implementan como sensores. Un sensor IDS o IPS puede adoptar la forma de varios dispositivos diferentes:

• Un router configurado con el software IPS de Cisco IOS.
• Un dispositivo diseñado específicamente para proporcionar servicios de IDS o IPS exclusivos.
• Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA, Adaptive Security Appliance), switch o router.

Funcionamiento de IPS

La figura muestra cómo un IPS maneja el tráfico denegado.

1. El actor de amenaza envía un paquete destinado a la laptop del objetivo.
2. El IPS intercepta el tráfico y lo evalúa contra las amenazas conocidas y las políticas configuradas.
3. El IPS envía un mensaje de registro a la consola de gestión.
4. El IPS deja caer el paquete.

Las tecnologías IDS e IPS utilizan firmas para detectar patrones de tráfico de red. Una firma es un conjunto de reglas que un IDS o IPS utiliza para detectar actividad maliciosa. Las firmas pueden utilizarse para detectar infracciones graves de seguridad y ataques de red comunes, y para recopilar información. Las tecnologías IDS e IPS pueden detectar patrones de firma atómica (paquete individual) o patrones de firma compuesta (varios paquetes).

5. Artefactos de Seguridad de Contenidos

Los dispositivos o accesorios de seguridad de contenido incluyen un control detallado sobre el correo electrónico y la navegación web para los usuarios de una organización.

Cisco Email Security Appliance (ESA)

El Cisco Email Security Appliance (ESA) es un dispositivo especial diseñado para supervisar el Protocolo simple de transferencia de correo (SMTP). El ESA de Cisco se actualiza constantemente mediante la alimentación en tiempo real de Cisco Talos, que detectan y correlacionan las amenazas y las soluciones mediante un sistema de vigilancia de la base de datos mundial. Estos datos de inteligencia de amenazas son extraídos por el Cisco ESA cada tres a cinco minutos.

En la figura, un actor de amenaza envía un correo electrónico de phishing.

1. El actor de amenaza envía un ataque de phishing a un importante host de la red.
2. El firewall reenvía todos los correos electrónicos a la ESA.
3. La ESA analiza el correo electrónico, lo registra y lo descarta.

Cisco Web Security Appliance (WSA)

El Cisco Web Security Appliance (WSA) es una tecnología de mitigación de las amenazas basadas en la web. Ayuda a las organizaciones a afrontar los desafíos de asegurar y controlar el tráfico web. El Cisco WSA combina una protección avanzada contra el malware, visibilidad y control de las aplicaciones, controles de políticas de uso aceptable y elaboración de informes.

Cisco WSA proporciona un control completo sobre la forma en que los usuarios acceden a Internet. Ciertas características y aplicaciones, como el chat, la mensajería, el vídeo y el audio, pueden ser permitidas, restringidas con límites de tiempo y ancho de banda, o bloqueadas, según los requisitos de la organización. Cisco WSA puede realizar listas negras de URLs, filtrado de URLs, escaneo de malware, categorización de URLs, filtrado de aplicaciones web, y encriptación y desencriptación de tráfico web.

En la figura, un usuario corporativo intenta conectarse a un sitio conocido de la lista negra.

1. Un usuario intenta conectarse a un sitio web.
2. El firewall reenvía la solicitud del sitio web a la WSA.
3. La WSA evalúa la URL y determina que es un sitio conocido en la lista negra. La WSA descarta el paquete y envía un mensaje de acceso denegado al usuario.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.