¿Te has preguntado alguna vez cómo funciona tu red? El modelo de Interconexión de Sistemas Abiertos (OSI, Open Systems Interconnection) podría tener la respuesta. Este modelo ayuda a transmitir datos de tráfico mediante distintas operaciones emparejadas con los protocolos necesarios para ejecutar esas operaciones. El modelo en sí consta de varias capas, una de las cuales es la capa de red (network layer). Esta capa suele ser el objetivo de muchos ciberataques. Por eso es necesario aprender cómo funciona esta capa para poder traficar con datos de forma segura y sin miedo.
En este artículo, repasaré el modelo OSI, cómo se compara con el moderno protocolo TCP/IP y cómo puedes proteger tu red de atacantes malintencionados.
- ¿Qué es el Modelo OSI?
- Modelo OSI frente al Modelo TCP/IP
- 6 Protocolos de la Capa de Red que Debes Conocer
- Las 5 Mejores Formas de Proteger tu Capa de Red
- Reflexiones Finales
- Preguntas Frecuentes
¿Qué es el Modelo OSI?
El modelo OSI es un estándar industrial de conectividad de redes utilizado para describir cómo funciona una red. Publicado en los años 80 por la Organización Internacional de Normalización (ISO), el modelo pretende ofrecer una forma estandarizada de conectar dispositivos en red de manera eficiente.
En la actualidad, el modelo TCP/IP (Transfer Control Protocol/Internet Protocol), más eficaz, sustituye al modelo OSI. Sin embargo, es importante señalar que muchas empresas siguen utilizando el modelo OSI para visualizar y comunicar las operaciones de red. Comprender el modelo OSI puede ayudarte a entender lo que ocurre en tu red. Además, puede ayudarle a aislar y solucionar cualquier problema de red.
Como se ha mencionado anteriormente, este artículo se centra en la capa de red. La función principal de esta capa es manejar el enrutamiento de datos a través de la red. No entraré en demasiados detalles sobre las otras capas, pero puedes encontrar una explicación detallada de cada una en este artículo. O también puedes comparar las diferencias entre el modelo TCP/IP y el modelo OSI.
Dicho esto, veamos ahora el modelo OSI comparado con el modelo TCP/IP con más detalle.
Modelo OSI frente al Modelo TCP/IP
La diferencia crítica entre OSI y TCP/IP es que este último colapsa varias capas OSI en 4, lo que lo hace más eficiente a la hora de enviar datos. Dicho esto, la fusión de la funcionalidad de las capas también dificulta su comprensión. A su vez, esto puede hacer que la resolución de problemas sea un poco más compleja.
En general, la capa de aplicación de TCP/IP combina las capas 5, 6 y 7 de OSI. Del mismo modo, las capas OSI 1 y 2 comprenden la capa de acceso a la red en TCP/IP. Por lo tanto, se puede pensar en TCP/IP como un modelo más funcional utilizado para resolver problemas específicos de comunicación basados en protocolos estándar. Por otro lado, OSI es más fácil y mejor de entender para los humanos.
¿Qué es la Capa de Red?
La capa de red es una parte de la comunicación en línea que conecta y transfiere paquetes de datos entre diferentes redes o dispositivos. Como base del modelo de interconexión de sistemas abiertos, la capa gestiona y selecciona la mejor ruta lógica para la transferencia de datos entre nodos. Asigna direcciones de protocolo de Internet de origen y destino a cada segmento de datos.
Las principales responsabilidades de esta capa son el establecimiento de conexiones lógicas, el reenvío de datos, el enrutamiento y la notificación de errores de entrega. Esta capa puede soportar redes sin conexión o redes orientadas a la conexión. Los procesos de cifrado, comprobación de conexiones y enrutamiento tienen lugar en esta capa y utilizan varios protocolos diferentes, entre los que se incluyen:
- IP
- IPsec
- IPX/SPX
- ICMP
- IGMP
- GRE
Hablando de protocolos, ¡es hora de profundizar en el mundo de los protocolos de capa de red!
6 Protocolos de la Capa de Red que Debes Conocer
Existen muchos protocolos además del protocolo de Internet (IP), ampliamente adoptado. Los protocolos de red de Capa 3 incluyen los utilizados para comunicaciones seguras, así como el enrutamiento dinámico de red, las traducciones y la redundancia.
Como administrador de TI, es importante que conozcas los protocolos más habituales, cómo funcionan y en qué se diferencian. A su vez, esto te permitirá tomar decisiones mejor informadas sobre la seguridad de la red en general.
A continuación, encontrarás varios protocolos comunes y sus ventajas y desventajas. Empecemos con Internet Protocol Security (IPsec).
1. Internet Protocol Security (IPsec)
IPsec (Seguridad del protocolo de Internet) es un protocolo de red seguro que utiliza autenticación y cifrado de datos. Es útil para proteger el tráfico de red de los ciberatacantes.
Ventajas
- Proporciona transparencia a las aplicaciones, ya que no afecta a las capas de red ( tus usuarios nunca tendrán que preocuparse por la configuración de IPsec)
- Le permite supervisar todo el tráfico que pasa por su red
Desventajas
- Tiene problemas para conectar redes debido a restricciones de cortafuegos si un administrador de red no obedece el protocolo IPsec.
- Permite a los malos actores explotar algoritmos de seguridad potencialmente pirateables que se encuentran en el protocolo.
2. Protocolo Hot Standby Router (HSRP)
HSRP es un protocolo de redundancia de ruta de red virtual que ayuda a redirigir el tráfico si falla el router primario “activo”. Un sistema HSRP siempre tiene un router activo y otro en espera. Realiza asignaciones de routers basándose en las asignaciones de direcciones IP para cada dispositivo y si el router activo es alcanzable.
Ventajas
- Admite direcciones MAC configurables y puede diferenciar entre direcciones físicas y virtuales (esto permite a los nodos utilizar HSRP como primer destino para comenzar a enrutar el tráfico IP).
- Permite redundancia IP y proporciona la máxima redundancia IP para aplicaciones de red peer-to-peer ya que utilizan este protocolo de forma extensiva
Desventajas
- Tiene el problema de que una de las puertas de enlace siempre está totalmente inactiva (debido a la utilización de un único grupo HSRP entre dispositivos) hasta que falla el dispositivo activo; para remediar esta mala utilización, puedes utilizar varios grupos HSRP para sacar el máximo partido a este protocolo.
- Carece de equilibrio de carga en un entorno de múltiples routers activos.
3. Open Shortest Path First (OSPF)
OSPF es un protocolo de enrutamiento dinámico que conecta redes utilizando el camino más corto para que viajen los paquetes. Este protocolo ha dejado obsoleto al antiguo Routing Information Protocol, o RIP (más información sobre este tema más adelante).
Ventajas
- Multidifunde (multicasts) cualquier cambio en la red o en la tabla de enrutamiento a todos los hosts OSPF.
- Tiene en cuenta información de red adicional, como las métricas de coste proporcionadas por el administrador, para los saltos de router tradicionales (ya no se basan en la latencia).
Desventajas
- Requiere conocimientos avanzados sobre redes complejas, lo que dificulta su aprendizaje y uso en comparación con otros protocolos.
- No es escalable con más routers, lo que lo hace inadecuado para el enrutamiento a través de Internet.
4. Routing Information Protocol (RIP)
Al igual que OSPF, RIP es un protocolo de enrutamiento dinámico. Sin embargo, a diferencia de OSPF, es menos eficiente durante las actualizaciones de la tabla de enrutamiento.
Ventajas
- Es un protocolo de enrutamiento establecido y de confianza utilizado durante muchos años
- Promueve el equilibrio de carga
Desventajas
- Consume más recursos que OSPF debido a las actualizaciones ineficientes de la tabla
- No permite la priorización de rutas en función del coste
5. Network Address Translation (NAT)
El protocolo NAT asigna una dirección IP a otra cambiando la cabecera de los paquetes IP mientras están en tránsito mediante un router.
Ventajas
- Oculta las IP del remitente y el destinatario, lo que permite impedir que los malos actores mapeen y apunten a los servidores de prevención de intrusiones de tu red
- Reduce el número de direcciones IP que necesitas
Desventajas
- Consume mucho tiempo cuando se trata de la conversión de direcciones IP
- Requiere memoria y otros recursos para convertir direcciones IP locales y globales
6. Virtual Router Redundancy Protocol (VRRP)
VRRP evita que el enrutamiento de tu red virtual tenga un único punto de fallo asociado a un entorno de enrutamiento estático. Además, un proceso de elección asigna dinámicamente la responsabilidad de router primario a uno de los concentradores VPN de tu red. En resumen, esto es útil si una transmisión de paquetes multicast falla al hacer ping a un router designado.
Nota: Un concentrador VPN es un router diseñado para gestionar conexiones VPN.
Ventajas
- Reduce el tiempo de conmutación por error si un router primario deja de estar disponible.
- Proporciona redundancia para una solución de enrutamiento con equilibrio de carga.
Desventajas
- Requiere concentradores VPN adicionales y recursos asociados para funcionar
- Requiere ancho de banda para funcionar en caso de transferencia de paquetes multicast
Como puedes ver, cada protocolo tiene sus puntos fuertes y débiles en materia de seguridad. Con estos conocimientos, ya estás preparado para conocer las 5 mejores formas de proteger tu capa de red.
Las 5 Mejores Formas de Proteger tu Capa de Red
Ha sido un largo viaje, ¿verdad? Has llegado lejos. Pero aún no hemos terminado. Con esta información en tu arsenal, todo lo que queda es hablar de defender tu capa de red. A continuación, encontrarás las 5 mejores formas de defender tu capa de red de los ciberatacantes y sus mortíferos ataques.
1. Utilizar Traffic Shaping
El Traffic Shaping es una técnica de gestión del ancho de banda diseñada para retrasar el flujo de paquetes de datos. Normalmente se utiliza esta técnica para mejorar el rendimiento general de la red y la experiencia del usuario final. El hardware de tu red envía datos a una velocidad basada en el medio de transmisión utilizado.
Para evitar que tu infraestructura transmita todos los bits que le llegan, puedes agrupar los datos en “buckets”. La conformación del tráfico (traffic shaping o packet shaping) define los periodos en los que no se envía información, así como el tamaño del bucket que se utiliza. En general, esto hace que se envíen más datos de forma eficiente.
Con el conformado del tráfico, puedes defender tu red contra ataques de denegación de servicio (DoS) diseñados para maximizar tu ancho de banda. Además, la técnica protege tus redes y aplicaciones de los picos de tráfico, regula a los malos actores e impide los ataques diseñados para consumir recursos de la capa de red.
La conformación del tráfico se produce en la capa de aplicación (Capa 7) mediante HTTP. La capa de presentación (Capa 6) cifra los datos mediante HTTPS para proteger la red y evitar que sean interceptados por agentes malintencionados. Estos dos procesos en conjunto ayudan a proteger tu capa de red. También es una buena idea utilizar soluciones de seguridad de red que te permitan implementar HTTPS en toda tu red y te proporcionen una solución VPN para las conexiones externas.
2. Segmentar el tráfico SD-WAN
Una red de área extensa (WAN) conecta redes de sitios remotos, extendiendo de forma efectiva tu red LAN. Tradicionalmente, los ISP cobraban una prima por prestar este servicio. Una red de área extensa definida por software (SD-WAN) es una WAN virtual que permite aprovechar cualquier combinación de servicios de conexión, como MPLS y LTE, para conseguir una WAN rentable.
SD-WAN es una tecnología de superposición independiente de cómo envíes tu red o conexiones. Los proveedores de SD-WAN suelen proporcionar software basado en la nube para ayudarte a crear una con facilidad.
Algunas soluciones SD-WAN admiten subinterfaces en la capa de red (Capa 3) para ayudar a las soluciones a trabajar con cortafuegos para segmentar el tráfico de red. Para ello, tendrás que configurar VMware o similar para permitir que la SD-WAN utilice primero esta capa. Además, considera la posibilidad de configurar una dirección IP estática que utilice el Dynamic Host Configuration Protocol (DHCP) para obtener la dirección.
Por último, para maximizar la seguridad de la capa de red, considera la posibilidad de utilizar un cortafuegos de nueva generación (NGFW) compatible con SD-WAN que te permita examinar y filtrar el tráfico en toda la red.
3. Realizar auditorías de seguridad
Tu red nunca es estática y crece continuamente para satisfacer las necesidades de la empresa. Por ello, es una buena práctica y a menudo un requisito normativo realizar auditorías de seguridad.
Para hacerlo con eficacia, utiliza una solución de seguridad con funciones de informes automatizados. Esto te permite acelerar el proceso y obtener datos de seguridad de alta fidelidad. Al realizar auditorías de seguridad y evaluar la seguridad de tu red, debes tener en cuenta todas las capas del modelo OSI, incluida la capa de red.
4. Crear una estrategia de copia de seguridad y recuperación
Necesitas un plan de copia de seguridad y recuperación de datos para proporcionar redundancia de datos en caso de que agentes malintencionados destruyan o cifren los datos de tu entorno de producción. Los planes de copia de seguridad y recuperación dependen de tu tolerancia al riesgo de pérdida de datos, tu infraestructura existente y el tiempo necesario para reanudar las operaciones.
En cuanto a los datos, hay que tener en cuenta la seguridad de los datos en tránsito. Incluso para la transferencia de datos in situ, si se envían datos sin cifrar, un ciberdelincuente puede copiarlos y leerlos. Con el cifrado de punto final, aunque alguien intercepte tus paquetes de datos, nadie podrá leerlos.
5. Cifrar los datos
El cifrado de datos a menudo implica el envío de una clave a un destinatario de datos que le permite descifrar los datos mediante HTTPS. Los malos actores que interceptan el tráfico cifrado no pueden leer el cuerpo de los paquetes de datos. En resumen, cifrar el tráfico de tu red interna y externa protege eficazmente los datos de tu empresa. Esto incluye la propiedad intelectual, las credenciales y la estrategia empresarial.
Para implantar el cifrado, utiliza una solución VPN de punto final que puedan utilizar los trabajadores remotos. Utiliza también una solución de seguridad total que cifre todo el tráfico de tu red. Busca siempre routers compatibles con la tecnología de cifrado. Estos routers permiten que los dispositivos móviles con actualizaciones automáticas se conecten mediante cifrado sin necesidad de que el usuario lo configure.
Por último, puedes reducir tu carga de trabajo de implementación de seguridad con una solución de gestión unificada de amenazas que añada múltiples funciones de seguridad en un solo paquete. En esencia, esto reduce el riesgo de que se te escape un vector de ataque.
Hasta aquí hemos llegado, así que creo que ha llegado el momento de recapitular.
Reflexiones Finales
En general, el modelo OSI puede ayudarte a entender tu red y el tráfico de red con más detalle. A través de este modelo, puedes gestionar tu red de forma eficiente. Como ya hemos dicho, la red funciona con una serie de protocolos para formatear y transmitir datos entre puntos finales. Estos protocolos te ayudan a entender el tráfico de la red; cada uno tiene puntos fuertes y débiles únicos, como se ha indicado anteriormente. (Puedes echar un vistazo con más detalle a las Características de la Capa de Red)
A la hora de proteger tu red, puedes utilizar técnicas de conformación de tráfico y segmentación de tráfico SD-WAN. Además, también puedes proteger tu red realizando auditorías de seguridad a medida que crece tu negocio o cuando sea necesario. Por último, la creación de una estrategia de copia de seguridad y recuperación y el cifrado de tus datos pueden ser salvavidas en situaciones difíciles.
¿Tiene más preguntas sobre las capas de red? Echa un vistazo a las secciones de preguntas frecuentes a continuación.
Preguntas Frecuentes
Sí, un NMS puede supervisar y gestionar el tráfico de red y detener los ataques que consumen ancho de banda, como los ataques DoS. Además, el traffic shaping es la forma más eficaz de optimizar el tráfico de red. Cuando se optimiza, se necesitan menos recursos de infraestructura y se puede mejorar la calidad de servicio (QoS) de la experiencia del usuario final.
Sí, las herramientas de escaneo utilizadas en las utilidades de evaluación de vulnerabilidades sólo encontrarán algunas amenazas de red, ya que trabajan en la capa de aplicación del modelo OSI (Capa 7). Debido a esto, deberías utilizar una solución de detección de amenazas unificada que complemente tus utilidades de evaluación de vulnerabilidades.
Sí, el cifrado HTTPS protege el contenido de tus paquetes de datos de los ciberatacantes entre puntos finales. Nunca se sabe si un ciberatacante ya está presente en tu red. Por ejemplo, podrían utilizar técnicas de rastreo de datos por cable o inalámbricas para acceder a los datos valiosos de tu empresa. Para ello, cambiar a HTTPS ayuda a mejorar tu seguridad general.
Sí, los NGFW se adaptan al hardware de red moderno, incluidos los dispositivos IoT y edge. Los NGFW tienen funciones integradas que te permiten crear reglas de filtrado basadas en el tráfico de dispositivos IoT y edge. Utiliza los NGFW para cifrar todo el tráfico de red de forma predeterminada.
