Análisis del Tráfico de Red: Requisitos del Sistema

-¿Sabes qué podría ser mejor que grabar todo el tráfico de la red?
-¿Qué es eso?
-Nada

“De una conversación con un especialista en seguridad informática”.

Los sistemas de análisis del tráfico de red de muchas empresas, incluso de las más grandes, no sirven en la práctica para evitar la fuga de datos valiosos de la empresa y resultan completamente inútiles en caso de ataques de hackers. ¿Por qué es así y cómo debe realizarse el análisis del tráfico de la LAN para que sea realmente útil? Averigüémoslo. En primer lugar, he aquí un estudio de caso reciente de una empresa muy grande.

Cuando el análisis del tráfico de red es inútil

Una filtración de datos en una de las mayores agencias de crédito, Equifax, expuso los datos personales de 145 millones de estadounidenses en manos de hackers. La filtración de datos tuvo lugar entre mediados de mayo y julio de 2017 (ver noticia). Los atacantes obtuvieron los datos de los apellidos, el nombre, el número de la seguridad social, la fecha de nacimiento, la dirección del domicilio y, en algunos casos, el número del permiso de conducir. También se robaron unos 209.000 números de tarjetas de crédito y documentos de disputa de datos personales de 182.000 personas.

Beware @Equifax shameful offer of 1-year monitoring. Signing up means agreeing to binding arbitration for their error. #equifaxbreach pic.twitter.com/Ux0CQGzWD3

— Tim Hillard (@timehillard) September 8, 2017

La filtración de datos se produjo a través de los canales de comunicación habituales de la empresa y no se extendió más allá de su cartera. Todo el tráfico de la red se bloquea normalmente mediante cortafuegos (firewall) a la entrada de la red y sistemas de detección de fugas, pero la mayoría de estos sistemas se ocupan de las amenazas conocidas. Si surge algo nuevo, se puede hacer un análisis del tráfico basado en el tráfico en vivo previamente guardado junto con la carga útil. Por lo tanto, es importante no sólo confiar en los datos de los sistemas de seguridad, sino también poder supervisar y analizar continuamente el tráfico de entrada y salida de la red.

Se puede hacer una analogía con los sistemas de seguridad física, en los que las cámaras de CCTV graban continuamente el entorno de un local o de una empresa, todo ello además de las cerraduras electrónicas, los sistemas de acceso, las barreras, etc.

Y en caso de emergencia, siempre será posible rebobinar la cinta y ver quién hizo qué y cuándo. Esto te permitirá entender por qué hubo una brecha en el sistema y qué hay que hacer para evitar que se repita.

Limitaciones de los sistemas de análisis de tráfico existentes

En el mundo real de las TI, esto es algo que se olvida y no se le da la atención que merece en los sistemas de análisis de tráfico en vivo, por lo que la filtración de Equifax confirma el hecho de que es necesario que haya un registro histórico 24/7 de lo que sucedió en la red y cómo se produjo una violación de datos tan grande.

Muy a menudo, al principio de un proyecto, cuando se habla con los clientes sobre la monitorización, se asocia con sistemas basados en SNMP, IP LSA o NetFlow. Y como resultado se obtiene la respuesta: tenemos todo y todo está controlado.

Pero en su esencia estos sistemas no son sistemas de análisis de tráfico completos que ayuden. Estos sistemas son sólo estadísticos y pueden informar sobre el estado del elemento de la infraestructura promediado durante un período (SNMP, IP SLA) o el uso de un canal de comunicación (NetFlow con una precisión de un minuto – no está nada mal) y pueden servir como complemento a los sistemas de análisis de tráfico de paquetes.

Según el análisis del tráfico de paquetes, se puede ver:

• Las aplicaciones reales que se utilizan en la red.
• Ver los enlaces URL y los nombres de dominio visitados por los usuarios.
• Las cabeceras HTTP y los comandos que se ejecutan.
• Información del servicio DHCP y DNS: IP, direcciones MAC y nombres de host.
• Información del protocolo SMTP: direcciones de correo, asunto del mensaje, etc.
• Información sobre SMB y NFS.
• El tráfico entrante y saliente no se agrega.
• Datos GeoIP.
• Cálculo del volumen de tráfico real.
• Capacidad de detección de ataques en la capa de aplicación.

Requisitos básicos para un sistema de análisis del tráfico

La mayoría de los expertos creen que los cortafuegos (firewalls), los sistemas de seguridad y el análisis del tráfico entrante y saliente deben estar físicamente separados. No se puede confiar en los registros de un cortafuegos que guarde todos los registros de tráfico, porque durante un ataque (de hackers o de un virus) no estará disponible y no proporcionará ninguna información.

Un sistema de registro y análisis de tráfico dedicado siempre proporcionará información adicional y valiosa, y lo que es más importante, podrás analizar el tráfico en tiempo real o durante cualquier periodo (limitado por la capacidad de almacenamiento y el ancho de banda). Esto te permitirá ver cómo se produce un ataque y qué ocurre con el tráfico de salida de la red corporativa, evitando la fuga de datos.

Requisitos básicos que debe cumplir un sistema de análisis de tráfico:

• Garantía de registro de paquetes completos (no de metadatos).
• Registro garantizado a toda la velocidad del enlace (por ejemplo, los sistemas tienen una interfaz de 8-10 gigabits, pero realmente escriben datos a no más de 5-7 Gbps).
• Capacidad de almacenar paquetes a lo largo del tiempo sin modificar los datos (cortar, fusionar, etc.).
• Capacidad para crear informes, tendencias, alarmas y notificaciones a través de SNMP, Syslog, correo electrónico, etc.
• Posibilidad de ampliar el almacenamiento para aumentar el tiempo de grabación del tráfico.
• La selección y el pilotaje del sistema deben hacerse con antelación y no en el momento de la fuga.

En un mundo en el que todo está conectado, es importante entender cómo funcionan las redes que utilizamos a diario y cómo protegerlas contra cualquier actividad maliciosa, pero sobre todo, monitorearlas 24/7.