Redes paranoicas contra ataques
Junto a altos niveles de rendimiento, disponibilidad y fiabilidad, las redes deben ofrecer hoy además un sistema de seguridad lo suficientemente potente –rayano en la paranoia– como para proteger la información corporativa de accesos indeseados que, en algunos casos, incluso pueden poner en peligro el negocio de la empresa. Dentro de estos sistemas de seguridad, los firewalls juegan un papel esencial.
En los actuales entornos de conectividad, donde cada día más información viaja a través de las redes, resulta fundamental mantener la integridad de los datos y proteger la información corporativa. En la práctica, estos requerimientos suponen una tarea interminable. No sólo hay que luchar contra los hackers externos; también hay que mantener la red y los recursos a salvo de ataques internos. De hecho, según la Computer Crime Unit del FBI, más del 80% de todos los ataques contra la seguridad de las organizaciones tienen su origen en empleados descontentos o desalmados.
Estos ataques pueden tomar diferentes formas. Pueden venir en forma de ataques de denegación de servicio (DoS), robos de información o corrupción de datos. Pero, con independencia del tipo o procedencia del ataque, un sistema efectivo de asegurar la integridad de la información debe controlar los accesos implementando políticas que determinen detalladamente quién está autorizado a acceder a qué información. Para ello, conviene disponer de sistemas de autenticación de usuarios (contraseñas, certificados digitales, firmas digitales...), encriptación y protección de datos de extremo a extremo, sin olvidar la propia protección física de los equipos. Una empresa puede emplear uno o todos estos elementos, pero la mejor estrategia dependerá del riesgo involucrado, el coste de despliegue y el coste potencial que suponga tener una brecha de seguridad o una pérdida de datos..
Control de accesos
En cualquier caso, el mejor modo de controlar los accesos de los usuarios internos y externos a una red, ordenador o aplicación concreta es instalar firewalls. Estos dispositivos, que proporcionan un punto centralizado desde el cual permitir o denegar accesos, filtran los paquetes entrantes y salientes de una organización según el conjunto de reglas y políticas establecidas. Pueden conceder accesos a una red de la empresa en función del nombre y contraseña de usuario, tipo de servicio solicitado (ftp, telnet, http), localización de destino (red u ordenador) o localización del solicitante (dirección de red). Además, pueden solicitar autenticación a cualquier tráfico antes de autorizar el acceso.
Junto algunos productos híbridos de difícil catalogación, existen dos clases fundamentales de cortafuegos, diferenciadas por el modo en que tratan el tráfico externo.
- Firewalls de inspección de paquetes. Este tipo de firewalls controla los accesos y los datos entrantes y salientes de la organización, ya se traten de routers o conmutadores configurados con listas de accesos o equipos especializados. Pueden permitir o denegar accesos en función del protocolo, puerto fuente o de destino, y fuente y destino de las direcciones IP. Es más, para obtener un mayor nivel de seguridad es posible configurarlos para que sólo acepten las comunicaciones TCP que se inician en la red interna. Por lo general, no emplean ninguna clase de autenticación de usuario, debido a que los entornos en los cuales suelen estar desplegados tratan niveles de tráfico demasiado elevados.
- Firewalls de aplicación/proxy. Estos dispositivos o agentes software tratan las peticiones dirigidas a una aplicación de red o un servidor evitando que éstos lo hagan directamente, protegiéndoles así de accesos no deseados. Los firewalls de aplicación/proxy soportan caching local de contenidos Web y conversión de direcciones, escondiendo las direcciones IP internas de los navegantes de Internet. También hacen posible permitir accesos en función de las direcciones fuente, direcciones de destino o una identidad (autenticación).
Entre otras funciones que pueden proporcionar los firewalls se encuentra el soporte para crear zonas desmilitarizados (DMZ), filtrado de contenidos para asegurar que, por ejemplo, no se accede a determinados sitios Web; soporte de VPN (redes privadas vituales); y detección de virus. Algunos firewalls ofrecen también prestaciones complementarias de servidores DHCP, After NAT, clientes PPOE para conexiones a módems DSL, VLL, etc.
Asimismo, pueden implementar protocolos de seguridad de nivel de red, como Internet Protocol Security (IPSec), para proteger la información cuando se está moviendo por la red. IPSec funciona a nivel del paquete, de modo que cada uno de ellos puede ser protegido para proporcionar autenticación, integridad y, opcionalmente, confidencialidad.
Existen en el mercado una amplia gama de firewalls por una enorme diversidad de precios, pero conviene tener en cuenta que los basados en hardware (inspección de paquetes) resultan más fáciles de instalar y configurar que los basados en software. Requieren también un menor mantenimiento. Este tipo de productos de alto rendimiento están diseñados para ofrecer altas capacidades de proceso y soportar un elevado volumen de inspección de paquetes.
Gestión de la seguridad
----------------------------------
Un sistema de seguridad debería poder ser supervisado y controlado por un responsable técnico. De hecho, cualquier sistema que utilice autenticación de usuario requiere alguna autoridad central que se encargue de verificar esas identidades. La posibilidad de analizar históricos sobre intentos de acceso fallidos puede proporcionar información muy valiosa para proteger la información corporativa.
Algunas de las más recientes especificaciones de seguridad, como IPSec, requieren la existencia de una base de datos que contenga las reglas y políticas a aplicar. Todos estos elementos deben ser gestionados por el sistema. Sin embargo, las consolas y herramientas de gestión representan a su vez otro potencial punto de inseguridad que habrá que proteger.
En los actuales entornos de conectividad, donde cada día más información viaja a través de las redes, resulta fundamental mantener la integridad de los datos y proteger la información corporativa. En la práctica, estos requerimientos suponen una tarea interminable. No sólo hay que luchar contra los hackers externos; también hay que mantener la red y los recursos a salvo de ataques internos. De hecho, según la Computer Crime Unit del FBI, más del 80% de todos los ataques contra la seguridad de las organizaciones tienen su origen en empleados descontentos o desalmados.
Estos ataques pueden tomar diferentes formas. Pueden venir en forma de ataques de denegación de servicio (DoS), robos de información o corrupción de datos. Pero, con independencia del tipo o procedencia del ataque, un sistema efectivo de asegurar la integridad de la información debe controlar los accesos implementando políticas que determinen detalladamente quién está autorizado a acceder a qué información. Para ello, conviene disponer de sistemas de autenticación de usuarios (contraseñas, certificados digitales, firmas digitales...), encriptación y protección de datos de extremo a extremo, sin olvidar la propia protección física de los equipos. Una empresa puede emplear uno o todos estos elementos, pero la mejor estrategia dependerá del riesgo involucrado, el coste de despliegue y el coste potencial que suponga tener una brecha de seguridad o una pérdida de datos..
Control de accesos
En cualquier caso, el mejor modo de controlar los accesos de los usuarios internos y externos a una red, ordenador o aplicación concreta es instalar firewalls. Estos dispositivos, que proporcionan un punto centralizado desde el cual permitir o denegar accesos, filtran los paquetes entrantes y salientes de una organización según el conjunto de reglas y políticas establecidas. Pueden conceder accesos a una red de la empresa en función del nombre y contraseña de usuario, tipo de servicio solicitado (ftp, telnet, http), localización de destino (red u ordenador) o localización del solicitante (dirección de red). Además, pueden solicitar autenticación a cualquier tráfico antes de autorizar el acceso.
Junto algunos productos híbridos de difícil catalogación, existen dos clases fundamentales de cortafuegos, diferenciadas por el modo en que tratan el tráfico externo.
- Firewalls de inspección de paquetes. Este tipo de firewalls controla los accesos y los datos entrantes y salientes de la organización, ya se traten de routers o conmutadores configurados con listas de accesos o equipos especializados. Pueden permitir o denegar accesos en función del protocolo, puerto fuente o de destino, y fuente y destino de las direcciones IP. Es más, para obtener un mayor nivel de seguridad es posible configurarlos para que sólo acepten las comunicaciones TCP que se inician en la red interna. Por lo general, no emplean ninguna clase de autenticación de usuario, debido a que los entornos en los cuales suelen estar desplegados tratan niveles de tráfico demasiado elevados.
- Firewalls de aplicación/proxy. Estos dispositivos o agentes software tratan las peticiones dirigidas a una aplicación de red o un servidor evitando que éstos lo hagan directamente, protegiéndoles así de accesos no deseados. Los firewalls de aplicación/proxy soportan caching local de contenidos Web y conversión de direcciones, escondiendo las direcciones IP internas de los navegantes de Internet. También hacen posible permitir accesos en función de las direcciones fuente, direcciones de destino o una identidad (autenticación).
Entre otras funciones que pueden proporcionar los firewalls se encuentra el soporte para crear zonas desmilitarizados (DMZ), filtrado de contenidos para asegurar que, por ejemplo, no se accede a determinados sitios Web; soporte de VPN (redes privadas vituales); y detección de virus. Algunos firewalls ofrecen también prestaciones complementarias de servidores DHCP, After NAT, clientes PPOE para conexiones a módems DSL, VLL, etc.
Asimismo, pueden implementar protocolos de seguridad de nivel de red, como Internet Protocol Security (IPSec), para proteger la información cuando se está moviendo por la red. IPSec funciona a nivel del paquete, de modo que cada uno de ellos puede ser protegido para proporcionar autenticación, integridad y, opcionalmente, confidencialidad.
Existen en el mercado una amplia gama de firewalls por una enorme diversidad de precios, pero conviene tener en cuenta que los basados en hardware (inspección de paquetes) resultan más fáciles de instalar y configurar que los basados en software. Requieren también un menor mantenimiento. Este tipo de productos de alto rendimiento están diseñados para ofrecer altas capacidades de proceso y soportar un elevado volumen de inspección de paquetes.
Gestión de la seguridad
----------------------------------
Un sistema de seguridad debería poder ser supervisado y controlado por un responsable técnico. De hecho, cualquier sistema que utilice autenticación de usuario requiere alguna autoridad central que se encargue de verificar esas identidades. La posibilidad de analizar históricos sobre intentos de acceso fallidos puede proporcionar información muy valiosa para proteger la información corporativa.
Algunas de las más recientes especificaciones de seguridad, como IPSec, requieren la existencia de una base de datos que contenga las reglas y políticas a aplicar. Todos estos elementos deben ser gestionados por el sistema. Sin embargo, las consolas y herramientas de gestión representan a su vez otro potencial punto de inseguridad que habrá que proteger.
