Seguridad de red: los cuatro pilares de la seguridad de extremos

Al concentrarse en estos aspectos fundamentales de la seguridad de red, puede mantener a los tipos malos afuera y los datos buenos dentro.

Dan Griffin

Las redes empresariales y sus activos están bajo constante ataque por parte de intrusos. Para agravar el problema, el perímetro de la red empresarial es completamente permeable. Al trabajar en una infraestructura de TI segura, el objetivo principal de la mayoría de las empresas es mantener una continuidad de negocios sin problemas. Sin embargo, debido a que los atacantes pueden comprometer el equipo, el dispositivo móvil, el servidor o una aplicación de un usuario, a menudo se produce tiempo de inactividad en los entornos empresariales.

Una denegación de servicio distribuido (DDoS) es un tipo de ataque que puede provocar un colapso del ancho de banda. Es importante tener en cuenta que puede haber muchas otras condiciones que también pueden provocar una carga excesiva de la red. Por ejemplo, el uso compartido de archivos de punto a punto, el uso intensivo de secuencia de vídeo y el uso máximo de un servidor interno o externo (por ejemplo, el Viernes Negro de la industria minorista) pueden hacer que la red se ejecute de manera lenta tanto para usuarios internos como para clientes externos.

Las secuencias de vídeo son otro buen ejemplo de aplicaciones que utilizan mucho ancho de banda, y existen muchos tipos de empresas que dependen cada vez más de ellas para operaciones comerciales fundamentales. Las compañías distribuidas geográficamente las utilizan para comunicaciones entre oficinas; las compañías de administración de marcas las utilizan para campañas multimedia, y los militares las usan para comando y control.

Estas condiciones han llevado a una situación precaria. Es fácil atacar mediante DDoS; la secuencia de vídeo es altamente sensible a la disponibilidad de ancho de banda; las redes ya están muy cargadas incluso en casos óptimos; y las empresas dependen cada vez más de estas tecnologías.

Los administradores de TI deben estar preparados. Deben cambiar su pensamiento y planeación a largo plazo acerca del uso de recursos, acerca de la protección de dispositivos en la red y acerca de la protección del ancho de banda de red crítico. Este modelo de seguridad de extremos puede ayudar a alinear este pensamiento con las realidades modernas.

Cuatro pilares

La premisa básica de los cuatro pilares es permitir que la red funcione, incluso al estar bajo ataque. El primer paso es identificar los extremos. ¿Qué es un extremo? En este modelo, un extremo es cualquiera de las siguientes opciones, donde el trabajo se realiza realmente: escritorios, servidores y dispositivos móviles.

Teniendo en cuenta estos extremos, es fundamental contar con una estrategia para protegerlos. Esta estrategia, los cuatro pilares de la seguridad de extremos, tiene los siguientes objetivos:

• Proteger al extremo contra ataques
• Hacer que el extremo se recupere por sí solo
• Proteger el ancho de banda de red
• Hacer que la red se recupere por sí sola

Con esto en mente, las siguientes son los cuatro pilares de la seguridad de extremos eficaz:

• Endurecimiento de los extremos
• Resistencia de los extremos
• Priorización de la red
• Resistencia de la red

Por cada pilar existen varios objetivos adicionales que se deben considerar. Primero, es recomendable automatizar el proceso tanto como sea posible. Después de todo, el día sólo tiene una determinada cantidad de horas, y los administradores de TI ya tienen sus horarios completos.

Segundo, se debe supervisar de manera central la red, de manera que se sepa lo que ocurre en tiempo real. Aunque un propósito de los dos pilares de resistencia es reducir esta carga de supervisión tanto como sea posible, a veces es necesario implementar defensas y contramedidas manuales. Asimismo, el equipo a veces también falla, incluso bajo condiciones normales.

Tercero, se debe establecer un bucle de retroalimentación. A medida que los ataques se hacen cada vez más sofisticados, debemos reconocer que nuestras defensas no podrán mantener el ritmo, a menos que continuamente hagamos las inversiones correctas para reforzarlas. Al mismo tiempo, debemos reconocer que las inversiones en seguridad de red han demostrado ser históricamente difíciles de justificar como gastos comerciales fundamentales.

Ésta es la razón por la que es esencial la supervisión y la retroalimentación constantes. Mientras mejor entendamos, y podamos demostrar, las amenazas y los ataques reales que ocurren en nuestro perímetro y dentro de la red, mejor podremos justificar la atención y el gasto que se dedican a proteger dichos activos.

Endurecimiento de los extremos

El objetivo del primer pilar, endurecimiento de los extremos, es asegurar que los activos de red utilicen las tecnologías más recientes para defenderse contra amenazas. Las amenazas típicas incluyen datos adjuntos de correo electrónico inseguros, virus similares a gusanos que se propagan por la red y cualquier cosa relacionada que constituya una amenaza para los exploradores web.

Un ejemplo de contramedida para ataques es el software antivirus o antimalware. Otro ejemplo es el aislamiento, o espacio seguro, de los procesos de aplicaciones de los equipos contra posible malware, a través de niveles de integridad obligatorios aplicados por el SO. Este tipo de protección se aplica a Internet Explorer versiones 7 y 8 en Windows Vista y Windows 7.

Una mejora que es de utilidad es la capacidad de implementar y administrar de manera central configuraciones de aislamiento para todo el host. Para que surta efecto, esto se debe realizar de manera que las aplicaciones de terceros funcionen sin problemas (y estén protegidas).

Entonces, ¿de qué manera se aplica la supervisión a este pilar? Se debe supervisar que no se produzcan intrusiones en los activos de red en el campo de manera escalable. También se debe vigilar si se producen patrones de comportamiento inesperados.

Resistencia de los extremos

El objetivo de la resistencia de los extremos es asegurar que la información de mantenimiento de los dispositivos y las aplicaciones se reúna y se supervise continuamente. De esta forma, los dispositivos o aplicaciones fallidos se pueden reparar automáticamente, permitiendo así que las operaciones continúen.

Las siguientes tecnologías son ejemplos que pueden hacer a los extremos más resistentes: protección de acceso a redes, “línea de base” de configuración y herramientas de administración, tales como Microsoft System Center. Una mejora en esta área sería unir estas tecnologías para producir un comportamiento de recuperación automática, basado en líneas de base estandarizadas y fáciles de ampliar.

¿Cómo se aplica la supervisión a este pilar? Considere las tendencias en cualquiera de las siguientes áreas: ¿qué máquinas en particular no están cumpliendo, de qué manera no cumplen y cuándo ocurre este no cumplimiento? Todas estas tendencias pueden conducir a conclusiones acerca de las posibles amenazas, ya sean internas, externas, un error de configuración, errores de usuario, etc. De la misma forma, al identificar amenazas de esta manera, constantemente se pueden fortalecer los extremos para enfrentar ataques cada vez más sofisticados y distribuidos.

Priorización de la red

El objetivo de la priorización de la red es asegurar que la infraestructura siempre pueda satisfacer las necesidades de ancho de banda de las aplicaciones. Esta consideración no sólo se aplica a tiempos de demanda máxima bien conocidos, sino también cuando ocurren aumentos repentinos inesperados en las cargas de red y en los ataques externos e internos distribuidos.

Entre las tecnologías que pueden administrar ancho de banda de aplicaciones están DiffServ y QoS. Sin embargo, este pilar actualmente representa la mayor brecha tecnológica entre lo que es necesario y lo que está comercialmente disponible. En el futuro, sería útil contar con soluciones que integren la identidad del usuario, la identidad de la aplicación y las prioridades del negocio. De esta forma, los enrutadores de red podrían realizar automáticamente la partición del ancho de banda basados en esta información.

¿Cómo se aplica la supervisión a este pilar? Los enrutadores de red deben realizar el registro de flujo para el análisis de tendencias. ¿En qué se diferencian los flujos de hoy de los de ayer? ¿Existe una mayor carga? ¿Qué direcciones nuevas se incluyen? ¿Son internacionales? La supervisión eficaz e integral puede ayudar a responder estas preguntas.

Resistencia de la red

El objetivo de la resistencia de la red es permitir la conmutación por error de activos. Las técnicas en esta área, idealmente, permiten reconfigurar la red en tiempo real a medida que el rendimiento merma. Este pilar es similar a la resistencia de los extremos, en el sentido de que su objetivo es facilitar la recuperación automática de la red para minimizar la carga de administración.

Sin embargo, este pilar también dirige su atención al hecho de que la conmutación por error y la redundancia se deben considerar a gran escala, así como a menor escala. Por ejemplo, se puede usar la tecnología de agrupación en clústeres para ofrecer conmutación por error en un único nodo dentro de un centro de datos, pero, ¿cómo se conmuta por error todo un centro de datos o región? Se debe reconocer que el desafío de la planeación de recuperación ante desastres es aun más amplio, dado que se deben considerar el espacio de la oficina, los servicios básicos y, lo más importante, el personal.

Además de la agrupación en clústeres, otras tecnologías relevantes de este pilar incluyen la replicación y la virtualización. ¿Cómo se aplica la supervisión a este pilar? Las tecnologías de conmutación por error en general se basan en la supervisión. Además, se pueden usar datos de carga para la planeación de recursos y adquisiciones a medida que las necesidades evolucionan.

Realización de cada pilar

Para cada uno de estos cuatro pilares de la seguridad de extremos, es probable que se disponga comercialmente de tecnologías de seguridad, red y continuidad de negocios, que estén infrautilizadas o que la mayoría de las organizaciones aún no hayan implementado. De esta forma, los administradores de TI tienen las siguientes oportunidades:

• Usar los cuatro pilares, o algún otro marco, para identificar amenazas y brechas en sus defensas de red
• Hacer inversiones adicionales en automatización y supervisión
• Participar de manera más cercana con los responsables de la toma de decisiones de negocios respecto los costos y beneficios de estos esfuerzos

Algunas empresas ya pueden encontrarse muy avanzadas en lo que está disponible en las áreas de uno o más de estos pilares. De esta forma, también existen muchas oportunidades para los empresarios. Lo que es fundamental es reestructurar el pensamiento para adaptarse a cada uno de estos cuatro pilares, dado que todos son esenciales.

Dan Griffin es consultor de seguridad de software con base en Seattle. Puede ponerse en contacto con él en www.jwsecure.com

Contenido relacionado

• Windows 7: la fabulosa seguridad de Windows 7
• Microsoft Forefront: uso de Microsoft Forefront TMG 2010 como puerta de enlace web segura
• Experto en varios temas: AppLocker: ¿la primera panacea de seguridad en TI?