El campo de seguridad ha crecido exponencialmente, cambiando desde protección física a

protección perimetral, y luego a protección end point, junto con una gestión unificada. Seguridad
no se trata únicamente de enfrentarse contra malware, crackers, hackers, si no que se trata de
mantener protegida toda la información que circula en la red y asegurarse de revenir intentos no
autorizados.

Hay cuatro áreas grandes que permiten garantizar una red segura:

- Seguridad perimetral.
- Protección end point.
- Monitoreo.
- Backup y recuperación frente a desastres.

Aunque son cuatro áreas con conceptos individuales, deberían cooperar entre sí y gestionarse en
una unidad integral, permitiendo obtener una imagen global del estado de la red.

1. Seguridad perimetral:

En toda red deben definirse dos límites:

- El primero, consiste en delimitar el dominio interno de la empresa del dominio del

exterior, permitiendo entender la zona de la empresa y como debe ser gestionada y
protegida.
- La segunda consiste en definir los limites hostiles que deben ser protegidos, con el fin de
asegurarse que nadie puede entrar y hacer lo que quiera en el dominio de la empresa.

Se definen tres herramientas o técnicas para reforzar la seguridad perimetral, y estas son: Firewall,
IDS/IPS, proxy.

En el texto no explican cómo gestionar la protección perimetral en servicios cloud, aunque es muy
importante ser cuidadoso con estos si se están trabajando en su empresa.

- Firewall:

Es la primera línea de defensa en una red de computador, su función es permitir o denegar el

trafico que circula por la red, mediante el uso de una reglas o políticas definidas por el usuario.

Existen dos tipos de Firewall:

 El Software Firewall: consiste en un software funcionando en un sistema operativo.

 El Hardware Firewall: consiste en un dispositivo embebido con un sistema operativo
dedicado únicamente para funciones firewall.

El software encargado de gestionar la red se llama Iptables, y se encarga de permitir o bloquear

paquetes.

Se recomienda denegar todo el trafico que circula por la red, y permitir únicamente el tráfico de
paquetes utilizados por los empleados, aplicaciones o políticas requeridas.
Las Iptables evalúan las reglas en forma Top-Down (arriba-abajo), cuando un paquete se relaciona
con una regla establecida, este deja de evaluar las reglas que siguen a continuación, y aplica la
regla que hizo emparejamiento con el paquete.

Por ejemplo, si estoy denegando el trafico de una IP A a una IP B (1), y más abajo tengo una regla
que permite la entrada de todo tráfico al puerto 80, de cualquier subnet A (2), si tengo primero la
regla 2, la regla 1 será inefecttiv, porque todo el tráfico de la red A hará match con la regla 1, y una
vez aplica esta regla, las que se encuentran debajo de esta ya no importan.

Algunas soluciones son sistemas operativos basados en BSD, y también existen ZeroShell (basado
en linux), o pfSense (basado9 en FreeBSD). Ambos son muy útiles para la gestión de paquetes e
incluyen algunas funciones de seguridad adicionales.

- IPS/IDS:

IDS significa Intrusion Detection System (Sistema de deteccion de intrusos), e IS significa Intrusion
Prevention System (Sistema de prevencion de intrusos).

- El software IDS evalua la naturaleza del trafico de la red con el fin de encontrar patrones
comunes, intentos o éxitos comprometidos con malware, o comunicaciones de red poco
comunes. Los reporta.
- El software IPS funciona como el IDS ppero tiene la función de bloquear pproactivamente
los intentos de acceso a la red, en lugar de solo reportarlos.

Un IDS se puede convertir en un IPS si se activa la función de prevención.

Al igual que firewall, IDS/IPPS funciona con uunas reglas definidas, esto significa que todo el trafico
analizado es comparado con las reglas y firmas creadas, de esta forma, si el trafico se empareja
con una regla, se genera una acción definida previamente. Si el trafico no se empareja con ninguna
regla, IPS/IDS no podrían detectar comportamientos extraños. Por esto es necesario mantenerlos
actualizados, y leer foros en comunidades que ecpplican sobre la creación de nuevas reglas, sobre
como monitorear y revisar las políticas definidas por la empresa.

- Una herramienta útil para este propósito es Snort.

- HTTP ROXY:

Es una herramienta flexible que se puede usar para mejorar la velocidad de navegación en los
sitios WEB, mediante el almacenamiento de estos sitios en cache, reduciendo el trafico de la red al
exterior.

También permite FiltradoURL y verificación de antivirus.

- Para el filtrado url, se pueden filtrar sitios o dominios, a partir deel tipo de trafico
permitido o bloqueado basados en el URL.
- La verificación de Antivirus, permite activar el funcionamiento de un antivirus que
escanea todo el trafico HTTP en búsqueda de Malware conocido.
HAVP es una buena herramienta HTTP Proxy que soporta el funcionamiento de Antivirus. Este
además de analizar el texto, analiza imágenes compprimidas y archivos.

Otro recomendado es ZeroShell y PfSense, los cuales fucionan con e motor ClamAV.

La efectividad del antivirus depende de las ppoliticas de actualización que estos manejen.

- Protección End Point:

Esta protección esta enfoccada a las comunicaciones End point, por lo que se refiere a proteger
estaciones de trabajo, servidores y en general cualquier dispositivos que se comunique con otro
de forma tanto interna como externa. Se puede tener una protección muy robusta en cuanto a
hardware costoso, políticas de seguridad estrictas, pero si se abre un correo con malware, esto no
servirá para nada, si no se tienen protegidas las estaciones de trabajo, servidores y dispositivos
conectados a la red.

Para los atacantes es más fácil lanzar un anzuelo en la red, esperando a que cualquier ersona de la
organizacuion caiga en el, y le permita un acceso al atacante a la red de la compañía.

Hay muchas técnicas y herramientas para reenforzar y asegurar los dispositivos, ero estas
dependen del sistema operativo, de las configuraciones de la red y de las políticas de red de la
compañía.

- Reforzar las cuentas de usuario.

Un caso especifico es el acceso a una cuenta de usuario mediante malware. En este caso si la
cuenta del usuario tiene permiso de administrador, el aracante podrá controlar por completo el
dispositivo, y desues atacar otros dispositivos conectados al intranet. Es por esto que se
recomienda que los usuarios tengan una cuenta diferente en el sistema, la cual carezca de ermisos
de administrador, yque solo le sean permitidos si se necesita. Aunque no es un método 100 %
seguro, puede prevenir el malware atomaizado que funciona mediante los permisos y rivilegios de
administrador. Se recomiend crear una gestión de usuarios robusta con buenas políticas de
seguridad.

- Antivirus:

El mito de sistemas operativos libres de malware no existe, porello es necesario contar con
antivirus robustos en las estaciones de trabajo. El diseño y la implementación de un antivirus
efectivo, puede ayudar a reducir el acceso de malware conocido, como por ejemplo troyanos y
spyware, y también ppuede ayudar a identificar malware desconocido.

Es muy recomendable utilizar un antivirus centralizado, porque permite instalar software seguro
remotamente y automáticamente sin necesidad de involucrar a cada usuario. Generalmente estas
soluciones son comerciales, por lo que hay que invertir una cierta cantidad de dinero en estas
herramientas.
Un antivirus centralizado es el Symantec Endpoint Protection Center, el cual permite instalar las
suite de antivirus en los clientes y gestionarlos, permiteindo definir politicasm, acciones y
actividades, para cada cliente configurado.

- Software de protección y software firewall:

El software de protección hace referencia a un software que funciona sobre un sistema

operativo, este es usado en el caso de que algun malware empiece a ejecutarse en el
background sin que el usuario se de cuenta de esto. Gracias al sofwtware de roteccion,
ppermitira detener los efectos negativos deteniendo el exploit.
El software de Firewall se asemeja a la función de firewall que trae Windows: y su objetivo
es denegar o permitir el trafico de la red basándose en el software que está correindo en
la máquina y su comportamiento.
Una herramietta muy útil para Windows es EMET. Este prevee la ejecución de código
exploit, por lo que resulta en el crasheo de la aplicación que contiene el exploit.

- Gestion de PATCH:

Es necesario asegurarse que todo el software que funciona en el dispositivo esté

actualizado a su última versión. Esto se debe a que día a día se desarrolla malware, y se
encuentran vulnerabilidades en el software o sistemas operativos.
Es necesario diseñar e implementar, un plan de gestión adecuado, probado y efectivo,
para garantizar que todo el software instalado en los dispositivos se encuentre
actualizado, reduciendo el área de ataque.
Un software útil para Linux es PPuppet y Spacewalk. Para Microsoftt, se puedeusar
System Center Configuration Manager(SCCM), o también Windows Server Update
Service(WSUS).

- Monitoreo:

Como dice Bruce Schneier, “La seguridad no es un producto, si no un proceso”, es necesario

aeguurarse que el proceso esta en la dirección correcta, manteniendo los sistemas y dispositivos
actualizados, responder activamente a ataques y violaciones de seguridad.

El monitoreo asegura que todo funcione correctamente, que los sistemas estén actualizados,
seguros, posiblemente limpios y recuperados. El autor divide el monitoreo en tres partes:

- Event log: en Windows, elgestionamiento de evento logs permite revisar las actividades
del sistema operativo.

En Linux o sistemas operativos MAC también se ueden encontrar logs en el kkernel y las
actividades de software, junto con un buen nivel de detalles, aunque es necesario escarbar un
poco en los archivos de configuración del sistema operativo.
Un punto clave para gestionar y analizar evento logs consiste en la habilidad de filtrar, agregar y
observar grandes cantidades de información, ara que apartir de estas establecer un rastro,
relacionarlas y graficar los eventos.

Algunas actividades interesantes de revisión de logs consiste en observar los eventos logon y
logodd, los dispositivos USB conectados y desconectados, las solicitudes de credenciales
especiales, entre otros

El software recomendado es Zoho ManageEngiene Eventlog Analizer, Nagios.

- Recursos de Sistema:

Ara obtener una imagen de todo el sistema operativo, es necesario monitorear los recursos de
sistema locales, debido a que pueden ser utilzes para encontrar comportamientos inusuales que
ueden pproveniente4s de software no deseaado o de malware consumiendo recursos. También es
importante monitoreas para encontrar un posible consumo de recursos por pparte de software
para conseguir Denegacion del servicio DoS, o atacara alicaciones mal diseñadas.

Se recomienda usar un software centralizado, que permita monitorear los recursos de los
disppossitivos, como por ejemplo Nagios y Spicework: los cuales usan un agente funcionando en la
maquina Endppoint, el cual envía toda la información a un servidor centralizado encargado de
recolectar, analizar y graficar esta información.

- Red:

Aunque el malware ppuede esconderse de los antivirus, y consumir recursos del sistema sin
generarventos, este deberá si os si comunicar44 a sistemas externos de su correcta activación, por
lo que no podrá esconderse del trafico en la red.

La mayoría de Switches de nivel intermedio soportan el monitoreo de puerto. El cual es un puerto

físico por el que pasa todo el trafico del switch. E este es recomendable instalar un software de
monitoreo de red.

También es recomendable instalar un monitor de red en un firewall o en un Gateway de

enrutamiento. Algunas soluciones son Snortt y ntop, los cuales cuentan con interfaces web que
permiten monitorear y descubrir comunicaciones extrañar en la red.

Es recomendable instalar dos sistemas de monitoreo de red, uno en el firewall o router, y otro en
el ppuerto de monitoreo del switch, un servidor para recolectarm analizar y almacenar los logs de
red.

- Backup y recueracion a desastre:

Este es el uíltimo aspecto a tener en cuenta, en la protección de la red de una empresa.

La red debe estar protegida contra desastres físicos y fallos de hardware. Es necesario establecer
unos planes y metodologías eficientes para el backup y recueracion a desastres.
El objetivo del Backu es el de salvar información importante, como por ejemplo volcados de bases
de datos, documentos y archivos entre otros que son relevantes para los negocios de la empresa, y
cuya perdida puede generar un impactto negativo.

La recuperación a desastres permite garantizar que el negocio continue incluso desuues de

desastres externos, como por ejemplo, fuego terremotos, o simplemente fallas de hardware.

Algunas herramientas son RAIDNAs( Para empresas medianas) o Net

Ap para empresas grandes.

El disco duro es pieza fundamental para pprteger en contra de desastres, porque contiene
informaciónrelacionada al sistema operativo, configuracions, e información de aplicaciones que
podrían afectar en caso de falla al negocio de la compañía.

Un buen software de recuperación necesita imlementar un backup complpleto e incremental del

disco duro, es más es necesario que se pueda hacer un Backup en caliente (sin desconecttar la
maquina), y también deberá usar un buen gestor de almacenamiento que se encargue de guardar
la imagen del disco duro. Esta imagen deberá poder recuperarse enun nuevo disco duro si se
necesita, evitando la instalación del sistema operativo y software. Aunque estas herramientas son
pagas, también se podría hacer manualmente ediante software gratiuito como por ejemplo
(Guymanager, FTK Imager).