Documentos de Académico
Documentos de Profesional
Documentos de Cultura
protección perimetral, y luego a protección end point, junto con una gestión unificada. Seguridad
no se trata únicamente de enfrentarse contra malware, crackers, hackers, si no que se trata de
mantener protegida toda la información que circula en la red y asegurarse de revenir intentos no
autorizados.
Hay cuatro áreas grandes que permiten garantizar una red segura:
- Seguridad perimetral.
- Protección end point.
- Monitoreo.
- Backup y recuperación frente a desastres.
Aunque son cuatro áreas con conceptos individuales, deberían cooperar entre sí y gestionarse en
una unidad integral, permitiendo obtener una imagen global del estado de la red.
1. Seguridad perimetral:
Se definen tres herramientas o técnicas para reforzar la seguridad perimetral, y estas son: Firewall,
IDS/IPS, proxy.
En el texto no explican cómo gestionar la protección perimetral en servicios cloud, aunque es muy
importante ser cuidadoso con estos si se están trabajando en su empresa.
- Firewall:
Se recomienda denegar todo el trafico que circula por la red, y permitir únicamente el tráfico de
paquetes utilizados por los empleados, aplicaciones o políticas requeridas.
Las Iptables evalúan las reglas en forma Top-Down (arriba-abajo), cuando un paquete se relaciona
con una regla establecida, este deja de evaluar las reglas que siguen a continuación, y aplica la
regla que hizo emparejamiento con el paquete.
Por ejemplo, si estoy denegando el trafico de una IP A a una IP B (1), y más abajo tengo una regla
que permite la entrada de todo tráfico al puerto 80, de cualquier subnet A (2), si tengo primero la
regla 2, la regla 1 será inefecttiv, porque todo el tráfico de la red A hará match con la regla 1, y una
vez aplica esta regla, las que se encuentran debajo de esta ya no importan.
Algunas soluciones son sistemas operativos basados en BSD, y también existen ZeroShell (basado
en linux), o pfSense (basado9 en FreeBSD). Ambos son muy útiles para la gestión de paquetes e
incluyen algunas funciones de seguridad adicionales.
- IPS/IDS:
IDS significa Intrusion Detection System (Sistema de deteccion de intrusos), e IS significa Intrusion
Prevention System (Sistema de prevencion de intrusos).
- El software IDS evalua la naturaleza del trafico de la red con el fin de encontrar patrones
comunes, intentos o éxitos comprometidos con malware, o comunicaciones de red poco
comunes. Los reporta.
- El software IPS funciona como el IDS ppero tiene la función de bloquear pproactivamente
los intentos de acceso a la red, en lugar de solo reportarlos.
Al igual que firewall, IDS/IPPS funciona con uunas reglas definidas, esto significa que todo el trafico
analizado es comparado con las reglas y firmas creadas, de esta forma, si el trafico se empareja
con una regla, se genera una acción definida previamente. Si el trafico no se empareja con ninguna
regla, IPS/IDS no podrían detectar comportamientos extraños. Por esto es necesario mantenerlos
actualizados, y leer foros en comunidades que ecpplican sobre la creación de nuevas reglas, sobre
como monitorear y revisar las políticas definidas por la empresa.
Es una herramienta flexible que se puede usar para mejorar la velocidad de navegación en los
sitios WEB, mediante el almacenamiento de estos sitios en cache, reduciendo el trafico de la red al
exterior.
- Para el filtrado url, se pueden filtrar sitios o dominios, a partir deel tipo de trafico
permitido o bloqueado basados en el URL.
- La verificación de Antivirus, permite activar el funcionamiento de un antivirus que
escanea todo el trafico HTTP en búsqueda de Malware conocido.
HAVP es una buena herramienta HTTP Proxy que soporta el funcionamiento de Antivirus. Este
además de analizar el texto, analiza imágenes compprimidas y archivos.
Otro recomendado es ZeroShell y PfSense, los cuales fucionan con e motor ClamAV.
La efectividad del antivirus depende de las ppoliticas de actualización que estos manejen.
Esta protección esta enfoccada a las comunicaciones End point, por lo que se refiere a proteger
estaciones de trabajo, servidores y en general cualquier dispositivos que se comunique con otro
de forma tanto interna como externa. Se puede tener una protección muy robusta en cuanto a
hardware costoso, políticas de seguridad estrictas, pero si se abre un correo con malware, esto no
servirá para nada, si no se tienen protegidas las estaciones de trabajo, servidores y dispositivos
conectados a la red.
Para los atacantes es más fácil lanzar un anzuelo en la red, esperando a que cualquier ersona de la
organizacuion caiga en el, y le permita un acceso al atacante a la red de la compañía.
Hay muchas técnicas y herramientas para reenforzar y asegurar los dispositivos, ero estas
dependen del sistema operativo, de las configuraciones de la red y de las políticas de red de la
compañía.
Un caso especifico es el acceso a una cuenta de usuario mediante malware. En este caso si la
cuenta del usuario tiene permiso de administrador, el aracante podrá controlar por completo el
dispositivo, y desues atacar otros dispositivos conectados al intranet. Es por esto que se
recomienda que los usuarios tengan una cuenta diferente en el sistema, la cual carezca de ermisos
de administrador, yque solo le sean permitidos si se necesita. Aunque no es un método 100 %
seguro, puede prevenir el malware atomaizado que funciona mediante los permisos y rivilegios de
administrador. Se recomiend crear una gestión de usuarios robusta con buenas políticas de
seguridad.
- Antivirus:
El mito de sistemas operativos libres de malware no existe, porello es necesario contar con
antivirus robustos en las estaciones de trabajo. El diseño y la implementación de un antivirus
efectivo, puede ayudar a reducir el acceso de malware conocido, como por ejemplo troyanos y
spyware, y también ppuede ayudar a identificar malware desconocido.
Es muy recomendable utilizar un antivirus centralizado, porque permite instalar software seguro
remotamente y automáticamente sin necesidad de involucrar a cada usuario. Generalmente estas
soluciones son comerciales, por lo que hay que invertir una cierta cantidad de dinero en estas
herramientas.
Un antivirus centralizado es el Symantec Endpoint Protection Center, el cual permite instalar las
suite de antivirus en los clientes y gestionarlos, permiteindo definir politicasm, acciones y
actividades, para cada cliente configurado.
- Gestion de PATCH:
- Monitoreo:
El monitoreo asegura que todo funcione correctamente, que los sistemas estén actualizados,
seguros, posiblemente limpios y recuperados. El autor divide el monitoreo en tres partes:
- Event log: en Windows, elgestionamiento de evento logs permite revisar las actividades
del sistema operativo.
En Linux o sistemas operativos MAC también se ueden encontrar logs en el kkernel y las
actividades de software, junto con un buen nivel de detalles, aunque es necesario escarbar un
poco en los archivos de configuración del sistema operativo.
Un punto clave para gestionar y analizar evento logs consiste en la habilidad de filtrar, agregar y
observar grandes cantidades de información, ara que apartir de estas establecer un rastro,
relacionarlas y graficar los eventos.
Algunas actividades interesantes de revisión de logs consiste en observar los eventos logon y
logodd, los dispositivos USB conectados y desconectados, las solicitudes de credenciales
especiales, entre otros
- Recursos de Sistema:
Ara obtener una imagen de todo el sistema operativo, es necesario monitorear los recursos de
sistema locales, debido a que pueden ser utilzes para encontrar comportamientos inusuales que
ueden pproveniente4s de software no deseaado o de malware consumiendo recursos. También es
importante monitoreas para encontrar un posible consumo de recursos por pparte de software
para conseguir Denegacion del servicio DoS, o atacara alicaciones mal diseñadas.
Se recomienda usar un software centralizado, que permita monitorear los recursos de los
disppossitivos, como por ejemplo Nagios y Spicework: los cuales usan un agente funcionando en la
maquina Endppoint, el cual envía toda la información a un servidor centralizado encargado de
recolectar, analizar y graficar esta información.
- Red:
Aunque el malware ppuede esconderse de los antivirus, y consumir recursos del sistema sin
generarventos, este deberá si os si comunicar44 a sistemas externos de su correcta activación, por
lo que no podrá esconderse del trafico en la red.
Es recomendable instalar dos sistemas de monitoreo de red, uno en el firewall o router, y otro en
el ppuerto de monitoreo del switch, un servidor para recolectarm analizar y almacenar los logs de
red.
La red debe estar protegida contra desastres físicos y fallos de hardware. Es necesario establecer
unos planes y metodologías eficientes para el backup y recueracion a desastres.
El objetivo del Backu es el de salvar información importante, como por ejemplo volcados de bases
de datos, documentos y archivos entre otros que son relevantes para los negocios de la empresa, y
cuya perdida puede generar un impactto negativo.
El disco duro es pieza fundamental para pprteger en contra de desastres, porque contiene
informaciónrelacionada al sistema operativo, configuracions, e información de aplicaciones que
podrían afectar en caso de falla al negocio de la compañía.