La seguridad perimetral informática no deja de tener el mismo
significado que la general. De hecho, también son todos los sistemas destinados a proteger de intrusos tu perímetro. La única diferencia es que, en lugar de un espacio físico, se protegen las redes privadas de tu sistema informático. Se trata de una primera línea de defensa, igual que las alarmas de una oficina. La seguridad total no existe ni en el mundo físico ni en el informático, pero reduce muchísimo el riesgo a que nos roben nuestros datos o, incluso, que puedan desaparecer. Funciones de una buena seguridad perimetral informática
La seguridad perimetral que protege tus redes debe
cumplir cuatro funciones básicas: – Resistir a los ataques externos. – Identificar los ataques sufridos y alertar de ellos. – Aislar y segmentar los distintos servicios y sistemas en función de su exposición a ataques. – Filtrar y bloquear el tráfico, permitiendo únicamente aquel que sea absolutamente necesario. Herramientas de seguridad perimetral informática Igual que para proteger tu casa, en informática tienes varias formas de establecer una seguridad perimetral. Cortafuegos Los cortafuegos definen, mediante una política de accesos, qué tipo de tráfico se permite o se deniega en la red. Existen varios tipos de cortafuegos: – A nivel de pasarela: para aplicaciones específicas. – De capa de red: filtra por IP origen/destino. – De capa de aplicación: según el protocolo a filtrar. – Personal: para sistemas personales como PC o móviles. Sistemas de Detección y Prevención de Intrusos Son dispositivos que monitorizan y generan alarmas cuando hay alertas de seguridad. Su actuación sigue estos pasos:
1. Identificación de un posible ataque.
2. Registro de los eventos. 3. Bloqueo del ataque. 4. Reporte a los administradores y sistemas de seguridad. Honeypots Se trata de una trampa para atraer y analizar ataques de bots y hackers. De esta forma se pueden detectar a tiempo y recoger información que servirá para evitar ataques en un futuro hacia sistemas más importantes. Evidentemente, deben estar muy controlados y permanecer desconectados de cualquier red propia. Pasarelas antivirus y antispam Pasarelas antivirus y antispam Se trata de sistemas intermedios que filtran el contenido malicioso que quiere entrar a nuestras redes. Sobre todo, se detectan los malware en pasarelas web y servidores de correo, evitando que lleguen a afectar los sistemas privados. Seguridad perimetral: ¿Cómo proteger a tu empresa? La mejor manera de dotar de seguridad perimetral informática a tu empresa es contratando los servicios de una empresa con experiencia como : -establecer y gestionar los sistemas de tu empresa mediante: – Un diseño de una topología red adecuada. – Recomendaciones de soluciones eficientes. – Instalación y configuración de elementos red que sean necesarios. – Proporción de soporte y equipos para el seguimiento y la administración de la red. Red plana sin segmentar. Publicación de servicios internos. No hay elementos de monitorización. No se filtra tráfico de entrada y salida. No se filtra malware y spam en el correo electrónico. Los clientes remotos acceden directamente a los servicios.
Cortafuegos (Firewalls)
Elemento de red donde se define la política de accesos, permitiendo o
denegando el tráfico según se definan sus reglas. • Dos filosofías distintos de uso: √ Política restrictiva (lista blanca): se deniega todo menos lo que se acepta explícitamente. x Política permisiva (lista negra): se acepta todo menos lo que se deniega explícitamente.
Cortafuegos - Tipos • Circuito a nivel de pasarela – Funciona para aplicaciones
específicas. • Cortafuegos de capa de red – Filtra en capa de red (IP origen/destino) o de transporte (puerto origen/destino). • Cortafuegos de capa de aplicación – Funciona según el protocolo a filtrar, p. ej HTTP o SQL. • Cortafuegos personal – Aplicación para sistemas personales como PCs o móviles. Tipos •Basados en red LAN (NIPS): monitorean la red LAN en busca de tráfico sospechoso al analizar la actividad por protocolo de comunicación LAN.
•Basados en red Wireless (WIPS): monitorean la red inalámbrica en busca de tráfico
sospechoso al analizar la actividad por protocolo de comunicación inalámbrico.
•Análisis de comportamiento de red (NBA): examina el tráfico de red para identificar
amenazas que generan tráfico inusual, como ataques de denegación de servicio, ciertas formas de malware y violaciones a políticas de red.
•Basados en Host (HIPS): se efectúa mediante la instalación de paquetes de software que
monitoran un host único en busca de actividad sospechosa. Métodos de detección
•Basada en firmas: tienen la capacidad de reconocer una determinada cadena de bytes
en cierto contexto, y entonces lanza una alerta.
•Basada en políticas: requiere que se declaren muy específicamente las políticas de
seguridad.
•Basada en anomalías: tiende a generar muchos falsos positivos, ya que es sumamente
difícil determinar y medir una condición ‘normal’. Se puede realizar una detección estadistica (creando una linea base de comparación) o no estadistica (siendo el administrador el que define el patrón normal de tráfico). NGIPS (Next-Generation IPS)
•Tiene mayores capacidades de procesamiento, la habilidad de autoaprender y
automatización de seguridad inteligente para bloquear ataques o posibles amenazas de forma instantanea, enriquecer su propia base de datos y eventos que han sucedido para prevenir futuras intrusiones o comportamientos sospechosos.
•Algunos ejemplos son: FirePOWER 8000 (propietario de Cisco), Intrushield
NS9300 (propietario de McAfee), GX7800 (propietario de IBM) o Suricata (OpenSource desarrollado por OISF).