Guía para tener una red segura Publicada por 4v4t4r en Estrategias .
Por las redes LAN y WLAN viajan los activos más valiosos de una empresa, por lo tanto, en su diseño se deben contemplar todos los elementos necesarios de protección.
Hoy ninguna empresa debe confiarse frente a las amenazas que acechan a sus redes, y es que los intrusos no dan tregua. Incluso hay casos de hackers que van en su automóvil, armados con su laptop, buscando redes inalámbricas con protección deficiente, para acceder a ellas y extraer información de las compañías.
Para colmo no hay que cuidarse sólo de los extraños, el mayor enemigo está dentro de casa. Según Gartner, 70% de los ataques recibidos por una empresa se generan a nivel interno. Por lo tanto, la protección a la red debe planearse desde varios frentes.
Lo primero, subraya Jorge Varela, director general de Grupo Scanda, es hacer una evaluación para ver qué se quiere proteger, cuáles son los puntos débiles (mediante un análisis de vulnerabilidades y pruebas de penetración) y cuánto se necesitará invertir para reforzar la red.
Después, es importante montar un esquema de políticas y métricas de seguridad a nivel empresa, así como estándares y procedimientos, empatados con las necesidades de la organización. Por ejemplo, “si se manejan transacciones, todo debe encriptarse”, aconseja José Luis Peña, consultor independiente.
Hecho esto, se debe montar una buena protección, tanto física como lógica; es decir, con sistemas bien configurados. Y es que según Juan José Gutiérrez, gerente del Programa Ejecutivo de Gartner México y especialista en seguridad, para 2008, 90% de los incidentes en las redes serán resultado de errores en la configuración. Esta cifra deja entrever claramente un panorama en el que la responsabilidad ya no recae tanto sobre la tecnología per se, sino en la labor de los administradores de sistemas.
Al respecto, Gabriela Valdés, directora general de Internet Security Systems (ISS) opina que contar con buenas políticas, procedimientos y configuraciones es básico, “de lo contrario la eficiencia de los dispositivos para seguridad disminuye mucho”.
Lo mismo cuando no se toma en cuenta el factor humano, causante del 60% de los incidentes de seguridad, es decir cuando la empresa no se ocupa de educar, capacitar y hacer conciencia en sus usuarios internos, así como tampoco en comunicar las políticas, metodologías y estándares seguidos por la compañía, ni en lo que se conoce como ingeniería social.
Es por eso que muchas organizaciones están considerando bajar el nivel de seguridad en cuanto a infraestructura se refiere, y reforzarlo en la parte de software y políticas, alineadas de preferencia con algún protocolo como el SIP, sobre todo ahora con el auge de la VoIP, puesto que pueden llegar ataques a nivel de servidor IP PBX o teléfonos de este tipo.
Las trincheras a defender
En cuanto a los elementos físicos y lógicos que toda red necesita para ser segura, el analista de Gartner explica que hoy las redes deben dividirse en cuatro zonas: la de transacciones, la de empresa extendida (para usuarios internos móviles), la de proveedores y socios de negocio y la de Bussines Process Outsourcing (BPO).
La zona 1, para transacciones de clientes, necesita reforzarse con firewalls de inspección, concentrador de VPN, acelerador de protocolo SSL (candados para hacer operaciones financieras por Internet) y autenticación.
Aunado a esto, es recomendable colocar defensas para ataques específicos como denegación de servicio, porque está es una puerta muy abierta y es la que más se va a buscar atacar.
En las zonas 2 y 3, donde se le abre la puerta de la red a proveedores y socios de negocio, pero también a los usuarios móviles, conviene plantearse tres preguntas: cuál es el nivel de riesgo, cuál es la mejor opción para mantener los dispositivos seguros y el acceso a la red, y qué aplicaciones van a enviarse a la WLAN.
Con ese diagnóstico, se coloca, en estas zonas, una lista de controles para tener claro quiénes sí pueden entrar; además es recomendable tener un control de flujo, cuya función es definir cuántas veces pueden acceder los usuarios, a qué servicios y en qué horarios, así como incluir un monitoreo en tiempo real, para detectar conductas anómalas.
“Aquí incluso conviene montar, comenta Gutiérrez, una autenticación fuerte, basada en el uso de tokens (dispositivos portátiles del tamaño de un USB, que generan claves dinámicas de entre seis y ocho números aleatorios), así en cada sesión el usuario requerirá ingresar una nueva serie de dígitos”. También es importante recordar que se debe encriptar la información con el uso de VPN.
Para evitar que los dispositivos móviles transmitan malware a la red o que, si se pierden, alguien ajeno accese a ésta, hay que reforzar las laptop o PDA con firewalls personales, “colocarles como mínimo un encriptador de datos, autenticación, antispam, y anti spyware”, recomienda Mario Maldonado, gerente regional de la división de Soluciones Empresariales de Nokia.
También se debe tener cuidado con la configuración del access point (un IPS detrás es una buena opción para bloquear el tráfico malicioso o detectar algún ataque). Conviene deshabilitar el sistema de broadcasting y habilitar uno de encriptación, así como restringir el tráfico innecesario y cambiar la contraseña de administrador.
Mientras que para la zona 4, una buena opción es basarse en el SSL o candado de Internet, además de en auditorias de acceso, proxies a nivel de aplicaciones (candados para acceder sólo a ciertas áreas de la red) o una IP fija, otorgada por el administrador de la red y reforzar todo esto con una buena política de autenticación.
Respecto a los usuarios internos no móviles, Varela recomienda una política de seguridad por áreas, basada en una metodología de privilegios y roles, pero también montar firewall en las desktop, antivirus, antispam, anti spyware y sistemas de protección de intrusos.
Además, dice Peña, es necesario contar con un sistema de robustecimiento a las comunicaciones de la red interna para tener un control estricto del flujo de información, basado en un escaneo de los datos transmitidos por la red y de las conexiones.
No obstante, Maldonado, pone sobre la mesa un punto importante, advierte que una cosa es proteger la red y otra sobreprotegerla, porque eso puede dificultar el acceso de los usuarios, por eso las políticas no deben ser innecesariamente rígidas.
La voz de la experiencia
Erika Mata, inspector A de la División General de Supervisión de Sistemas Informáticos a Instituciones Financieras de la Comisión Nacional Bancaria y de Valores (CNBV), narra que a ellos les ha funcionado bien manejar una configuración en capas.
“Nosotros dejamos navegar a los usuarios como si estuvieran totalmente dentro de la red, pero en realidad sólo están accesando a un parte y con los usuarios móviles se maneja una autenticación, a través de bypass, así que sólo pueden ingresar a la red interna de la compañía cuando van a visitar a un cliente de una empresa que ha dado su permiso para esto, pero nunca podrán acceder desde el automóvil o en la calle.
Además, todo lo inalámbrico está configurado por IP y MAC Address y si la red, no las reconoce no permite el acceso. En cuanto a los usuarios internos, se monitorea en tiempo real lo que ejecutan en sus equipos y se maneja un control por perfiles.
A su vez, el Tecnológico de Monterrey tiene como pilares para la seguridad de su red, “la autenticación de usuarios y un programa de cultura de seguridad computacional, las aplicaciones están soportadas por VPN, las contraseñas se cambian cada tres meses y los sistemas administrativos contables están todos respaldados bajo la política de una segunda contraseña”, describe Ricardo González, director de Seguridad Computacional Campus CEM.
Como puede verse, cada empresa maneja modelos distintos y de hecho eso es lo correcto, porque aquí el secreto es hacer el análisis de vulnerabilidades y necesidades de la compañía para elegir el esquema más adecuado de protección, sin olvidar que las amenazas son dinámicas y por lo tanto la política de seguridad para la red debe serlo también, lo cual amerita un escaneo constante de vulnerabilidades. “Incluso hay equipos que se dedican a buscar nuevos huecos y realizan la actualización, antes de que la vulnerabilidad explote”, comenta la directiva de ISS.
También se requiere hacer actualizaciones a dispositivos y nuevas configuraciones; usar herramientas de auditoria para detectar tráfico innecesario y comportamientos sospechosos; estudios anuales de penetración con el fin de hacer las modificaciones pertinentes; inteligencia de amenazas externas; verificación de procesos internos; revisión tanto de políticas como del entorno de seguridad y administración de acceso de identidad.
Asimismo se debe llevar un buen control de cambios de infraestructura, perfiles de usuarios y configuraciones.
Artículo por Andrea Vega en bSecure
[...] hasta en la seguridad Más allá del filtrado común Seis pasos para la seguridad inalámbrica Guía para tener una red segura Análisis forense en Linux El cibercrimen no es personal Uso adecuado del correo Una buena [...]
por que la informacion no la hacen enumerada y resumida
PORQUE NO LA HACEN MAS RESUMIDA?? R/ PORQE ES MUY LARGA Y NO AHY DE DONDE RESUMIR, PARTE SI RESUMEN SE HACEN PERDER INFO… Y NO SE DA COMPLETA LA INFORMACION