Elementos Clave de la Seguridad en Redes: Definiciones y Conceptos Esenciales

Biotecnología, , , , ,

Conceptos Básicos de Seguridad Perimetral

  • Perímetro: Es la frontera fortificada de la red. La defensa del perímetro requiere la presencia de algunos elementos de fortificación como encaminadores, cortafuegos, IDS, VPN, DMZ y subredes controladas.
  • Bastión: Es un servidor expuesto, que publica algún servicio a la red, lo que le cataloga como de alto riesgo, pero que está bien fortificado para resistir posibles ataques a los servicios que expone al exterior.
  • Hardening o fortificación: Es el conjunto ordenado y organizado de procedimientos por el que convertimos un servidor en un bastión suficientemente fortificado.
  • Router de frontera: Es el router más externo de la red, que está en contacto directo con Internet. En este router siempre debe realizarse filtrado de tráfico y tiene que ser capaz de soportar cualquier ataque desde el exterior.
  • Cortafuegos: Es el dispositivo en el que se configuran las reglas de filtrado que especifican qué tráfico se aceptará y cuál se denegará. Un cortafuegos (firewall) se ubica siempre entre dos o más redes generando un único punto de análisis y de operación con el tráfico que llega a sus adaptadores de red. Frecuentemente, los routers de frontera tienen también añadida la funcionalidad de cortafuegos.
  • Sistema de detección de intrusiones (IDS): Es un sistema que despliega un conjunto de sensores estratégicamente situados en la red interna con objeto de detectar posibles ataques. Esta detección se realiza mediante el reconocimiento de ciertos patrones de información (firmas o signatures) o bien de secuencias de acciones que son específicas de cada ataque. Hay dos tipos de IDS: los IDS de red (NIDS, Network IDS), que monitorizan el tráfico de la red, y los IDS de host (HIDS, Host IDS) que monitorizan cambios en el sistema operativo y en las aplicaciones.
  • Red privada virtual (VPN): Tecnología que permite establecer sesiones de red protegidas a través de canales públicos o no seguros. Se construyen mediante dispositivos ubicados en el perímetro que establecen sesiones cifradas entre distintas sedes separadas por la red insegura, típicamente Internet.
  • Red desmilitarizada (DMZ): Es una porción de la red que aloja servicios que se hacen accesibles al exterior. En ella se suelen situar los servidores que se publican en Internet. Los nodos que componen una DMZ se sitúan delante del cortafuegos corporativo, de modo que están desprotegidos. Sin embargo, pueden construirse arquitecturas de DMZ que proveen de alguna protección a los nodos que aloja para llegar a un consenso entre los servicios publicados y el riesgo de exposición que conlleva esa publicación.
  • Redes controladas (screened subnets): Redes que se sitúan detrás del cortafuegos corporativo, a diferencia de las DMZ que se sitúan delante. Frecuentemente, en la literatura técnica se confunden estas redes con las DMZ, considerando aquellas como un caso particular de estas. En las screened subnets, los bastiones no están en contacto directo con la red interna y se protegen de la red externa mediante un cortafuegos o router con capacidad de filtrado que los separa de ella. Hay dos tipos básicos de redes fuertemente protegidas: el modelo de host apantallado (screened host) en el que un bastión se encarga de centralizar todas las comunicaciones y el modelo de subred apantallada (screened subnet) que añaden un cortafuegos entre el bastión y la red interna.

El Cortafuegos y los Niveles de Filtrado en el Modelo OSI

Lo característico de un cortafuegos es conectar selectivamente dos o más redes. La selección de tráfico permitido dependerá de las reglas incluidas en una política que representará las condiciones de seguridad requeridas en la organización que protege. No todo sistema de filtrado es un cortafuegos: dada una arquitectura de red, el hecho de que un sistema de filtrado sea o no un cortafuegos dependerá del nivel en el que se establezcan las conexiones que se filtrarán.

  • Nivel de Enlace (Capa 2 de OSI): En los niveles inferiores se puede ver que la conexión mediante redes privadas virtuales se realiza en el nivel 2 de OSI, es decir, a nivel de enlace. Por ello, los protocolos específicos de VPN son de nivel 2.
  • Nivel de Red (Capa 3 de OSI): En el nivel de red es donde se puede hacer el filtrado de paquetes. Por ejemplo, se pueden filtrar los paquetes que provengan o vayan a una dirección IP concreta o paquetes IP que tengan establecidos ciertos flags y no otros.
  • Nivel de Transporte (Capa 4 de OSI): En este nivel las conexiones se pueden filtrar mediante cortafuegos de estado, que trabajarán con información específica del nivel de transporte, por ejemplo, con los números de puerto y permitirán o no el tráfico no ya en función del paquete IP sino de la conexión TCP.
  • Nivel de Aplicación (Niveles superiores al 4 en OSI): En el nivel de aplicación deben utilizarse cortafuegos basados en proxies, específicos de la aplicación concreta con la que deben operar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.