Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son evidentes, otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.
Muchas de las vulnerabilidades estudiadas son el resultado de implementación incorrecta de tecnologías, otras son consecuencias de la falra de planeamiento de las mismas pero, como ya se ha mencionado la mayoría de los agujeros de seguridad son ocasionados por los usuarios de dichos sistemas y es responsabilidad del administrador detectarlos y encontrara la mejor manera de cerrarlos.
Siendo reiterativo, ninguna de las técnicas expuestas a continuación representara el 100% de la seguridad deseada, aunque muchas parezcan la panacea, serán la suma de algunas de ellas las que convertirán un sistema interconectado en confiable.
Algunos de los métodos que se utilizan para obtener mayor seguridad son:
1. Vulnerar para proteger
Los intrusos utilizan diversas técnicas para quebrar los sistemas de seguridad de una red. Básicamente buscan los puntos débiles del sistema para poder colarse en ella. El trabajo de los administradores y testers no difiere mucho de esto. En lo que si se diferencia y por completo, es en los objetivos: mientras que un intruso penetra en las redes para distintos fines (investigación, daño, robo, etc.) un administrador lo hace para poder mejorar los sistemas de seguridad.
Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos mas poderosos con los que se cuenta hoy para generar barreras cada vez mas eficaces.
Un test esta totalmente relacionado con el tipo de información que se maneja en cada organización. Por consiguiente, según la información que deba ser protegida, se determinan la estructura y las herramientas de seguridad; no a la inversa.
El software y el hardware utilizados son una parte mas importante, pero no la única. A ella se agrega lo que se denomina “políticas de seguridad internas” que cada organización debe generar e implementar.
2. Administración de la seguridad
Es posible dividir las tareas de administración de seguridad en tres grandes grupos:
· Autenticación: se refiere a establecer las entidades que pueden tener acceso al universo de recursos de computo que cierto medio ambiente puede ofrecer.
· Autorización: es el hecho de que las entidades autorizadas a tener acceso a los recursos de computo, tengan acceso únicamente a las areas de trabajo sobre las cuales ellas deben tener dominio.
· Auditoria: se refiere a la continua vigilancia de los servicios en producción. Entra en este grupo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a los recursos.
Por regla general, las políticas son el primer paso que dispone a una organización para entrar en un ambiente de seguridad, puesto que reflejan su “voluntad de hacer algo” que permita detener un posible ataque antes de que este suceda. A continuación se citan algunos de los métodos de protección mas comúnmente empleados.
1. Sistemas de detección de intrusos: son sistemas que permiten analizar las bitácoras de los sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos, sobre la base de la información con la que han sido previamente alimentados. Pueden considerarse como monitores.
2. Sistemas orientados a conexión de red: monitorizan las conexiones que se intentan establecer en una red o equipo en particular, siendo capaces de efectuar una acción sobre la base de métricas como: origen y destino de la conexión, servicio solicitado, permisos, etc. Las acciones que pueden emprender suelen ir desde el rechazo de la conexión hasta alerta al administrador. En esta categoría están los firewalls y los wrappers.
3. Sistemas de análisis de vulnerabilidades: analizan sistemas en busca de vulnerabilidades conocidas anticipadamente. La “desventaja” de estos sistemas es que pueden ser utilizados tanto por personas autorizadas como por personas que buscan acceso no autorizado al sistema.
4. Sistemas de protección a la integridad de información: sistemas que mediante criptografía o sumas de verificación tratan de asegurar que no ha habido alteraciones indeseadas en la información que se intenta proteger. Algunos ejemplos son los programas que implementan algoritmos como message digest o secure hash algoritm, o bien sistemas que utilizan varios de ellos como PGP, Tripwire y dozeCrypt.
5. Sistemas de protección a la privacidad de la información: herramientas que utilizan criptografía para asegurar que la información solo sea visible para quien tiene autorización. Su aplicación se realiza principalmente en las comunicaciones entre dos entidades. Dentro de este tipo de herramientas se puede citar a Pretty Good Privacy, Secure Sockets Layers y los Certificados Digitales.
Firewalls
Quizás uno de los elementos mas publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que mas se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad.
De hecho, los firewalls no tienen nada que hacer contra técnicas como la ingeniería social y el ataque de Insiders.
Un firewall es un sistema ubicado entre dos redes y que ejerce una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es.
Resumiendo, un modelo de seguridad debe estar formado por múltiples componentes o capas que pueden ser incorporadas de manera progresiva al modelo global de seguridad en la organización, logrando así el método mas efectivo para disuadir el uso no autorizado de sistemas y servicios de red. Podemos considerar que estas capas son:
1. Política de seguridad de la organización
2. Auditoria
3. Sistemas de seguridad a nivel router-firewall
4. Sistemas de detección de intrusos
5. Plan de respuesta a incidentes
6. Penetration test
No hay comentarios:
Publicar un comentario