ESTRATEGIAS DE SEGURIDAD

Mediante la adopcin de una poltica de seguridad es posible identificar las amenazas de las cuales se intenta proteger los recursos de la red, los mecanismos de seguridad a implementar y el nivel de proteccin requerido. La poltica de seguridad misma responder a la posicin que asuma la organizacin ante tales amenazas. Esta posicin se traduce en la determinacin de una estrategia de seguridad que corresponde a un enfoque en particular para la eleccin de las reglas y medidas a tomar para proteger la redGig-Optics / GigaSoft y las IPs afuera de la Intranet.

Ajustarse a una estrategia de seguridad es una decisin muy importante al momento de construir una solucin de seguridad firewall ya que ser determinante de la estructura resultante de dicha solucin. Existen algunas estrategias generales que responden a diferentes principios asumidos para llevar a cabo la implementacin de una solucin de seguridad.

Mnimo privilegio
Este es uno de los principios ms fundamentales de seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa, sistema, etc.) solo aquellos permisos o privilegios que son necesarios para realizar las tareas que se program para ellos. El tipo de objeto al cual se apliquen los permisos determinar la granularidad de la seguridad obtenida. Esta estrategia permite limitar la exposicin a ataques y limitar el dao causado por ataques particulares. Est basada en el razonamiento de que todos los servicios ofrecidos por una red estn pensados para ser utilizados por algn perfil de usuario en particular, y no que todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es posible reducir los privilegios requeridos para varias operaciones sin afectar al servicio prestado a los usuarios de la red. Muchas soluciones utilizadas en la proteccin de un sitio utilizan tcnicas para implementar una estrategia de mnimo privilegio, como es el caso de los sistemas de filtrado de paquetes, que solo permiten el paso de paquetes nicamente para los servicios deseados. Esta estrategia es difcil de implementar cuando no est prevista como una caracterstica de diseo en los programas y protocolos que estn siendo utilizados. Debe tenerse cuidado en asegurarse si realmente se est logrando implementar esta estrategia. En cualquier caso, es posible que se termine por implementar algo menos que el mnimo privilegio, o mucho ms. Esta consideracin est relacionada con el objeto sobre el cual se aplica la restriccin, es decir la granularidad de la proteccin. Por ejemplo, aplicar la restriccin sobre los usuarios, puede restringir el uso de servicios que fueron pensados para todos los usuarios. Para cada servicio debe establecerse cuidadosamente el objeto y las restricciones que se le aplican.

Defensa en profundidad
Esta estrategia se basa en la implementacin de varios mecanismos de seguridad y que cada uno de ellos refuerce a los dems. De esta forma se evita que la falla de uno de los mecanismos deje vulnerable a la red completa. La idea es hacerle ms difcil y costoso a un atacante la tarea de violar la seguridad de la red. Esto se logra con la multiplicidad y redundancia de la proteccin, es decir, con cada mecanismo respaldando a los dems mecanismos de seguridad y cubriendo aspectos solapados, de forma que si uno de esos mecanismos falla, existen otras barreras ms que vencer. Por ejemplo, se pueden aplicar poltica de seguridad de red, junto con polticas de seguridad de hosts y seguridad humana (educacin de seguridad para los integrantes de la organizacin y usuarios de los servicios de red). Para el caso de la seguridad de red, por ejemplo, con un firewall, es comn utilizar una solucin de mltiples capas donde puede existir ms de un filtro de paquetes, donde uno de ellos es capaz de filtrar aquellos paquetes que deberan haber sido rechazados por el filtro anterior. Un aspecto importante de esta estrategia es la necesidad de evitar fallas de modo comn es decir que los diferentes mecanismos deben ser cuidadosamente configurados para evitar que las fallas de un mecanismo no se propaguen al resto.

Punto de Ahogo (acceso)

Esta estrategia consiste en depender de un nico punto de acceso a la red privada para todas las comunicaciones entre sta y la red pblica. Ya que no existe otro camino para el trfico de entrada y salida, los esfuerzos de control y mecanismos de seguridad se centran y simplifican en monitorear un solo sitio de la red. Esta estrategia se considera como una solucin todo en uno . Como consecuencia, uno de los problemas que presenta es que si un atacante es capaz de traspasar la seguridad de este nico punto del acceso tendr acceso a todos los recursos de la red. Esta situacin puede ser tratada utilizando mecanismos de proteccin redundantes y reforzar la seguridad de dicho punto. Adicionalmente, otro de los inconvenientes que puede provocar esta estrategia, es que pueden producirse bajas en el desempeo de la comunicacin de la red con el exterior, si se ve superada la capacidad del punto de acceso de registrar los sucesos y controlar todo el trfico de entrada y salida. En muchas soluciones este punto de acceso es implementado por un firewall perimetral por lo que ste debe tener la capacidad de procesar todo el trfico que por l pase sin afectar en gran medida el desempeo de las comunicaciones. La alternativa a este problema es proveer ms caminos de acceso a la red pero estos tambin deben ser protegidos por algn mecanismo de seguridad y hace ms compleja la solucin. La estrategia del punto de ahogo no es til si existe una forma alternativa de acceder a la red, por lo que estos caminos deben ser cuidadosamente localizados y restringidos del acceso exterior.

El enlace ms dbil

Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un sitio es tan seguro como lo es su enlace ms dbil. Este enlace suele ser el objetivo de los ataques a la privacidad de una red. El objetivo de esta estrategia es identificar aquellos enlaces dbiles de acceso a la red privada y tratar de eliminarlos, reforzarlos y/o monitorearlos. Aunque no por esto debe restarse importancia a la seguridad de otros aspectos de la red. De todas formas, siempre habr algn enlace que ser ms dbil que todos, la idea que ese enlace debe ser lo suficientemente seguro en proporcin al riesgo que implica que sea vulnerado.

Estado a prueba de fallos

Esta estrategia considera un importante factor en la seguridad de redes: ninguna solucin de seguridad es 100% segura. Ms o menos segura, una proteccin puede fallar. La pregunta es cmo responder la red a esta falla? Obviamente se tratar de restablecer la barrera cuanto antes, pero, mientras tanto... Uno de los principios fundamentales en la seguridad de redes es que si un mecanismo de seguridad fallara, debera negarse el acceso a todo usuario, inclusive aquellos usuarios permitidos (no podemos determinar si lo son si la funcin de autenticacin no est funcionando), es decir debe fallar en un estado seguro. Este principio debe ser considerado al disear firewalls de Internet. Los filtros de paquetes y gateways, deben fallar en tal forma que el trfico desde y hacia Internet sea detenido. La mayora de las aplicaciones y dispositivos utilizados en una solucin firewall, como routers de filtrado de paquetes y servidores proxy, dejan de retransmitir informacin si fallan; con excepcin de los sistemas de filtrado basados en hosts, que generalmente poseen servicios mediante aplicaciones independientes de estos sistemas, siguen recibiendo conexiones por este otro servicio. Estos casos deben ser evitados, ya que no llevan a cabo esta estrategia y tienden a ofrecer puertas abiertas a posibles ataques. Esta estrategia est apoyada por la implementacin de una posicin especfica con respecto a decisiones de seguridad y polticas. Existen dos posibles posiciones:

y y

Rechazar por defecto: Se establece cules son las comunicaciones que sern permitidas, cualquiera que no sea considerada, ser rechazada. Aceptar por defecto: Se establece cules son las comunicaciones que no son permitidas, cualquiera que no sea considerada, ser aceptada. Es claro que la posicin de rechazar por defecto es una estrategia a prueba de fallos ya que si el mecanismo falla no habr comunicacin que sea aceptada. Para determinar qu ser permitido, deben considerarse las siguientes tareas:

y y

Examinar los servicios a ofrecer a los usuarios. Tener en cuenta qu implica ofrecer estos servicios en trminos de seguridad y como pueden ser implementados de forma segura en balance con las necesidades de los usuarios.

Permitir solo aquellos servicios necesarios, conocidos y que puedan ser protegidos de forma segura utilizando mecanismos disponibles. Por otro lado, la posicin de Aceptar por defecto, asume que todo es permitido a menos que se conozca que es inseguro, en cuyo caso se prohbe su acceso. Esta posicin no es en absoluto una implementacin de una estrategia de estado a prueba de fallos.

Proteccin Universal
Ms que una estrategia, es un principio que debera cumplir toda solucin de seguridad. Se plantea que todo individuo en la organizacin que posee la red privada debe colaborar en mantener y cumplir las medidas de seguridad que permitan ofrecer una proteccin efectiva sus sistemas. De otra forma, un atacante podra aprovechar la debilidad de aquellos sistemas a cargo de estas personas para poder llegar al resto de los recursos de la red. Un ejemplo claro de esto sera el caso de alguien que desde su equipo decidiera establecer una conexin telefnica a Internet utilizando un modem, sin ningn tipo de proteccin. Estara abriendo una puerta trasera a posibles atacantes. Esta colaboracin es necesaria ya que al administrador de seguridad de la red no puede estar en todos lados; al menos no debera convertirse en una batalla entre ste y los individuos de la organizacin.

Diversidad de la Defensa
Esta estrategia plantea el uso de diferentes tipos de sistemas, es decir, de diferentes proveedores para implementar los diferentes mecanismos se seguridad. Esta estrategia puede complementarse a la de defensa en profundidad. El objetivo de esta variedad es reducir las posibilidades de fallas comunes en todos los sistemas utilizados para proteger la red, debidas a errores propios de los sistemas o de configuracin. Esta estrategia tiene la desventaja del posible costo adicional, tanto econmico como de tiempo y complejidad, ya que se debe conocer el funcionamiento y manejo de ms de un producto. Otra de las posibles desventajas es la incompatibilidad de los sistemas, aunque actualmente existen estndares en varias reas de la seguridad que hacen posible que diferentes sistemas puedan coexistir en la misma red colaborando para lograr una solucin integral. Adicionalmente estos sistemas pueden ser configurados por distintos administradores de seguridad para evitar que algn error conceptual por parte de los mismos afecte a la proteccin completa. Estas consideraciones deberan ser evaluadas por la organizacin para determinar la conveniencia de aplicar esta estrategia.

Seguridad a travs de Oscuridad

La idea de esta estrategia est basada en mantener oculta la verdadera naturaleza de la red privada y hacer pblico un perfil bajo (o no hacerlo). De esta forma, un atacante no lo notar, o lo pasar por alto como una posible vctima. Esta suposicin es algo ingenua ya que varios estudios han demostrado que el inters de un atacante por un determinado sitio no solo est determinado por el inters que ste tenga sobre la informacin de la red. Generalmente, los ataques involucran varios sistemas y varias cuentas de usuarios para poder ganar acceso no autorizado a otros sistemas antes de alcanzar su objetivo real. Un sitio puede ser comprometido solo para proveer un escenario de ataque a otros sitios, y para el atacante, no significa ms que una direccin de IP ms. Esta estrategia, aunque puede ser til en el comienzo de la vida de un sitio, y una buena precaucin, es una base pobre para una solucin de seguridad a largo trmino ya que la informacin tiende a filtrarse y los atacantes son habilidosos para obtener informacin relevante del sitio Una de las medidas que suelen tomar muchas compaas es la no publicacin de los nmeros de telfono de sus mdems de servicio de conexin; solo los divulgan para usuarios que contraten sus servicios.

Simplicidad
Se sabe que cuanto ms grande y complejo es un sistema, ms errores tendr, ser ms difcil y costoso de testear. Probablemente posea agujeros de seguridad no conocidos que un atacante puede explotar, por ms complejos que sean. La simplicidad de los sistemas de seguridad es un factor importante de una slida defensa de red. Particularmente los sistemas de seguridad de red a nivel de aplicacin no deberan tener funcionalidades desconocidas y deberan mantenerse lo ms simples posible.

Seguridad basada en Hosts

En este modelo, los esfuerzos de proteccin estn enfocados en los sistemas finales de una red privada, es decir que los mecanismos de seguridad son implementados en estos sistemas, y son ellos mismos quienes deciden si aceptar o no los paquetes de una comunicacin. Probablemente sea el modelo de seguridad para computadoras mas comnmente usado en la actualidad, aunque el mayor problema con este modelo es que no es escalable sin no se considera un esquema de administracin apropiado, por lo que solo es usado en ambientes muy chicos o donde no existe una red configurada que pueda ofrecer tal proteccin. El mayor impedimento para hacer efectiva la seguridad de estos sistemas en ambientes de redes de computadoras actuales es la complejidad y heterogeneidad de esos ambientes. Inclusive si todos los hosts fueran idnticos o si tal heterogeneidad fuera superada, un sitio con un gran nmero de hosts hace que sea difcil asegurar de forma efectiva a cada uno. Mantener e implementar efectivamente la proteccin a este nivel requiere una importante cantidad de tiempo y esfuerzo, y es una tarea compleja. En pocas palabras, puede no ser rentable implementar un nivel de seguridad a nivel de hosts para sitios grandes ya que requieran muchas restricciones, y mucho personal de seguridad.

Adicionalmente, este modelo presenta un problema importante en cuanto a puntos de ahogo y enlaces dbiles: no existe un nico punto de acceso ya que existen mltiples conexiones, una para cada host, muchas de las cuales pueden estar dbilmente protegidas.

Seguridad basada en la Red

El modelo de seguridad de red se enfoca en controlar el acceso a la red, y no en asegurar los hosts en s mismos. Este modelo est diseado para tratar los problemas identificados en el ambiente de seguridad de hosts, aplicando los mecanismos de proteccin en un lugar en comn por el cual circula todo el trfico desde y hacia los hosts: los puntos de acceso a la red. Un enfoque de seguridad de red involucra la construccin de firewalls para proteger redes confiadas de redes no confiables, utilizando slidas tcnicas de autenticacin, y usando encriptacin para proteger la confidencialidad e integridad de los datos a medida que atraviesan la red. La ventaja sobre el modelo de seguridad de hosts es una considerable reduccin del costo para proveer la misma o mejor proteccin, ya que solo se necesita proteger unos pocos puntos de acceso (en muchos casos, uno) lo que permite concentrar todos los esfuerzos en una solucin perimetral. Este modelo es escalable en la medida de que la solucin perimetral pueda soportar los cambios sin afectar su desempeo. Una desventaja de este modelo es que es muy dependiente de algunos pocos puntos de acceso por lo que pueden producirse reducciones en el desempeo del trfico de entrada y salida de la red; por otro lado, la proteccin lograda no es flexible y posee un bajo grado de granularidad, es decir, no es posible especializar la proteccin necesaria para cada host y sistema final de la red privada.