9 jul 2013

Defensa en Profundidad (III de III)

La semana anterior hablamos del modelo Defensa en Profundidad, haciendo hincapié en la seguridad perimetral y la seguridad física, capas imprescindibles de dicho modelo. Hoy seguiremos ascendiendo en este modelo para hablar de capas superiores como es la seguridad en la red interna, a nivel de host/servidor, a nivel de aplicación y, por último, a nivel de información.
Seguridad a nivel de red interna
Aquí podemos enumerar distintos tipos de mecanismos como son la segmentación de redes, las virtual local area network ó VLAN y los IDS ó intrusion detection system. La segmentación se utiliza para separar las redes en función de los usuarios que quieran acceder y, en función, de los recursos que se requieran. Es importante evitar que, por ejemplo, un cliente que llegue a la empresa se pueda conectar directamente a redes corporativas a las que no se desea que un usuario externa acceda. El nivel de enlace es una de las capas de la arquitectura OSI, la cual dispone de un ataque básico pero muy eficiente, como es ARP Spoofing. Desde el punto de vista de la seguridad, el aislamiento de las LAN a través del uso de VLAN es una buena práctica para evitar que ciertos usuarios de la misma red puedan acceder a ciertos equipos a los que no deban disponer de conectividad.
Los IDS son sistemas casi obligatorios hoy en día, al menos muy recomendada su implementación en una organización. Con este tipo de soluciones se puede detectar accesos no autorizados a un equipo, o incluso a una red. Los IDS están, generalmente, compuestos por un sniffer que capta el tráfico de una red y tras realizar un análisis se puede llegar a indicios de posibles ataques. Hay que tener cuidado con los falsos positivos que también pueden surgir de la implantación de un IDS y su análisis del tráfico de una red. El IDS no sólo analiza qué tipo de tráfico es, sino que también analiza el contenido y su comportamiento. Hoy en día, la integración del IDS con el firewall ayuda, en gran medida, a fortificar la capa de seguridad dedicada a la Intranet. Los IDS disponen de una gran base de datos con las firmas de los ataques conocidos, pero también son capaces de analizar el tráfico en busca de contenido sospechoso o comportamientos extraños. Existen distintos tipos de IDS, como pueden ser los HIDS, host intrusion detection system, y NIDS, network intrusion detection system.
Seguridad a nivel de host/servidor
La seguridad a nivel de servidor puede ser entendida de distintas maneras, sin llegar a interceptar a la seguridad del nivel de aplicación. Se puede tener en cuenta las actualizaciones del sistema operativo servidor que da soporte y gestiona las aplicaciones y servicios que se ejecutan en dicha máquina. Es importante disponer de logging, tanto local como remoto, en la máquina servidor para llevar un registro tanto de actividad, pudiendo realizar en cualquier instante un proceso forense para detectar que está ocurriendo en el servidor. Las actualizaciones en los sistemas son un hecho prácticamente diario, ya que cada día salen un gran número de vulnerabilidades, tanto en aplicaciones como sistemas operativos. Por esta razón, hay que disponer de un plan de contingencia para estar preparado para cubrir y mitigar estas vulnerabilidades. Uno de los objetivos de la defensa en profundidad en la capa del servidor es dejar a éste en Zero Day Server.
Seguridad a nivel de aplicación
Generalmente se dispone de varias aplicaciones o servicios que pueden tratar con la parte pública a través de la red, y la exposición de ésta debe ser controlada y segura. Una configuración por defecto puede proporcionar vías de ataque a un usuario malintencionado con las que lograr acceder al control remoto de la máquina, una denegación de servicio o simplemente a visualizar la configuración interna de la máquina. Por ello es mejor disponer de una configuración propia y en la que se sepa que se está realizando a disponer de un gran número de aplicaciones configuradas por defecto, las cuales pueden poner en riesgo la seguridad de la organización. Hay que evitar los procesos de explotación por parte de usuarios maliciosos y la elevación de privilegios. Se debe utilizar una política sudoer (linux) o uac (windows), limitando el uso de los usuarios en sus acciones críticas. Además con los sudoer se cumple el principio de mínimo privilegio posible, el cual es una de las máximas que deben cumplir los sistemas para aumentar la seguridad.
Las cuotas de disco también puede favorecer que los usuarios no se excedan con los recursos, por ello debe haber un control de almacenamiento para cada usuario. Por último comentar que la fortificación de los servicios mediante políticas de máxima restricción es deseable en los sistemas.
Seguridad a nivel de información
Uno de los mayores activos que dispone una organización son los datos e información de ésta. Estos activos deben estar bien protegidos, tanto por las capas inferiores del modelo Defensa en Profundidad, como por la propia capa de seguridad. El cifrado de información es algo totalmente necesario hoy en día, las organizaciones o empresas manejan información sensible y ésta debe ir protegida por algoritmos de cifrado robustos. Un simple envío de correo electrónico puede poner en jaque la seguridad de la empresa desvelando información sensible, la cual nunca se sabe dónde puede acabar. Los servidores pueden requerir de particiones cifradas con las que poder evitar el arranque de otro sistema y poder visualizar información sensible. Es importante que todas estas acciones queden registradas mediante logs de información.

No hay comentarios:

Publicar un comentario