Siguiendo
el esquema de capas del modelo OSI se podría hablar de seguridad de
la Red a nivel de varias capas, nos enfocaremos en solo en 4 de
ellas:
- Seguridad a nivel de Capa de Enlace (intranet)
- Seguridad a nivel de Capa de Red (intranet)
- Seguridad a nivel de Capa de Transporte (LAN o WAN)
- Seguridad a nivel de Capa de Aplicaciones
En
cada una de estas capas existen todo un conjunto de protocolos
especificados para trabajar dentro de cada una de ellas. Estos
protocolos muchas veces presentan ciertos defectos o
vulnerabilidades, inherente a la propia especificación de los mismos
o las limitaciones físicas que hay en el mundo real para
implementarlos, por ejemplo: el ancho de banda o los recursos de la
máquina. Por otra parte están las vulnerabilidades de las
aplicaciones que trabajan con dichos protocolos. No hay que confundir
las dos cosas, una cosa son los vulnerabilidades de los protocolos y
otra la de las aplicaciones. En ocasiones existen tecnologías o
configuraciones de red que permiten corregir o apaliar los riesgos de
un determinado protocolo, en otras no, o bien los inconvenientes o
costos son tales que hacen imposible cualquier implementación.
Finalmente están las vulnerabilidades ocasionadas por errores
humanos en cuanto a la configuración de un servicio o la
infraestructura de red.
Hay
protocolos de bajo nivel que suelen ser implementados directamente en
el kernel del sistema operativo (por ejemplo ICMP). También hay
protocolos se ejecutan en aplicaciones que tienen un nivel de
privilegio alto, sea root, administrador o system. Debe tenerse en
consideración cuáles son los parámetros de configuración óptimos,
cuando eso se puede manipular, que permitirían minimizar los riegos
de la infraestructura de red, para los protocolos implementados a
nivel de kernel. Por ejemplo la deshabilitación de las respuestas a
los mensajes de ping, en el caso de que sea pertinente. También
debería tenerse muy en cuenta cuáles son las aplicaciones
potencialmente peligrosas que se ejecutan con un alto nivel de
privilegio y que medidas se pueden tomar para minimizar los riegos.
La
tarea del administrador de red en el caso de las aplicaciones que
tienen bugs o errores se reduce simple y llanamente a actualizar
dichas aplicaciones con los parches respectivos. Hay aplicaciones y
sistemas que se actualizan automáticamente mientras que hay otras
que no. También existen vulnerabilidades de Zero-day para las que
no existen parches conocidos o para las que hay que buscar parches
de 3ra partes, en muchos casos de dudosa confiabilidad. Debe
evaluarse si en esos casos conviene o no deshabilitar o sustituir
los servicios asociados con esas vulnerabilidades.
Una
cuestión importante es cómo identificar mediante la monitorización
del tráfico de la Red cualquier ataque o fallo en la misma.
Evidentemente esto requiere del uso de sniffers y el dominio de
técnicas para usarlos. En cuanto al tráfico, en algunos casos, como
los mensajes de broadcast o multicast, es posible identificar un
tráfico irregular desde cualquier puerto de un switch o ubicación
de red. Hay un tráfico de red
que solo es visible dentro de los puertos de un switch, hay un
tráfico de Intranet y hay un tráfico de Internet . Hay técnicas de
hacking como el ARP Spoofing para visualizar el tráfico de un
determinado nodo en un Switch.
El responsable de la seguridad de una red deberá tener presente los riesgos que hay a nivel de las
distintas capas de la red, cuáles son los protocolos y aplicaciones
trabajando en ellas de forma activa en el IBE y la localización
física de los nodos o dispositivos asociados. Las aplicaciones
afectadas pueden ser el propio sistema operativo.
