Seguridad de una infraestructura de Red

Siguiendo el esquema de capas del modelo OSI se podría hablar de seguridad de la Red a nivel de varias capas, nos enfocaremos en solo en 4 de ellas:

• Seguridad a nivel de Capa de Enlace (intranet)
• Seguridad a nivel de Capa de Red (intranet)
• Seguridad a nivel de Capa de Transporte (LAN o WAN)
• Seguridad a nivel de Capa de Aplicaciones

En cada una de estas capas existen todo un conjunto de protocolos especificados para trabajar dentro de cada una de ellas. Estos protocolos muchas veces presentan ciertos defectos o vulnerabilidades, inherente a la propia especificación de los mismos o las limitaciones físicas que hay en el mundo real para implementarlos, por ejemplo: el ancho de banda o los recursos de la máquina. Por otra parte están las vulnerabilidades de las aplicaciones que trabajan con dichos protocolos. No hay que confundir las dos cosas, una cosa son los vulnerabilidades de los protocolos y otra la de las aplicaciones. En ocasiones existen tecnologías o configuraciones de red que permiten corregir o apaliar los riesgos de un determinado protocolo, en otras no, o bien los inconvenientes o costos son tales que hacen imposible cualquier implementación. Finalmente están las vulnerabilidades ocasionadas por errores humanos en cuanto a la configuración de un servicio o la infraestructura de red.

Hay protocolos de bajo nivel que suelen ser implementados directamente en el kernel del sistema operativo (por ejemplo ICMP). También hay protocolos se ejecutan en aplicaciones que tienen un nivel de privilegio alto, sea root, administrador o system. Debe tenerse en consideración cuáles son los parámetros de configuración óptimos, cuando eso se puede manipular, que permitirían minimizar los riegos de la infraestructura de red, para los protocolos implementados a nivel de kernel. Por ejemplo la deshabilitación de las respuestas a los mensajes de ping, en el caso de que sea pertinente. También debería tenerse muy en cuenta cuáles son las aplicaciones potencialmente peligrosas que se ejecutan con un alto nivel de privilegio y que medidas se pueden tomar para minimizar los riegos.

La tarea del administrador de red en el caso de las aplicaciones que tienen bugs o errores se reduce simple y llanamente a actualizar dichas aplicaciones con los parches respectivos. Hay aplicaciones y sistemas que se actualizan automáticamente mientras que hay otras que no. También existen vulnerabilidades de Zero-day para las que no existen parches conocidos o para las que hay que buscar parches de 3ra partes, en muchos casos de dudosa confiabilidad. Debe evaluarse si en esos casos conviene o no deshabilitar o sustituir los servicios asociados con esas vulnerabilidades.

Una cuestión importante es cómo identificar mediante la monitorización del tráfico de la Red cualquier ataque o fallo en la misma. Evidentemente esto requiere del uso de sniffers y el dominio de técnicas para usarlos. En cuanto al tráfico, en algunos casos, como los mensajes de broadcast o multicast, es posible identificar un tráfico irregular desde cualquier puerto de un switch o ubicación de red. Hay un tráfico de red que solo es visible dentro de los puertos de un switch, hay un tráfico de Intranet y hay un tráfico de Internet . Hay técnicas de hacking como el ARP Spoofing para visualizar el tráfico de un determinado nodo en un Switch.

El responsable de la seguridad de una red deberá tener presente los riesgos que hay a nivel de las distintas capas de la red, cuáles son los protocolos y aplicaciones trabajando en ellas de forma activa en el IBE y la localización física de los nodos o dispositivos asociados. Las aplicaciones afectadas pueden ser el propio sistema operativo.