En este artículo descubirás todos los detalles de la seguridad perimetral informática, su importancia para tu seguridad informática y además como implementar una buena estrategia de seguridad con ejemplos prácticos.
Introducción:
Definir la seguridad perimetral informática es la primera tarea a la hora de organizar una defensa de los sistemas de información.
En el caso de las ciudades medievales, el perímetro es la muralla, lo valioso: comida, agua, armas, ciudadanos, (activos) se resguarda detrás de la muralla (el perímetro).
Hace no mucho, cuando la informática consistía en un gran ordenador al que se conectaban terminales, el perímetro de seguridad coincidía plenamente con el perímetro físico. Es decir protegiendo las instalaciones y con el control de acceso físico se protegía el sistema informático ya que para acceder a él había que acceder físicamente a un terminal.
Olvídate del modelo del red local protegida con un cortafuegos y una DMZ.
Esto ha cambiado, el concepto de perímetro de seguridad informática se ha diluido, ya no es tan claro
Tenemos accesos WIFI, accesos a través de VPN, servicios en la nube, dispositivos IOT que se conectan a sus servidores, dispositivos particulares BYOD, smartphones, servicios subcontratados a empresas, etc.
Se ha aumentado la funcionalidad y como consecuencia se ha aumentado el perímetro a vigilar.
Índice
¿Qué es la Seguridad Perimetral en Informática?
La seguridad perimetral informática es un conjunto de medidas organizativas, procedimientos, dispositivos y herramientas que nos permiten asegurar el perímetro y proteger nuestros activos informáticos esenciales.
La seguridad perimetral se entiende mejor con ejemplos:
Un ejemplo de Medidas organizativa puede ser la siguiente: «No permitimos en nuestra organización dispositivos BYOD o partículares», por un lado perdemos funcionalidad ya que es muy cómodo que nuestros empleados consulten la intranet y el correo con sus móviles pero por otro aseguramos la red perimetral informática ya que no tenemos mucho control sobre este tipo de dispositivos.
Ejemplo de Procedimiento, puede ser el procedimiento para dar de alta un usuario en la VPN para que teletrabaje y que tenga acceso a los servidores de la organización, debe de rellenar un formulario, lo autoriza un jefe, etc…
Ejemplos de Dispositivos de sistemas de seguridad perimetral informática: Routers, cortafuegos, pasarelas, control de acceso al medio, sondas IDS, etc.
Ejemplos de Herramientas.- Analizadores de logs (SIEMs), escáneres de vulnerabilidades, solución antivirus corporativa, etc.
¿Cómo implementar un Sistema de Seguridad Perimetral?
El documento de Arquitectura de Seguridad Informática de Red
El documento de Arquitectura de seguridad de red, es la documentación de seguridad sobre la arquitectura de nuestra red, es uno o varios documentos que permite a los técnicos ver el perímetro y los puntos débiles de la arquitectura de red y diseñar así una mejor estrategia de seguridad perimetral.
En el caso de una ciudad medieval sería el mapa, que permite e los defensores, ver los puntos débiles en la muralla (perímetro) y mejorar así la defensa.
Sistemas de seguridad perimetral informática y control de accesos
La seguridad perimetral y control de accesos abarca una serie de sistemas y procedimientos destinados a controlar el acceso físico de individuos a las instalaciones, así como a detectar y prevenir intrusiones.
La implementación de estas medidas varía según cada organización y los requerimientos contextuales.
Por ejemplo, en ciertas instalaciones u áreas específicas de una organización, puede requerirse la autorización de un guardia de seguridad tras presentar una tarjeta de acceso con una fotografía para verificar la identidad y permitir la entrada. Sin embargo, en otros sectores, podría no ser necesario verificar la identidad y permitir el libre acceso.
Ejemplos comunes de medidas de seguridad perimetral incluyen sistemas de circuito cerrado de televisión (CCTV) para monitorear y grabar áreas como estacionamientos, vallas alrededor de edificios, iluminación en pasillos y estacionamientos, sensores de movimiento, alarmas e incluso el diseño y aspecto de los edificios (como un método disuasorio cuando parecen altamente seguros).
En el ámbito de la seguridad informática, los mecanismos y sistemas de seguridad perimetral buscan prevenir el acceso no autorizado de individuos a la red, a los sistemas y a la información que contienen.
Firewall de seguridad perimetral en redes
Se suele representar al Firewall (Cortafuegos) como una muralla, y creo que no es correcto del todo esta representación. La muralla no permite el paso en ningún sentido, pero un Firewall sí.
Siguiendo la analogía de la ciudad amurallada, sería la puerta de entrada, donde una guarnición permite el paso o no a los ciudadanos en función de unos criterios.
Si eres un campesino y vienes con tu carreta a traer comida y agua si pasas.
Si eres un soldado extranjero con armas no pasas.
Igual pasa con un Firewall perimetral, al que se le configura con unas reglas para permitir el tráfico legítimo de nuestros usuarios pero impide el tráfico que pueda usarse por nuestros adversarios.
Un ejemplo de regla de cortafuegos puede ser no permitir ninguna conexión desde el exterior a nuestros máquinas salvo conexiones al servidor web.
Con el símil de la puerta de la ciudad vamos a hablar de los cortafuegos de nivel 7 o capa de aplicación.
Si la guarnición de la puerta de entrada solo ve que se trata de un campesino y no revisan la carga de la carreta. Los enemigos pueden disfrazarse de campesinos en en la carga de la carreta esconder armas y más soldados.
Si el cortafuegos revisa la carga de los paquetes, es un cortafuegos a nivel 7 o de aplicación, mucho más seguro.
Si no revisa la carga estamos ante un cortafuegos de nivel de transporte o nivel 4, que puede ser engañado en la carga.
Sistema de Detección de Intrusos (IDS)
Un campesino ha entrado por la puerta (firewall) con su carreta y se dirige al mercado de la ciudad.
Es un comportamiento habitual.
¿Pero y si se dirige a los aljibes donde están las reservas de agua para caso de asedio?
Ya no es un comportamiento habitual, puede que sea un enemigo que quiere envenenar el agua de la ciudad o puede que sea una falsa alarma y el campesino simplemente se ha despistado.
Como el aljibe es un punto estratégico en la defensa de la ciudad debemos de colocar unos centinelas, que limitan el acceso al aljibe y dan la alarma en caso de intento de intrusión.
El equivalente a los «centinelas» son los sistemas detectores de intrusos IDS en los sistemas informáticos.
El aljibe puede ser la base de datos de clientes, si un usuario descarga la base de datos entera de 6GB, está claro que no es un comportamiento habitual, podemos colocar un IDS que monitorice este tipo de descargas.
Si se trata del proceso de copia de seguridad de la base de datos, lo permitimos y no generamos una alarma, pero si la descarga la realiza un usuario estándar a las 4 de la mañana entonces el IDS debe generar una alerta.
Sistema de Prevención de Intrusiones (IPS)
¿Qué ocurre si un usuario estándar se baja 6GB de datos de la base de datos de clientes a las 4 de la mañana?
Se genera una alerta, pero nuestros técnicos de seguridad llegan a las 7:30, el daño ya está hecho.
¿Cuál es la solución?
Usa un sistema de Prevención de Intrusiones, que no solo detecta la intrusión sino que además la gestiona.
En el ejemplo anterior, el IDS detecta la descarga de la base de datos y no solo genera la alarma para los técnicos sino que se comunica con el cortafuegos perimetral y le hace poner una regla para cortar la conexión y así se evita la descarga de la base de datos de clientes.
Un IDS alerta.
Un IPS alerta y actúa.
SIEM Administración de Eventos e Información de Seguridad
Es una herramienta más de seguridad, y ¿Para que sirve un SIEM?
Casi todos los sistemas de nuestra infraestructura registran las operaciones que realizan en lo que se denominan ficheros de log.
Si un proveedor externo consulta una url de nuestro servidor web, queda registrado desde que ip, se consultó que página y a que hora, etc.
Esta información de todos los sistemas de una infraestructura es inmensa y es imposible que un humano pueda revisarla manualmente.
Un SIEM automatiza esta tarea y revisa los ficheros de log más interesantes desde el punto de vista de la seguridad, los filtra y les aplica reglas, si se cumplen se genera ya sí una alerta que procesa un técnico de seguridad.
Por ejemplo, un usuario se conecta a un servidor de archivo y abre tres archivos, este comportamiento lo hace repetidamente y aunque se registre en los ficheros de log el SIEM lo filtra ya que es un comportamiento legítimo.
El mismo usuario un día, intenta conectarse con el usuario administrado a todos los equipos de la red local. En este caso el SIEM genera una alerta ya que este comportamiento es propio de una máquina que ha sido comprometida.
Conclusiones:
Se ha aumentado las posibilidades de conexión de nuestros usuarios a la infraestructura y por lo tanto se ha aumentado el perímetro.
Hay que tener claro cual es el perímetro de seguridad de nuestros sistemas de información, para poder definir que hay que defender y que no y cómo lo vamos a hacer.
Para ello debemos de contar con una buena política de seguridad, con sus procedimientos y normas.
Para implementar estas normas debemos de contar una documentación de la Arquitectura de Seguridad de Red y dispositivos de seguridad como cortafuegos, IDS y herramientas de seguridad.
Además de un equipo técnico de seguridad con los roles asignados y preparados para gestionar los incidentes.
Tienes alguna duda, deja un comentario: