Cómo planificar una red segura mediante la práctica de la defensa en profundidad

Entorno

Con el fin de demostrar cómo implementar la defensa en profundidad, consideremos el siguiente escenario, lo cual es una configuración común de una empresa de IT. Muchas empresas utilizan a terceros como proveedores de infraestructura de alojamiento, y lo hacen por varias razones. 

Mediante el uso de hospedajes externos, las empresas son capaces de aprovechar bien el espacio tradicional o la potencia del modelo (también llamado colocación) en un entorno físicamente seguro en el proveedor de alojamiento, mientras gestionan el sistema ellos mismos, o compran los servicios gestionados de hosting del proveedor, que incluyen servicios de redes, de sistemas y de seguridad. 

Estos entornos suelen estar diseñados para albergar los sistemas de acceso públicos de una empresa, que podrían variar desde los servicios de correo o de transferencia de archivos para usuarios corporativos, hasta la plataforma de comercio electrónico de la empresa.

Al igual que con cualquier colocación o implementación gestionada, la seguridad juega un papel importante en el entorno. Un enfoque típico para el diseño de la seguridad de un entorno comienza con la red. Para los propósitos de esta discusión, supongamos que la empresa está alojando su plataforma de comercio electrónico en este entorno. 

La plataforma de comercio electrónico (muy simplificada para esta discusión) consiste en el nivel web que actúa como el carro de la compra o como un portal de facturación para  varias operaciones. Esto, a su vez, está soportado por el middleware (servidores de aplicación) y los niveles de base de datos. El diseño requiere que cada uno de los niveles se encuentre alojado en su propia red dedicada, principalmente las redes locales virtuales de área o VLAN. Esto se realiza generalmente mediante la segmentación de los niveles, utilizando un dispositivo de filtración (como un firewall) en los servidores web en la interfaz de baja seguridad, mientras que los niveles de middleware y la base de datos se alojan en el interfaz de alta seguridad. 

Los niveles de middleware y base de datos no son accesibles directamente desde la red pública. En algunos diseños de  escenarios, los niveles de middleware y bases de datos están detrás de la misma interfaz de firewall pero en VLANs separadas. En tales escenarios, no hay filtrado de tráfico entre los dos niveles a menos que sea forzado por los conmutadores.

El firewall en este caso actúa como la principal, y potencialmente la única, línea de defensa contra amenazas basadas en Internet. Vamos a utilizar este entorno como base para implementar una estrategia de defensa en profundidad usando tecnologías de seguridad existentes.

Defensa en profundidad en práctica

He tomado un enfoque universal para implementar la seguridad del entorno descrito anteriormente, con el fin de que cada pieza pueda ser implementada independientemente de las demás, dependiendo de los requisitos particulares de cada empresa.

La pieza inicial del rompecabezas de la defensa en profundidad se aplica fuera del entorno de la empresa, en la infraestructura de red del proveedor. Este componente tecnológico es responsable de proteger el entorno contra distribuidores de denegación de servicio (DDoS). La tecnología de mitigación de ataques DDoS consiste típicamente de dos componentes: El primer componente es responsable de detectar un ataque mediante el monitoreo de desviaciones en el flujo normal de tráfico, y el segundo componente es responsable de mitigar el ataque a través de un comportamiento de tráfico aprendido (por ejemplo, un sistema de gestión de amenazas, o TMS).

La protección contra ataques DDoS se logra a través de desviaciones casi instantáneas del tráfico utilizando el Border Gateway Protocol (BGP) desde el enrutador núcleo hasta el centro de limpieza (TMS) de ataques DDoS. La mitigación de ataques DDoS más eficaz se logra en la infraestructura de un proveedor (contra corriente), por lo que el riesgo de saturación de enlaces y el aumento de los costes de ancho de banda se ven reducidos.

Un firewall es eficaz en la protección contra determinadas amenazas de red, pero, en entornos alojados donde determinados puertos están abiertos a Internet (HTTP (80/tcp) y HTTPS (443/TCP) su eficacia es limitada. En un entorno así, es una buena idea ampliar el firewall con una herramienta firewall de aplicación web (WAF).

La WAF servirá principalmente para proteger el entorno contra específicos ataques a la aplicación, como filtros de scripts de sitios (XSS), inyecciones de código SQL y manipulación de parámetros, entre muchos otros. Estos dispositivos suelen ser configurados linealmente a lo largo del enlace físico entre el firewall y los conmutadores de núcleo de red del entorno hospedado. 

Allí, una WAF funciona como un dispositivo de derivación que puede bloquear el tráfico que coincide con ataques en la capa de aplicación conocidos y aprendidos. También tiene la capacidad de dejarlo abierto en el caso de un fallo de hardware, asegurando así que el tráfico continúe fluyendo a los servidores de web. Algunos vendedores de WAF también ofrecen prestaciones de protección y de monitoreo de bases de datos que gestionan las amenazas a las mismas.  La protección es ejercida mediante la utilización de agentes, instalados en los servidores que hospedan la instancia de la base de datos.

Como los WAFs suele centrarse en los ataques que se producen en la capa de aplicación, su eficacia en el bloqueo de ataques al centro de la red, como los gusanos de Internet, es limitada. Una WAF puede ser usada en conjunción con un sistema de prevención de intrusiones (IPS), cuyo enfoque principal es la mitigación basada en firma en la capa de red, para aumentar esta deficiencia. Estos dispositivos están disponibles como módulos que pueden ser integrados linealmente con los firewalls y que bloquean las amenazas cuando salen del mismo.

A medida que nos acercamos a la plataforma del servidor, la protección contra  amenazas de malware y la vigilancia del sistema de archivos se convierten en algo crucial para una efectiva estrategia de defensa en profundidad. Esto se puede lograr mediante el uso de una combinación de productos antivirus/antimalware convencionales y de sistemas de monitorización de integridad de contenido (CIMS), que rastrean y alertan en tiempo real sobre los cambios del sistema de archivos.

Lo que mantendría todo esto unido sería un sistema centralizado de gestión de registros (Log Management System - LMS), que sirve como un almacén para los registros de estos componentes de seguridad individuales, además de funcionar como un almacén para los registros tradicionales de los servidores. Un LMS también tiene la capacidad de generar alertas en tiempo real sobre filtros de eventos pre configurados, además de proporcionar una interfaz de búsqueda flexible para registros de datos de los distintos componentes de seguridad. 

Otra familia de productos que tiene sus raíces en la gestión de registros, llamado sistema de gestión de eventos y de seguridad de la información (Security Information Event Management - SIEM) puede también ser usado en lugar del LMS. El SIEM amplía las capacidades del LMS para proporcionar análisis inteligente y mitigación de amenazas.

Combinación de todos los elementos

Como puede ver, hemos identificado las tecnologías específicas de seguridad que se pueden utilizar para proteger cada componente del entorno alojado de una empresa, empezando con la mitigación de ataques DDoS en la infraestructura del proveedor, seguido de firewall y tecnologías IPS para la protección de la red, de herramientas WAF para la protección de la capa de aplicación, de CIMS para proteger la integridad del sistema de archivos y, finalmente, de LMS, que sirve como depósito de información de registro para los distintos componentes de seguridad y del servidor. 

Mediante la práctica de la defensa en profundidad, o incluso implementando algunos de los componentes (por ejemplo, LMS), la empresa habrá dado un paso gigantesco hacia su objetivo de tener una plataforma de seguridad resistente que pueda visualizar en tiempo real las amenazas contra la seguridad.

Sobre el autor:

Anand Sastry es un arquitecto de seguridad sénior de Savvis Inc. Antes de unirse a Savvis, trabajó para clientes en varias industrias (grandes y medianas empresas de los sectores financiero y sanitario, comercios minoristas y medios de comunicación) como miembro del equipo de servicios de seguridad de una consultoría Big 4. Tiene experiencia en pruebas de penetración de aplicaciones y red, diseño de arquitectura de seguridad, seguridad inalámbrica, respuesta a incidentes e ingeniería de seguridad. Actualmente está involucrado con  firewalls de aplicaciones de web y de red, sistemas de detección de intrusos en la red, análisis de malware y sistemas de negación de distribución de servicios. Twittea en https://twitter.com/cptkaos.