La segunda capa de seguridad

A?Por quA� es necesaria una segunda capa de seguridad?

Una segunda capa de seguridad es necesaria para controlar en mayor medida los accesos a los recursos internos de la compaA�A�a, que, por otra parte, son los mA?s crA�ticos. Este es el principal motivo por el cual una corporaciA?n ha de pensar en dotar de una segunda capa de seguridad a sus redes.

Pero ya que se dota de ella, hemos tambiA�n de pensar en aspectos muy importantes a tener en cuenta de cara a implementar dicha capa de seguridad.

A?QuA� equipo elijo para segmentar mis redes como segunda capa de seguridad?

Hace aA�os lo primero que nos hubiera venido a la cabeza a la hora de implementar esta segunda capa hubiera sido colocar a un fabricante diferente al que se tenga en ese momento; pero de este modo podemos llegar a cometer un grave error.

El error consiste en afirmar que una misma vulnerabilidad no puede afectar a dos fabricantes distintos. Un ejemplo de ello es la vulnerabilidad conocida como a�?Multiple Vendor TCP Sequence Number Approximation Vulnerability CVE-2004-0230a�? que afectA? al menos a tres fabricantes de soluciones de seguridad distintos. De hecho, existen numerosas vulnerabilidades que han afectado a diferentes cortafuegos, lo cual permite afirmar que esta arquitectura (dos capas con diferentes fabricantes) presenta graves riesgos, incluso casi los mismos que si se tratara del mismo fabricante en ambos niveles.

Existen otras razones que desaconsejan este planteamiento. El hecho de que la primera capa de firewall haya sido comprometida es de por sA� casi tan crA�tico como si lo hubiera sido la segunda, ya que esta A?ltima permite pasar trA?fico malicioso hacia puertos permitidos debido a que carece a capacidades de detecciA?n a nivel 7.

La mayorA�a de las vulnerabilidades detectadas sobre dispositivos de seguridad no son vulnerabilidades de capacidades de seguridad, sino vulnerabilidades de productos de terceros que terminan haciendo de terminaciA?n en el cortafuegos, como relay de correo o proxy inverso, etc. Por ello, A?por quA� no elegir una tecnologA�a diferente? Cuando pensamos en segmentar redes, no solo existen los firewalls para segmentarlas, sino que hay otro tipo de productos que a la vez de dar mayores niveles de seguridad, permiten segmentar redes.

A?QuA� otra tecnologA?a?

Existen en el mercado tecnologA�as,, tales como equipos de gestiA?n de acceso a red, denominados TAC (Transparent Access Control), que permiten:

a�� Segmentar redes de una forma fA?cil y cA?moda, sin que ello tenga un fuerte impacto en la red

a�� Actuar como un firewall stateful inspection (capas 3 y 4)

a�� Comportarse como un IPS hasta nivel de aplicaciA?n

Las capacidades de IPS permiten a estos dispositivos identificar y bloquear intentos de ataque contra aplicativos o sistemas operativos vulnerables en el punto mA?s crA�tico de la red, es decir donde se ubica la informaciA?n crA�tica. Hay que tener en cuenta que la segunda capa de seguridad tiene como principal objetivo proteger los servicios de back-end, es decir bases de datos, servidores de aplicaciA?n, sistemas de almacenamientoa��

Estos sistemas permiten identificar tambiA�n posibles anomalA�as en los protocolos e reconocer anomalA�as estadA�sticas con el fin de bloquear ataques tipo a�?zero daya�?. Al tener una tecnologA�a diferente, y no utilizar los mismos mA�todos de filtrado de paquetes (y en muchos de los casos ni tan siquiera utilizar una direcciA?n IP, ya que pueden implementarse en modo transparente), las posibilidades de que este equipo se vea comprometido son mA�nimas.

Por A?ltimo algunos de estos sistemas TAC permiten correlacionar eventos de seguridad aportando un mayor nivel de a�?inteligenciaa�? y permitiendo bloquear ataques mA?s complejos reduciendo a su vez falsos positivos.

Buscar la facilidad de gestiA?n e integraciA?n

A la hora de implementar una soluciA?n que modifique la estructura de las redes, hay que intentar simplificar para obtener los mejores resultados; y esto no solo implica pensar en implementar ni la mejor ni la peor soluciA?n del mercado, pero tampoco la mA?s fA?cil ni la mA?s difA�cil de gestionar.

Pensemos por un momento quA� producto tenemos y quA� producto necesitamos, pues muchas veces el tener que implementar una soluciA?n no nos deja ver que la soluciA?n que necesitamos es mucho mA?s sencilla que la que queremos realmente implementar.

Por ello, tambiA�n hay una serie de factores que deben ayudarnos a elegir la mejor soluciA?n a nuestro proyecto, a�?segunda capa de seguridada�?. AquA� se enumeran algunos de ellos:

a�� Asegurar la falibilidad.

a�� Facilidad de GestiA?n e integraciA?n con productos instalados.

a�� Facilidad de actualizaciA?n.

a�� Facilidad de implementaciA?n.

a�� ReducciA?n de costes de mantenimiento.

a�� Alta disponibilidad.

a�� IntegraciA?n en la arquitectura. i??

Javier Larrea, TA�cnico de Stonesoft IbA�rica.