Modelo de seguridad de red: definición de una estrategia de seguridad empresarial

Descripción general

Estos son los 5 grupos de seguridad principales que se deben considerar con cualquier modelo de seguridad empresarial. Estos incluyen política de seguridad, perímetro, red, transacciones y seguridad de monitoreo. Todos ellos forman parte de cualquier estrategia de seguridad empresarial eficaz. Cualquier red empresarial tiene un perímetro que representa todos los equipos y circuitos que se conectan a redes externas tanto públicas como privadas. La red interna está compuesta por todos los servidores, aplicaciones, datos y dispositivos utilizados para las operaciones de la empresa. La zona desmilitarizada (DMZ) representa una ubicación entre la red interna y el perímetro compuesto por firewalls y servidores públicos. Eso permite cierto acceso para usuarios externos a esos servidores de red y niega el tráfico que llegaría a los servidores internos. Eso no significa que a todos los usuarios externos se les negará el acceso a las redes internas. Por el contrario, una estrategia de seguridad adecuada especifica quién puede acceder a qué y desde dónde. Por ejemplo, los teletrabajadores utilizarán concentradores VPN en el perímetro para acceder a servidores Windows y Unix. Además, los socios comerciales podrían utilizar una conexión VPN Extranet para acceder al Mainframe S / 390 de la empresa. Defina qué seguridad se requiere en todos los servidores para proteger las aplicaciones y los archivos de la empresa. Identifique los protocolos de transacción necesarios para proteger los datos mientras viajan a través de segmentos de red seguros y no seguros. Luego, se deben definir actividades de monitoreo que examinen los paquetes en tiempo real como una estrategia defensiva y proactiva para proteger contra ataques internos y externos. Una encuesta reciente reveló que los ataques internos de empleados y consultores descontentos son más frecuentes que los ataques de piratas informáticos. Luego, se debe abordar la detección de virus, ya que las sesiones permitidas podrían llevar un virus en la capa de aplicación con un correo electrónico o una transferencia de archivos.

Documento de política de seguridad

El documento de política de seguridad describe varias políticas para todos los empleados que utilizan la red empresarial. Especifica qué puede hacer un empleado y con qué recursos. La política incluye a no empleados, así como consultores, socios comerciales, clientes y empleados despedidos. Además, se definen políticas de seguridad para el correo electrónico de Internet y la detección de virus. Define qué proceso cíclico, si alguno, se utiliza para examinar y mejorar la seguridad.

Perimetro de seguridad

Esto describe una primera línea de defensa con la que deben lidiar los usuarios externos antes de autenticarse en la red. Es seguridad para el tráfico cuyo origen y destino es una red externa. Se utilizan muchos componentes para proteger el perímetro de una red. La evaluación revisa todos los dispositivos perimetrales que se utilizan actualmente. Los dispositivos perimetrales típicos son firewalls, enrutadores externos, servidores TACACS, servidores RADIUS, servidores de marcación, concentradores VPN y módems.

Seguridad de la red

Esto se define como toda la seguridad del servidor y del host heredado que se implementa para autenticar y autorizar a los empleados internos y externos. Cuando un usuario ha sido autenticado a través de la seguridad perimetral, es la seguridad la que debe tratarse antes de iniciar cualquier aplicación. La red existe para transportar tráfico entre estaciones de trabajo y aplicaciones de red. Las aplicaciones de red se implementan en un servidor compartido que podría ejecutar un sistema operativo como Windows, Unix o Mainframe MVS. Es responsabilidad del sistema operativo almacenar datos, responder a las solicitudes de datos y mantener la seguridad de esos datos. Una vez que un usuario se autentica en un dominio de Windows ADS con una cuenta de usuario específica, tiene privilegios que se le han otorgado a esa cuenta. Dichos privilegios serían acceder a directorios específicos en uno o varios servidores, iniciar aplicaciones y administrar algunos o todos los servidores de Windows. Cuando el usuario se autentica en los Servicios de Active Directory de Windows distribuidos, no es un servidor específico. Esto tiene enormes ventajas de administración y disponibilidad, ya que todas las cuentas se administran desde una perspectiva centralizada y las copias de la base de datos de seguridad se mantienen en varios servidores de la red. Los hosts Unix y Mainframe generalmente requerirán el inicio de sesión en un sistema específico, sin embargo, los derechos de red podrían distribuirse a muchos hosts.

· Autenticación y autorización de dominio del sistema operativo de red

· Autenticación y autorización de Windows Active Directory Services

· Autenticación y autorización de host Unix y Mainframe

· Autorización de la aplicación por servidor

· Autorización de archivos y datos

Seguridad de transacciones

La seguridad de las transacciones funciona desde una perspectiva dinámica. Intenta asegurar cada sesión con cinco actividades principales. Son el no repudio, la integridad, la autenticación, la confidencialidad y la detección de virus. La seguridad de las transacciones garantiza que los datos de la sesión estén seguros antes de ser transportados a través de la empresa o Internet. Esto es importante cuando se trata de Internet, ya que los datos son vulnerables a aquellos que utilizarían información valiosa sin permiso. El comercio electrónico emplea algunos estándares de la industria, como SET y SSL, que describen un conjunto de protocolos que brindan no repudio, integridad, autenticación y confidencialidad. Además, la detección de virus proporciona seguridad en las transacciones al examinar los archivos de datos en busca de signos de infección por virus antes de que se transporten a un usuario interno o antes de que se envíen a través de Internet. A continuación, se describen los protocolos de seguridad de transacciones estándar de la industria.

No repudio: firmas digitales RSA

Integridad: autenticación de ruta MD5

Autenticación: certificados digitales

Confidencialidad – IPSec / IKE / 3DES

Detección de virus: software antivirus McAfee / Norton

Vigilancia de la seguridad

Monitorear el tráfico de la red en busca de ataques de seguridad, vulnerabilidades y eventos inusuales es esencial para cualquier estrategia de seguridad. Esta evaluación identifica qué estrategias y aplicaciones se están empleando. La siguiente es una lista que describe algunas soluciones de monitoreo típicas. Los sensores de detección de intrusos están disponibles para monitorear el tráfico en tiempo real a medida que llega a su perímetro. IBM Internet Security Scanner es una excelente herramienta de prueba de evaluación de vulnerabilidades que debe considerarse para su organización. La mensajería del servidor Syslog es un programa estándar de Unix que se encuentra en muchas empresas y que escribe eventos de seguridad en un archivo de registro para su examen. Es importante tener pistas de auditoría para registrar los cambios en la red y ayudar a aislar los problemas de seguridad. Las grandes empresas que utilizan muchas líneas de marcación analógica para módems a veces emplean escáneres de marcación para determinar las líneas abiertas que podrían ser explotadas por piratas informáticos de seguridad. La seguridad de las instalaciones es el acceso típico mediante credencial a equipos y servidores que alojan datos de misión crítica. Los sistemas de acceso mediante credenciales registran la fecha y hora en que cada empleado específico entró y salió de la sala de telecomunicaciones. A veces, las cámaras también registran qué actividades específicas se llevaron a cabo.

Sensores de prevención de intrusiones (IPS)

Cisco comercializa sensores de prevención de intrusiones (IPS) a clientes empresariales para mejorar la posición de seguridad de la red de la empresa. La serie Cisco IPS 4200 utiliza sensores en ubicaciones estratégicas dentro y fuera de la red para proteger los conmutadores, enrutadores y servidores de los piratas informáticos. Los sensores IPS examinarán el tráfico de la red en tiempo real o en línea, comparando paquetes con firmas predefinidas. Si el sensor detecta un comportamiento sospechoso, enviará una alarma, dejará caer el paquete y tomará alguna acción evasiva para contrarrestar el ataque. El sensor IPS se puede implementar IPS en línea, IDS donde el tráfico no fluye a través del dispositivo o un dispositivo híbrido. La mayoría de los sensores dentro de la red del centro de datos se designarán como modo IPS con sus características de seguridad dinámica que frustrarán los ataques tan pronto como ocurran. Tenga en cuenta que el software de prevención de intrusiones IOS está disponible hoy con enrutadores como opción.

Prueba de evaluación de vulnerabilidades (VAST)

IBM Internet Security Scanner (ISS) es un escáner de evaluación de vulnerabilidades centrado en los clientes empresariales para evaluar las vulnerabilidades de la red desde una perspectiva externa e interna. El software se ejecuta en agentes y escanea varios dispositivos de red y servidores en busca de agujeros de seguridad conocidos y vulnerabilidades potenciales. El proceso se compone de descubrimiento de redes, recopilación de datos, análisis e informes. Los datos se recopilan de enrutadores, conmutadores, servidores, firewalls, estaciones de trabajo, sistemas operativos y servicios de red. Las vulnerabilidades potenciales se verifican mediante pruebas no destructivas y recomendaciones para corregir cualquier problema de seguridad. Hay una función de informes disponible con el escáner que presenta los hallazgos de la información al personal de la empresa.

Mensajería del servidor Syslog

Cisco IOS tiene un programa Unix llamado Syslog que informa sobre una variedad de actividades del dispositivo y condiciones de error. La mayoría de los enrutadores y conmutadores generan mensajes Syslog, que se envían a una estación de trabajo Unix designada para su revisión. Si su Consola de administración de red (NMS) utiliza la plataforma Windows, existen utilidades que permiten ver archivos de registro y enviar archivos Syslog entre Unix y Windows NMS.

Copyright 2006 Shaun Hummel Todos los derechos reservados