Mediante la adopción de una política de seguridad es posible identificar las amenazas de las cuales se intenta proteger los recursos de la red, los mecanismos de seguridad a implementar y el nivel de protección requerido.
La política de seguridad misma responderá a la posición que asuma la organización ante tales amenazas. Esta posición se traduce en la determinación de una estrategia de seguridad que corresponde a un enfoque en particular para la elección de las reglas y medidas a tomar para proteger la red.
Ajustarse a una estrategia de seguridad es una decisión muy importante al momento de construir una solución de seguridad firewall ya que será determinante de la estructura resultante de dicha solución.
Existen algunas estrategias generales que responden a diferentes principios asumidos para llevar a cabo la implementación de una solución de seguridad [Chap-Zwi] [secinf.net 4].
Mínimo privilegio
Este es uno de los principios más fundamentales de seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa, sistema, etc) solo aquellos permisos o privilegios que son necesarios para realizar las tareas que se programó para ellos. El tipo de objeto al cual se apliquen los permisos determinará la granularidad de la seguridad obtenida.
Esta estrategia permite limitar la exposición a ataques y limitar el daño causado por ataques particulares. Está basada en el razonamiento de que todos los servicios ofrecidos por una red están pensados para ser utilizados por algún perfil de usuario en particular, y no que todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es posible reducir los privilegios requeridos para varias operaciones sin afectar al servicio prestado a los usuarios de la red.
Muchas soluciones utilizadas en la protección de un sitio utilizan técnicas para implementar una estrategia de mínimo privilegio, como es el caso de los sistemas de filtrado de paquetes, que solo permiten el paso de paquetes únicamente para los servicios deseados.
Esta estrategia es difícil de implementar cuando no está prevista como una característica de diseño en los programas y protocolos que estén siendo utilizados. Debe tenerse cuidado en asegurarse si realmente se está logrando implementar esta estrategia. En cualquier caso, es posible que se termine por implementar algo menos que el mínimo privilegio, o mucho más. Esta consideración esta relacionada con el objeto sobre el cual se aplica la restricción, es decir la granularidad de la protección. Por ejemplo, aplicar la restricción sobre los usuarios, puede restringir el uso de servicios que fueron pensados para todos los usuarios.
Para cada servicio debe establecerse cuidadosamente el objeto y las restricciones que se le aplican.
Defensa en profundidad
Esta estrategia se basa en la implementación de varios mecanismos de seguridad y que cada uno de ellos refuerce a los demás. De esta forma se evita que la falla de uno de los mecanismos deje vulnerable a la red completa.
La idea es hacerle más difícil y costoso a un atacante la tarea de violar la seguridad de la red. Esto se logra con la multiplicidad y redundancia de la protección, es decir, con cada mecanismo respaldando a los demás mecanismos de seguridad y cubriendo aspectos solapados, de forma que si uno de esos mecanismos falla, existen otras barreras más que vencer. Por ejemplo, se pueden aplicar política de seguridad de red, junto con políticas de seguridad de hosts y seguridad humana (educación de seguridad para los integrantes de la organización y usuarios de los servicios de red). Para el caso de la seguridad de red, por ejemplo, con un firewall, es común utilizar una solución de múltiples capas donde puede existir más de un filtro de paquetes, donde uno de ellos es capaz de filtrar aquellos paquetes que deberían haber sido rechazados por el filtro anterior.
Un aspecto importante de esta estrategia es la necesidad de evitar fallas de modo común es decir que los diferentes mecanismos deben ser cuidadosamente configurados para evitar que las fallas de un mecanismo no se propaguen al resto.
Punto de Ahogo (acceso)
Esta estrategia consiste en depender de un único punto de acceso a la red privada para todas las comunicaciones entre ésta y la red pública. Ya que no existe otro camino para el tráfico de entrada y salida, los esfuerzos de control y mecanismos de seguridad se centran y simplifican en monitorear un solo sitio de la red.
Esta estrategia se considera como una solución “todo en uno”. Como consecuencia, uno de los problemas que presenta es que si un atacante es capaz de traspasar la seguridad de este único punto del acceso tendrá acceso a todos los recursos de la red. Esta situación puede ser tratada utilizando mecanismos de protección redundantes y reforzar la seguridad de dicho punto.
Adicionalmente, otro de los inconvenientes que puede provocar esta estrategia, es que pueden producirse bajas en el desempeño de la comunicación de la red con el exterior, si se ve superada la capacidad del punto de acceso de registrar los sucesos y controlar todo el tráfico de entrada y salida.
En muchas soluciones este punto de acceso es implementado por un firewall perimetral por lo que éste debe tener la capacidad de procesar todo el tráfico que por él pase sin afectar en gran medida el desempeño de las comunicaciones.
La alternativa a este problema es proveer más caminos de acceso a la red pero estos también deben ser protegidos por algún mecanismo de seguridad y hace mas compleja la solución.
La estrategia del punto de ahogo no es útil si existe una forma alternativa de acceder a la red, por lo que estos caminos deben ser cuidadosamente localizados y restringidos del acceso exterior.
El enlace más débil
Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de los ataques a la privacidad de una red.
El objetivo de esta estrategia es identificar aquellos enlaces débiles de acceso a la red privada y tratar de eliminarlos, reforzarlos y/o monitorearlos. Aunque no por esto debe restarse importancia a la seguridad de otros aspectos de la red.
De todas formas, siempre habrá algún enlace que será más débil que todos, la idea que ese enlace debe ser lo suficientemente seguro en proporción al riesgo que implica que sea vulnerado.
Estado a prueba de fallos
Esta estrategia considera un importante factor en la seguridad de redes: ninguna solución de seguridad es 100% segura. Más o menos segura, una protección puede fallar. La pregunta es ¿cómo responderá la red a esta falla?. Obviamente se tratará de reestablecer la barrera cuanto antes, pero, mientras tanto...
Uno de los principios fundamentales en la seguridad de redes es que si un mecanismo de seguridad fallara, debería negarse el acceso a todo usuario, inclusive aquellos usuarios permitidos (no podemos determinar si lo son si la función de autenticación no está funcionando), es decir debe fallar en un estado seguro.
Este principio debe ser considerado al diseñar firewalls de Internet. Los filtros de paquetes y gateways, deben fallar en tal forma que el trafico desde y hacia Internet sea detenido.
La mayoría de las aplicaciones y dispositivos utilizados en una solución firewall, como routers de filtrado de paquetes y servidores proxy, dejan de retransmitir información si fallan; con excepción de los sistemas de filtrado basados en hosts, que generalmente poseen servicios mediante aplicaciones independientes de estos sistemas, siguen recibiendo conexiones por este otro servicio. Estos casos deben ser evitados, ya que no llevan a cabo esta estrategia y tienden a ofrecer “puertas” abiertas a posibles ataques.
Esta estrategia está apoyada por la implementación de una posición específica con respecto a decisiones de seguridad y políticas. Existen dos posibles posiciones:
- Rechazar por defecto: Se establece cuales son las comunicaciones que serán permitidas, cualquiera que no sea considerada, será rechazada.
- Aceptar por defecto: Se establece cuales son las comunicaciones que no son permitidas, cualquiera que no sea considerada, será aceptada.
Es claro que la posición de rechazar por defecto es una estrategia a prueba de fallos ya que si el mecanismo falla no habrá comunicación se que sea aceptada. Para determinar qué será permitido, deben considerarse las siguientes tareas:
- Examinar los servicios a ofrecer a los usuarios.
- Tener en cuenta qué implica ofrecer estos servicios en términos de seguridad y como pueden ser implementados de forma segura en balance con las necesidades de los usuarios.
- Permitir solo aquellos servicios necesarios, conocidos y que puedan ser protegidos de forma segura utilizando mecanismos disponibles.
Por otro lado, la posición de Aceptar por defecto, asume que todo es permitido a menos que se conozca que es inseguro, en cuyo caso se prohíbe su acceso. Esta posición no es en absoluto una implementación de una estrategia de estado a prueba de fallos.
Protección Universal
Más que una estrategia, es un principio que debería cumplir toda solución de seguridad. Se plantea que todo individuo en la organización que posee la red privada debe colaborar en mantener y cumplir las medidas de seguridad que permitan ofrecer una protección efectiva sus sistemas. De otra forma, un atacante podría aprovechar la debilidad de aquellos sistemas a cargo de estas personas para poder llegar al resto de los recursos de la red.
Un ejemplo claro de esto sería el caso de alguien que desde su equipo decidiera establecer una conexión telefónica a Internet utilizando un modem, sin ningún tipo de protección. Estaría abriendo una “puerta trasera” a posibles atacantes.
Esta colaboración es necesaria ya que al administrador de seguridad de la red no puede estar en todos lados; al menos no debería convertirse en una batalla entre éste y los individuos de la organización.
Diversidad de la Defensa
Esta estrategia plantea el uso de diferentes tipos de sistemas, es decir, de diferentes proveedores para implementar los diferentes mecanismos se seguridad. Esta estrategia puede complementarse a la de defensa en profundidad.
El objetivo de esta variedad es reducir las posibilidades de fallas comunes en todos los sistemas utilizados para proteger la red, debidas a errores propios de los sistemas o de configuración.
Esta estrategia tiene la desventaja del posible costo adicional, tanto económico como de tiempo y complejidad, ya que se debe conocer el funcionamiento y manejo de más de un producto. Otra de las posibles desventajas es la incompatibilidad de los sistemas, aunque actualmente existen estándares en varias áreas de la seguridad que hacen posible que diferentes sistemas puedan coexistir en la misma red colaborando para lograr una solución integral.
Adicionalmente estos sistemas pueden ser configurados por distintos administradores de seguridad para evitar que algún error conceptual por parte de los mismos afecte a la protección completa.
Estas consideraciones deberían ser evaluadas por la organización para determinar la conveniencia de aplicar esta estrategia.
Seguridad a través de “Oscuridad”
La idea de esta estrategia está basada en mantener oculta la verdadera naturaleza de la red privada y hacer público un perfil bajo (o no hacerlo). De esta forma, un atacante no lo notará, o lo pasará por alto como una posible víctima.
Esta suposición es algo ingenua ya que varios estudios han demostrado que el interés de un atacante por un determinado sitio no solo está determinado por el interés que éste tenga sobre la información de la red. Generalmente, los ataques involucran varios sistemas y varias cuentas de usuarios para poder ganar acceso no autorizado a otros sistemas antes de alcanzar su objetivo real. Un sitio puede ser comprometido solo para proveer un escenario de ataque a otros sitios, y para el atacante, no significa más que una dirección de IP más.
Esta estrategia, aunque puede ser útil en el comienzo de la vida de un sitio, y una buena precaución, es una base pobre para una solución de seguridad a largo término ya que la información tiende a filtrarse y los atacantes son habilidosos para obtener información relevante del sitio
Una de las medidas que suelen tomar muchas compañías es la no publicación de los números de teléfono de sus módems de servicio de conexión; solo los divulgan para usuarios que contraten sus servicios.
Simplicidad
Se sabe que cuanto más grande y complejo es un sistema, más errores tendrá, será más difícil y costoso de testear. Probablemente posea agujeros de seguridad no conocidos que un atacante puede explotar, por más complejos que sean.
La simplicidad de los sistemas de seguridad es un factor importante de una sólida defensa de red. Particularmente los sistemas de seguridad de red a nivel de aplicación no deberían tener funcionalidades desconocidas y deberían mantenerse lo más simples posible.
Seguridad basada en Hosts
En este modelo, los esfuerzos de protección están enfocados en los sistemas finales de una red privada, es decir que los mecanismos de seguridad son implementados en estos sistemas, y son ellos mismos quienes deciden si aceptar o no los paquetes de una comunicación.
Probablemente sea el modelo de seguridad para computadoras mas comúnmente usado en la actualidad, aunque el mayor problema con este modelo es que no es escalable sin no se considera un esquema de administración apropiado, por lo que solo es usado en ambientes muy chicos o donde no existe una red configurada que pueda ofrecer tal protección.
El mayor impedimento para hacer efectiva la seguridad de estos sistemas en ambientes de redes de computadoras actuales es la complejidad y heterogeneidad de esos ambientes. Inclusive si todos los hosts fueran idénticos o si tal heterogeneidad fuera superada, un sitio con un gran número de hosts hace que sea difícil asegurar de forma efectiva a cada uno. Mantener e implementar efectivamente la protección a este nivel requiere una importante cantidad de tiempo y esfuerzo, y es una tarea compleja.
En pocas palabras, puede no ser rentable implementar un nivel de seguridad a nivel de hosts para sitios grandes ya que requieran muchas restricciones, y mucho personal de seguridad.
Adicionalmente, este modelo presenta un problema importante en cuanto a puntos de ahogo y enlaces débiles: no existe un único punto de acceso ya que existen múltiples conexiones, una para cada host, muchas de las cuales pueden estar débilmente protegidas.
Seguridad basada en la Red
El modelo de seguridad de red se enfoca en controlar el acceso a la red, y no en asegurar los hosts en sí mismos. Este modelo esta diseñado para tratar los problemas identificados en el ambiente de seguridad de hosts, aplicando los mecanismos de protección en un lugar en común por el cual circula todo el tráfico desde y hacia los hosts: los puntos de acceso a la red.
Un enfoque de seguridad de red involucra la construcción de firewalls para proteger redes confiadas de redes no confiables, utilizando sólidas técnicas de autenticación, y usando encriptación para proteger la confidencialidad e integridad de los datos a medida que atraviesan la red.
La ventaja sobre el modelo de seguridad de hosts es una considerable reducción del costo para proveer la misma o mejor protección, ya que solo se necesita proteger unos pocos puntos de acceso (en muchos casos, uno) lo que permite concentrar todos los esfuerzos en una solución perimetral. Este modelo es escalable en la medida de que la solución perimetral pueda soportar los cambios sin afectar su desempeño.
Una desventaja de este modelo es que es muy dependiente de algunos pocos puntos de acceso por lo que pueden producirse reducciones en el desempeño del trafico de entrada y salida de la red; por otro lado, la protección lograda no es flexible y posee un bajo grado de granularidad, es decir, no es posible especializar la protección necesaria para cada host y sistema final de la red privada.