Buscando...
28 septiembre 2007
14:48
0 comentarios

La estrategia de “de-perimeterization” de las redes

Home » Unlabelled » La estrategia de “de-perimeterization” de las redes
Por Ido Dubrawsky
Asesor de Seguridad, Área de Comunicaciones de Microsoft

La arquitectura del perímetro de las redes se está modificando. La sabiduría del pasado consistía en fortalecer el perímetro al máximo posible disponiendo tecnologías múltiples para detectar las amenazas y ofrecer una protección contra ellas. El concepto consistía en asegurar los límites de la organización y luego la red. Existieron numerosas unidades comerciales que pusieron esta “perimetrización” en sincronización con las necesidades del negocio. Estas unidades incluyen:

• La explosión de direcciones IP, con una en casi todos los dispositivos electrónicos, y con algunos de estos dispositivos, como los teléfonos móviles, con una importante funcionalidad comercial,

• Una mayor conectividad desde afuera del entorno de la empresa por parte de clientes, empleados y socios comerciales, y

• Una mayor cantidad de relaciones comerciales de varias formas, incluyendo relaciones en "cooperación-competencia”, una situación en la que el competidor en un campo es también socio comercial en otro.


Una de las dificultades del modelo de parámetro fortalecido es que, al agregar cada vez más tecnologías al perímetro, incrementa la carga de administración, en algunos casos más rápido de lo que aumenta la implementación de nuevas tecnologías. Además, con tantos tipos de soluciones provisorias instaladas en el perímetro, queda fortalecido al extremo de impactar negativamente sobre la capacidad de la empresa de reaccionar efectivamente frente a nuevas oportunidades o de realizar sus actividades comerciales. Debemos reconsiderar este enfoque, y debemos tomar conciencia de que, mientras agregamos tecnologías de punto al perímetro de la red en nombre de la seguridad, también estamos incrementando drásticamente la complejidad del perímetro y por ende dificultando la capacidad de la empresa de responder frente a nuevas oportunidades.

Las empresas de la actualidad intentan ser más adaptables y flexibles con respecto a las personas, tecnología y procesos. Pero como contrapartida a la flexibilidad, existe un rígido diseño de perímetro de red donde los límites legales de la empresa pueden ya no corresponder a los límites lógicos. Es especialmente debido a estos desarrollos que el perímetro reforzado e inflexible del pasado rápidamente está perdiendo posiciones frente a una solución lógica en numerosas organizaciones. El perímetro reforzado está cediendo terreno frente a un proceso conocido como “de-perimeterization”, la lenta desaparición de la red de de perímetro (también conocida como zona desmilitarizada y subred protegida) para ajustarse a la realidad de las redes comerciales y el entorno de la actualidad.

Principio de la página
Qué no incluye el proceso de “de-perimeterization”
Varios profesionales de seguridad informática automáticamente asocian el proceso de de-perimeterization con la idea de descartar toda la seguridad en los límites de la red en favor de una nueva arquitectura. Esto no es correcto. El proceso de de-perimeterization no consiste simplemente en la desmantelación de toda la seguridad de límites que se encuentra instalada en la actualidad, ni tampoco la eliminación o reemplazo de firewalls generalizado. Tampoco consiste en la distribución de dispositivos de seguridad dentro de la red, ni tampoco en un reproche a la inspección profunda de paquete o un argumento para eliminar los sistemas de detección de intrusos o de prevención de intrusos. El proceso de de-perimeterization puede referirse a algunos o todos de estos conceptos, pero se realiza con el criterio central de que la defensa profunda de seguridad es una parte esencial del esfuerzo global de seguridad de la red, por lo que las necesidades de seguridad deben responder aún más para proteger los datos. (Simmonds, 2004).

Principio de la página
¿En qué consiste el proceso de “de-perimeterization”?
El término “de-perimeterization” fue creado por el Foro de Jericó para “describir la erosión de los perímetros “seguros” tradicionales, o “límites de la red”, como mediadores de la confianza y la seguridad.” (Foro de Jericó, 2006). Estos límites no son sólo físicos sino también lógicos, en el sentido que demarcan los límites de una organización o empresa. Las redes crecen paralelamente al crecimiento de la empresa. Sin embargo, el rígido perímetro ha creado una situación en la que la capacidad de la empresa de ingresar con efectividad a nuevos mercados (ya sean mercados determinados por una ubicación física y el establecimiento de nuevas oficinas comerciales, o mediante el desarrollo de relaciones comerciales con socios) puede verse influenciada por la inflexibilidad del perímetro.

La pregunta inevitable detrás de la definición de “de-perimeterization” es “¿qué implica el proceso de de-perimeterization?” El proceso de de-perimeterization implica volver a pensar el concepto de límites de red. La industria ya está estudiando el modelo de negocio del proceso de de-perimeterization. Indicadores como la desarticulación entre los límites legales de la organización y el perímetro de la red, las demandas por interconexiones directas de socios y proveedores, aplicaciones distribuidas y compartidas en las relaciones comerciales, y el número cada vez mayor de aplicaciones que utilizan tecnologías para sortear restricciones de firewall en el perímetro señalan la necesidad del proceso de de-perimeterization en una empresa. Además, el hecho de que los firewall tradicionales y la defensa de perímetros cada vez tienen menos éxito en la defensa contra software malicioso que utiliza la web o el correo electrónico como medio de transporte hace que nos replanteemos cómo estamos defendiendo nuestras redes en los límites contra estas amenazas. (Foro Jericó, 2007).

Como permitimos que protocolos tales como HTTP y SMTP, y especialmente tráfico cifrado como Capa de Sockets Seguros (SSL) y la seguridad de Protocolo de Internet (IPsec), para sortear la política de seguridad de límites definida en el perímetro de la red, es inevitable que un programa malicioso atraviese con éxito la seguridad del perímetro de la red en algún momento. Adicionalmente, los sistemas de detección de intrusos tienen un bajo valor definido en el perímetro de la red debido al número de alarmas que resultan ser falso positivas y por ende crean una elevada razón de ruido a señal que se produce con tales implementaciones. Los ataques cambian a una velocidad cada vez mayor, haciéndose difícil seguir su progreso simplemente instalando capas adicionales de defensa en el perímetro de la red.

Ya sea si los atacantes se aprovechan directamente de una vulnerabilidad o utilizan otros medios indirectos como el fraude electrónico “phishing” o “pharming”, su objetivo es obtener acceso o control de los datos comerciales. Estos datos pueden encontrarse en la forma de información de tarjetas de crédito, información de empleados, o incluso información financiera acerca de la empresa misma. Existen otros ejemplos, pero lo esencial es que los atacantes tienen interés en obtener acceso a los datos, y cada vez lo logran con mayor facilidad. Mientras que en el pasado un perímetro reforzado era una solución óptima, el entorno ha cambiado de tal forma que debemos repensar este concepto. Un perímetro reforzado es bueno para una empresa u organización que desea funcionar sólo dentro de los límites de su propio entorno, siendo el correo electrónico el único medio de comunicación con el mundo exterior. (Foro Jericó, 2007) Sin embargo, este modelo se ha vuelto anticuado y no ofrece los beneficios necesarios para operar con efectividad en el mundo comercial de la actualidad.

Principio de la página
Los beneficios comerciales del proceso de de-perimeterization
El proceso de de-perimeterization ofrece a las organizaciones nuevas formas de operar comercialmente. Algunos de estos beneficios, descriptos en un artículo del Foro Jericó (Foro Jericó, 2007), incluyen:

• Los sistemas de planificación de recursos empresariales (ERP) pueden conectarse directamente e integrarse entre una empresa y sus socios principales, brindando la posibilidad de una cooperación más cercana y un intercambio de datos más efectivo.

• Los límites legales, comerciales y de calidad de servicio pueden alinearse con la red y ala arquitectura de la infraestructura.

• Socios, uniones transitorias de empresas, contratistas y otras instituciones pueden obtener acceso a los datos que necesitan como si estuvieran físicamente conectados a la oficina o al sitio de la empresa.

• Se hace posible la interacción electrónica directa con los clientes.

• Las oficinas remotas pueden migrar de conexiones de red administradas que son lentas y onerosas a una conectividad de red administrada económica, directa y rápida.


Para que el proceso de de-perimeterization funcione efectivamente, la seguridad debe ser el centro de la arquitectura de red de la empresa. Se debe aplicar seguridad en los límites, ya sea en los dispositivos de usuarios como estaciones de trabajo y sistemas móviles, o en servicios de aplicaciones o activos de información claves para la empresa. El concepto de defensa en profundidad debe aplicarse más allá de la idea actual de subdividir la red y formar capas en nuevas tecnologías de seguridad. Por el contrario, debemos construir la red con la seguridad como criterio central. Si la seguridad no se construye desde el comienzo, su efectividad se reduce significativamente.

Principio de la página
Las tecnologías del proceso de de-perimeterization
¿El paso a una red con de-perimeterization implica una “actualización importante” (reacondicionamiento general)? La respuesta no necesita ser afirmativa. Existen numerosas tecnologías que pueden aplicarse, por pasos, para ayudar a las empresas a cambiar hace una red con de-perimeterization. Estas tecnologías incluyen servicio de Active Directory service, redes privadas virtuales (VPNs) de capas de sockets seguros (SSL), la protección de acceso a red (NAP), Servicios de Gestión de Permisos de Windows (RMS), y Aislamiento de Servidor y Dominio utilizando IPsec. En tanto que estas no son las únicas tecnologías necesarias, representan un conjunto importante de tecnologías centrales que las empresas pueden utilizar para realizar la transición desde el perímetro reforzado a un entorno con de-perimeterization. A continuación se realiza una descripción de cómo estas tecnologías trabajan en este diseño:

• Active Directory ofrece un repositorio central de información de autenticación y autorización para determinar el acceso a la red y a los datos de la red.

• Los Servicios de Gestión de Permisos de Windows ayudan a proteger los datos finales en la red controlando el acceso directo en la fuente.

• La Protección de Acceso a Red ofrece control con respecto a quién puede acceder la red y desde dónde, según el “estado de salud” del dispositivo final.

• El aislamiento del servidor y el dominio ofrece la capacidad de restringir el acceso tanto dentro de la red como en el límite de la misma, definiendo el acceso basándose en una política de sistema y reforzando el acceso requiriendo una conexión IPsec a las computadoras del servidor que están aisladas.

• Una red privada virtual de capas de sockets seguros (SSL) como la Intelligent Application Gateway (IAG) de Microsoft 2007 puede ofrecer a los usuarios un acceso seguro a datos o aplicaciones basándose en parámetros de autenticación y el estado del sistema final. Los usuarios pueden ser clientes, empleados o socios comerciales.


Principio de la página
Conclusión
Es importante recordar que el pasaje a una red con de-perimeterization no se realiza de un día para otro. Sin embargo, existen tecnologías que pueden llevar a una red con de-perimeterization al alcance de numerosas empresas. Es importante darse cuenta que mientras que las amenazas de seguridad que vemos en la actualidad evolucionan y las necesidades comerciales de la empresa se han modificado significativamente, el modelo de seguridad y arquitectura que la mayoría de las empresas utilizan en la actualidad no reflejan estas presiones.

Muchas gracias por su interés. Sus comentarios son bienvenidos; me pueden contactar en ido.dubrawsky@microsoft.com.

Principio de la página
Recursos
Foro Jericó, abril 2006. Architecture for De-perimeterisation. Recuperado en abril de 2007, del Foro Jericó: http://www.opengroup.org/jericho/Architecture_v1.0.pdf
Foro Jericó, enero 2007. Business Rationale for De-perimeterisation. Recuperado en abril de 2007, del Foro Jericó: https://www.opengroup.org/jericho/Business_Case_for_DP_v1.0.pdf
Simmonds, P. (2004, July 28-29). This Decade's Security Challenge. Recuperado en agosto de 2007, de Blackhat Las Vegas 2004: http://www.blackhat.com/presentations/bh-usa-04/bh-us-04-simmonds.pdf
a la/s 14:48
Share This To :

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
 
Back to top!