Sin embargo, aunque es una medida necesaria, no podemos afirmar que
la seguridad de la nuestra información está verdaderamente protegida,
simplemente con la instalación de un Firewall. Sería (salvando las
distancias) casi como asegurar que nuestra casa está protegida por tener
puertas. ¿Por qué?
Los cortafuegos proporcionan una primera barrera de defensa frente a
amenazas externas. Sin embargo, bien una mala configuración del
Firewall, (por ejemplo reglas de filtrado mal parametrizadas), bien un
error en su software o harware, puede volver completamente inútil su
eficacia. Por ello, se vuelve necesaria la utilización de un IDS o
sistema de detección de intrusos, que vigila la red en busca de
comportamientos sospechosos. Asimilándolo al ejemplo anterior referente a
la protección de nuestra casa, si un ladrón consigue atravesar la
puerta (FireWall), por no ser suficientemente “robusta” (mala
configuración), por estar estropeada (error de sw o hw), o porque ha
sido forzada, tendríamos a un vigilante dentro que lo detectaría.
Ahora bien, ¿qué actividades anómalas considera un IDS como intrusión? En general, las siguientes actividades:
- Reconocimiento: Los intrusos suelen hacer un
reconocimiento previo de la red antes de intentar atacarla, utilizando
técnicas francamente sencillas pero efectivas, como barridos ping, que
permite realizar una exploración de puertos (por ej: TCP o UDP),
identificar sistema operativo de una máquina, etc. Siguiendo con las
diferencias antes comentadas, un Firewall se limitaría a bloquear esos
“sondeos”, el IDS hace saltar la alarma!
- Exploración y ataque: Una vez los intrusos realizan el
reconocimiento de la red, ya saben qué objetivo atacar, intentando
utilizar brechas del sistema, y pudiendo dejar sin servicio una
determinada máquina, haciendo por ejemplo un ataque de denegación de
servicio. Una vez más, estos ataques pasarían completamente
desapercibidos por el Firewall, el IDS haría saltas la alarma!
Pongamos un ejemplo. Un Firewall bien configurado
bloquearía el acceso por puertos y protocolos de comunicaciones, excepto
aquellos en los que se desea ofrecer ciertos servicios. Imaginemos que
tenemos una empresa y vende sus productos a través de la Web, para lo
que necesitamos nuestro servidor Web. Para dar el servicio, sería
necesario que el puerto TCP 80 estuviera abierto.
¿Primera limitación del Firewall? Un hacker tendría la posibilidad de atacar nuestro servidor Web a través de éste puerto permitido. ¿Segunda limitación del Firewall? Normalmente las reglas, si no se ha configurado por personal experto en seguridad, bloquea el tráfico de entrada, no de salida.
Como siempre en Audea pensamos que la mejor defensa es la prevención,
y aprovechamos para recomendar nuestra solución Firewall UTM Netasq
indispensable para restringir el acceso a nuestra red, y protegerla de
las amenazas internas, y la dilatada experiencia de nuestros expertos
técnicos que ajustan la herramienta a las necesidades de tráfico y
seguridad su empresa!Audea Seguridad de la Información
Eduardo de Miguel Cuevas
Departamento de Seguridad TIC.
Fuente: blogs.periodistadigital.com
No hay comentarios:
Publicar un comentario