| Artículos | 01 NOV 2007

Cómo garantizar la máxima seguridad en entornos de red

Tags: Histórico
Alfonso Casas.

"A medida que la infraestructura de red se vuelve más compleja, resulta crucial instaurar diferentes políticas de seguridad para proteger cada punto débil que pueda esconder. La perfecta integración de los dispositivos dedicados, ya sean gateways, firewalls o switches específicos, junto con el software de seguridad, resultarán cruciales para una máxima eficiencia.

Si preguntásemos a cualquier directivo cuáles son sus principales preocupaciones a nivel informático, es muy probable que la seguridad e integridad en los datos ocupe uno de los primeros puestos de la lista. Ahora bien, abordar el tema con garantías dentro de lo que pueda ser una estructura de red no resulta nada sencillo, a pesar de los avances conseguidos en cuanto a soluciones dedicadas que a día de hoy se comercializan. Para conseguir resultados satisfactorios es necesario tener en cuenta aspectos que en la mayoría de ocasiones son pasados por alto.
Para las pequeñas empresas es fundamental disponer de, al menos, dos métodos para hacer frente a las amenazas. Por un lado, un dispositivo cortafuegos y, por otro, algún programa antivirus o suite de seguridad, para que entre ambos sea posible mantener segura la red informática. Los responsables de TI muestran un interés creciente por las alternativas a los productos que, además de resultar costosos, son complejos de configurar, manejar y mantener. Hay que tener en cuenta que medidas como la mejora en la gestión de recursos, la formación de los usuarios o la elaboración de normas de utilización aceptable, pueden reducir considerablemente los riesgos y prevenir males mayores.
Como cada empresa muestra su infraestructura particular, el primer objetivo debe ser examinar y clasificar las amenazas a las que se enfrenta cada una de forma específica. Dos puntos destacan sobre el resto; los virus, de los que todos los miembros de la red deben tomar conciencia, y los ataques dirigidos, que suelen adoptar la forma de troyanos que viajan a escondidas ocultos bajo el correo electrónico o servicios de mensajería. En estos casos, el uso de un cortafuegos antihackers y de una buena protección antivirus resulta esencial, independientemente de las dimensiones de la organización. Posteriormente cabe determinar la posibilidad de recurrir a firewalls más específicos para restringir el acceso a determinadas áreas, como pueden ser los departamentos de mayor sensibilidad de la empresa. La oferta de software y hardware para estos casos es abundante. Para las empresas que no dispongan de administrador de sistemas, existen soluciones menos complejas, es decir, dispositivos que proporcionan seguridad firewall, antivirus y protección adicional embebidos bajo un único paquete de fácil instalación. Se muestran generalmente como dispositivos todo en uno (también conocidos como appliances o UTM, Unified Threat Management, o gestión unificada ante amenazas). Eso sí, sin olvidar que toda buena implementación depende de una administración y supervisión constantes.

Redes más complejas
A medida que la infraestructura de red se vuelve más compleja, resulta crucial instaurar diferentes políticas de seguridad para proteger cada uno de los resquicios de vulnerabilidad que esconde la LAN. Aquí hay que tener en cuenta todo lo que viaja por la red, no sólo lo residente en los puestos cliente o servidores de archivos, sino también en las pasarelas de internet, los servidores de correo SMTP o Exchange, o los routers de acceso remoto, entre otros. Para organizaciones de mayor envergadura conviene aplicar métodos de coordinación entre las herramientas antivirus y los firewalls o appliances de seguridad. Resulta indispensable aplicar de forma coherente las distintas medidas de seguridad en cada uno de los puntos críticos, de forma que el tráfico en la red no se vea ralentizado por duplicar innecesariamente pasos de escaneado, por poner un ejemplo. Es sorprendente cómo todavía existen muchas grandes empresas que confían toda su seguridad al paquete antivirus de cada puesto cliente. Y más preocupante resulta que muchas de ellas no impongan regularmente a cada equipo las actualizaciones habituales que son necesarias, ni tan siquiera a los servidores, exponiendo la red a situaciones críticas. Algo similar ocurre con los firewalls o appliances que, sin un mantenimiento regular ni unas revisiones habituales, dejarán de ofrecer protección contra ataques de denegación de servicio (DoS), por ejemplo, y otras técnicas empleadas por los hackers.

Problemática
Es difícil hacernos una idea de la cantidad de información que se mueve a diario dentro de cualquier intranet, ya sea por intercambio de información, gestión de correo electrónico y mensajería, consultas a los servidores de bases de datos, envíos de informes al servidor de impresión, documentos compartidos entre usuarios, así como las copias de seguridad realizadas en los servidores dedicados o en las cintas de almacenamiento al final de cada jornada. Todo buen administrador es consciente de la cantidad de tráfico que genera toda esta serie de servicios, imprescindibles dentro de cualquier empresa. Si, además, los puestos cliente son numerosos, con redes virtuales de por medio, los servidores deben afrontar una carga de trabajo extra, especialmente en franjas horarias determinadas, como puede ser al comienzo de cada jornada, cuando los servidores de correo deben responder a toda la demanda de peticiones.
El desarrollo de aplicaciones que cada vez consumen mayor ancho de banda, así como la aparición de tráficos multimedia de mayor peso, obliga a preparar las redes para que puedan soportar las necesidades actuales y futuras, sin dejar de lado la seguridad. Para ello, es recomendable implantar técnicas de calidad de servicio conocidas como (QoS).

Estructuras DMZ
A pesar de primar la simplificación en las configuraciones de sistemas, para que la red y el dominio de Windows presente un funcionamiento correcto, actualmente se hace necesario implementar medidas de cortafuegos que actúen directamente junto con el Directorio Activo de Windows, para ofrecer pleno control sobre las distintas bases de datos de los usuarios. Dentro de un escenario típico para el despliegue de determinados servicios, es habitual plantear una topología tipo DMZ, conocida como zona o red desmilitarizada, para acotar redes o estructuras segmentadas. Se trata de pequeñas subredes dentro de la principal, limitada en sus extremos por un cortafuegos de control de seguridad, las cuales, marcan la frontera entre el mundo exterior (lo que podría ser internet), y la propia intranet de la empresa.
Muchas pequeñas empresas que disponen de servidor web también se ven forzadas a establecer medidas de este tipo, pues resulta de lo más eficiente para facilitar las llamadas de acceso al servidor desde el exterior y, a su vez, impedir que puedan acceder al resto de la red. En este punto, los cortafuegos implantados deben ser capaces de definir reglas concretas que admitan tráfico en los puertos utilizados por las aplicaciones que se ejecutan en la red de apantallado y que requieren igualmente de recursos de la red interna. De forma adicional, también hay que barajar la utilización de filtros que permitan el tráfico entre terminales Windows, con el fin de que la co

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información