Publicado en el IEEE-CIECE 2007 en la Ciudad Obregón, México
Por Helios Mier Castillo
ABSTRAC
Una red moderna y de tamaño considerable se puede encontrar una complejidad y variabilidad de ambientes tanto en la tecnología, los procesos y los usuarios. Un ejemplo es la red de una institución educativa donde hay un ambiente muy dinámico principalmente por las actividades de la gran cantidad de usuarios que tiene.
Una estrategia de seguridad informática que establezca las protecciones solo en el punto donde se enlaza la red con el resto del Internet ya no será suficiente porque la red de una institución tienen ya múltiples puntos de contacto directos e indirectos con otras redes.
El concepto de protección con una Defensa en Profundidad permite el diseño de una estrategia de seguridad para redes formadas internamente por ambientes diversos.
Podemos así proponer un esquema de seguridad informática de manera generalizada para instituciones educativas de nivel superior basado en el concepto de defensa en profundidad, por medio de la identificación de los diversos segmentos que la conforman.
I INTRODUCCIÓN
La seguridad de las redes de cómputo tradicionalmente se ha manejado asumiendo que los sistemas que la componen son homogéneos en cuanto a la tecnología que usan y las funciones que les dan. También un factor para tomar en cuenta es la relativamente poca cantidad de sistemas que se podían tener en una red y una distribución reducida tanto lógica como geográficamente. Además, la conexión a redes externas como el Internet se realizaba en un solo punto, creando una bien definida frontera que permitía una fácil vigilancia y control de los elementos ajenos a la red.
Entonces, la protección de una red era controlado en un punto central: el enlace hacia el exterior, bajo la premisa de que el elemento hostil era siempre esperado que procediese desde fuera de la red, particularmente desde cualquier parte del Internet [1].
Pero con el tiempo, las redes aumentaron de usos, tecnologías, tamaño, cantidad y tipos de usuarios. Y por diversas necesidades es frecuente encontrar servicios de acceso remoto a la red como acceso telefónico y por medio de señales de radio.
También los usuarios cambiaron la forma en que usan las redes con la gran cantidad de aplicaciones para productividad y entretenimiento, que incluyen diversas características como la integración de múltiples servicios en una sola aplicación y la alta capacidad de movilidad para llevar su trabajo a diversas partes.
En una red moderna se sigue encontrando el punto donde se enlaza hacia el Internet, y que es también donde se sigue manteniendo un importante punto de control de seguridad. Pero la incorporación de puntos de acceso remoto como el acceso telefónico, enlaces remotos entre diversos segmentos de red, o las redes privadas virtuales, y el uso creciente de puntos de acceso inalámbricos, provocan que la frontera de la red se pierda, y al existir múltiples puntos de entrada, aumenta la probabilidad de que elementos hostiles ingresen a la red.
Además, en una red usada en alguna organización que ha alcanzado un tamaño considerable, se pueden encontrar distintos grupos de usuarios que dan usos muy variados a la parte de la red que les corresponde, y que pueden llegar a formar sub-redes muy distintas una de otra dentro de una misma red corporativa. Cada una de ellas llegaran a tener requisitos de seguridad muy particulares, y en combinación con la perdida de la frontera de la red, una sola política de seguridad que se halla diseñado para toda la corporación no podrá proteger adecuadamente todas las necesidades de los servicios y los usuarios.
Como objeto de estudio, podemos analizar los diferentes elementos en cuanto tecnología, funciones y usuarios que encontramos en una institución educativa, donde el simple hecho de clasificar los sistemas y servicios de acuerdo a su objetivo funcional ya nos permite determinar elementos como por ejemplo los sistemas públicos para usuarios externos e internos, sistemas para el apoyo de funciones administrativas en varios niveles, sistemas para el apoyo en la academia tanto para los alumnos y profesores, sistemas usados para productos y servicios, etc.
II LA DEFENSA EN PROFUNDIDAD
Una sola capa defensiva para toda la red pudiera llegar a ser tan fuerte como se quisiera, pero con la perdida de una frontera definida en la red, esa capa sigue siendo necesaria para proteger contra amenazas provenientes desde el exterior por el canal principal de comunicaciones, pero ya no es suficiente para enfrentar las amenazas que pueden o ya han logrado ingresar por los canales alternos que se han formado, muchos de estos a veces sin tenerlos previstos por los administradores.
Para una efectiva protección contra las múltiples amenazas que pudieran presentarse desde cualquier punto de entrada a la red, se asume que toda la red corporativa ya no es una sola unidad, sino que está compuesta de varios segmentos y sub-segmentos con objetivos operativos bien determinados y por lo tanto con riesgos y amenazas de seguridad específicos que requieren del establecimiento de mecanismos de protección adecuados para cada uno de ellos.
De esta manera, al establecer protecciones sobre los segmentos y grupos de segmentos, se estarán formando capas de protección una sobre la otra, donde se apoyaran mutuamente amplificando la capacidad de protección al quedar las debilidades de una capa de una cubiertas por las fortalezas de la capa que le sigue [2], y así, si un elemento hostil llega a derrotar una protección, existe una gran probabilidad de que el ataque quede anulado, reducido o al menos se gane tiempo para actuar con la protección que brinda la capa siguiente. [3]
Esta estrategia para la colocación de las defensas es conocida como Defensa en Profundidad y tiene su origen en el mundo militar, donde desde el punto de vista del atacante, las barreras que tiene que cruzar para llegar a su objetivo ya no solo se encuentran a lo largo del frente de batalla, sino también en lo profundo del área enemiga.
III TRABAJOS RELACIONADOS
La aplicación de las estrategias de defensa en profundidad para los objetivos de seguridad en sistemas de información en general son establecidas en una organización con ayuda de los servicios de expertos en la materia, resultando en una solución totalmente personalizada para un caso en particular.
Si existen corporaciones con metas y operaciones comunes, como en el caso de una institución educativa, entonces es factible proponer un esquema de seguridad basado en defensa en profundidad que sea una referencia base para todas ellas.
Robinson, en su publicación [4] muestra un esquema de protección resultante de tratar los problemas crónicos que se presentaban en su institución educativa, que junto con el trabajo realizado por Runnels [5], se reafirma que un esquema de defensa en profundidad brinda resultados muy favorables aún cuando la estrategia se componga de mecanismos de protección sencillos.
Las propuestas hechas por Robinson y Runnels desde un punto de vista general dan a conocer un listado de mecanismos de protección comunes que se pueden incorporar en una institución educativa y en el orden que hay que acomodarlos para formar las capas de la defensa en profundidad. Sin embargo, su recomendación queda enmarcada en algunos casos con el uso de tecnologías y productos específicos que funcionaron para ellos; y aunque ellos recomiendan tecnologías de uso frecuente, no hay una certeza de que esa solución pueda incorporarse en otras instituciones educativas o que sean lo que requieren exactamente para cubrir sus necesidades.
Además, las soluciones propuestas por Robinson y Runnels consideran a la red que quieren proteger como una sola unidad con contenido homogéneo, esto es, que no han tomado en cuenta las variaciones internas que existen dentro de la red de una institución educativa, lo que nos permite considerar que aún se podría alcanzar un nivel mayor de protección al identificar cuales son diferentes segmentos que componen la red y los riesgos que presentan, y sí poder establecer los mecanismos de seguridad adecuados para cada uno de ellos.
IV ESQUEMA PROPUESTO
La correcta aplicación de una defensa en profundidad en una institución educativa dependerá de la acertada identificación de los segmentos que conforman la red, tanto por los objetivos operativos que persiguen así como de los usuarios que interactúan con ellos.
Además de definir la protección para las fronteras de la red, en el interior de la misma se pueden identificar los siguientes grupos de sistemas para los que se crearán mecanismos de protección acordes:
Sistemas públicos externos para uso de cualquier persona.
Sistemas públicos internos para cualquier usuario de la institución.
Sistemas administrativos de alto y bajo nivel para el control interno de la institución.
Sistemas administrativos para la matricula académica.
Sistemas para el apoyo del proceso de enseñanza.
Sistemas públicos para el trabajo de alumnos y profesores.
Sistemas personales de alumnos y profesores.
Sistemas privados usados en proyectos de investigación y desarrollo.
Sistemas para controlar y apoyar otros sistemas y servicios.
Sistemas y enlaces de comunicaciones.
Sistemas móviles y de acceso remoto.
Estos tipos de sistemas pueden encontrarse fragmentados o agrupados en la red en diferentes segmentos lógicos o geográficos, quedando descentralizados los distintos servicios de toda la corporación.
Un procedimiento de análisis de riesgos que contemple las múltiples dimensiones en que se encuentra la red [6] permitirá encontrar con exactitud cuales son los mecanismos de protección para las personas, tecnologías y procesos de cada área según el caso particular de cada institución [2], pero de manera general se pueden determinar las consideraciones generales de protección:
La frontera de la red en su enlace principal hacia el Internet se debe de mantener en estricta política de control para limitar al máximo el acceso a la red desde el exterior.
Los accesos alternos a la red, como enlaces telefónicos o puntos de acceso inalámbricos deberán de quedar bajo una política restrictiva sobre los posibles destinos a los que un usuario puede ingresar desde ahí.
Los sistemas de uso público general deberán estar en una zona desmilitarizada (DMZ) en la frontera de la red, o crear zonas desmilitarizadas en alguno o varios segmentos internos de la red cuando se trate de sistemas públicos para uso exclusivo de ciertos grupos de usuarios.
Se debe de asegurar que las zonas desmilitarizadas de la red permitan el acceso a los servicios públicos que contienen, pero limitándolas para que no lleguen a ser utilizadas en caso de una intrusión como puntos de acceso para atacar otros segmentos de la red.
Los sistemas de misión crítica como los sistemas administrativos de alto nivel y de control de matrícula, deberán encontrarse en las capas más interiores de la red con las mejores protecciones, principalmente con controles de redundancia y respaldos. Pero para alcanzar un mayor nivel de confianza en caso de que un atacante logre llegar hasta alguno de ellos, entonces se recomienda establecer fronteras aún entre ellos mismos procurando separar entre sí a los sistemas que no tienen relación ni dependencia.
Si los sistemas de misión crítica ya no pueden ser atacados de manera directa, hay que determinar y proteger los medios indirectos para llegar a ellos, por ejemplo los sistemas usados por los desarrolladores de software y los sistemas de los administradores de la red y de las comunicaciones, donde también se pueden localizar elementos de gran valor para el atacante como contraseñas de acceso, códigos fuente, bases de datos, documentación técnica, y puertas traseras a los sistemas principales. Debido a la necesidad de los desarrolladores y administradores de contar con estos elementos, es frecuente encontrarlos fuera de un contexto de seguridad adecuado.
La designación de los usuarios que pueden interactuar con los sistemas de cada capa debe de ser realizado bajo el principio del menor privilegio posible, esto es, que cada usuario solo debe de poder hacer usos de los sistemas que necesite.
Los sistemas que sirven de apoyo en el proceso académico deben de contar también con buenas protecciones principalmente redundantes ya que cualquier interrupción del servicio afectará a todos los principales actores y clientes de la institución educativa: los alumnos y profesores.
Los sistemas personales de alumnos y profesores ya sean estáticos o móviles, deben de ser incorporados en la estrategia de protección también como parte de la red, primero por la importancia que pudieran adquirir debido a su contenido y segundo, para que no sirvan de medio de transporte o canal para una amenaza.
Se deben de definir las prevenciones y acciones reactivas a establecer en la red cuando por motivos accidentales o intencionales, un elemento de un segmento salga de su capa de protección y se presente en algún otro muy distinto; debido a que el cambio puede poner en riesgo a ese elemento extraviado y/o vulnerar el segmento al que ha llegado, por ejemplo el cambio o suplantación de una dirección IP, el establecimiento de servicios de red renegados, el robo de un componente, etc.
No olvidar que cada capa debe de contar con las protecciones más comunes aún cuando haya una capa superior que ya las tenga establecidas, como por ejemplo el establecimiento de firewalls personales además de firewalls corporativos entre los segmentos y las fronteras de la red; y otro ejemplo es la instalación de un antivirus en cada estación además de los filtros en las fronteras.
Sin importar la tecnología o producto, siempre se debe de estar informado acerca de las actualizaciones y parches de seguridad que surjan y aplicarlos oportunamente.
Adicionalmente, Robinson [4] con su propuesta de solución nos hace notar que la defensa en profundidad para cualquier corporación no termina en las fronteras de la red, sino que se deben de incorporar mecanismos de protección que extiendan hacia el exterior como por ejemplo:
Proveedores de servicios de Internet: pedir que ciertas comunicaciones sean limitadas desde su punto de control.
Proveedores de tecnología: pedir funciones específicas destinadas a la seguridad sean incorporadas en sus productos y servicios.
Y también la estrategia de protección deberá llegar incluso hacia el interior de los sistemas incorporando a los productos que se construyan dentro de la corporación los requisitos de seguridad que encajen de la misma manera en la estrategia de defensa en profundidad [7] como por ejemplo: control de usuarios, bitácoras de actividad, soporte para respaldos, sistemas redundantes, alertas automatizadas, actualizaciones, etc.
Por último, el establecimiento de constantes programas de concientización y capacitación en seguridad, ayudará a disminuir los riesgos que las personas pueden introducir a la red.
V CASOS DE ESTUDIO
La defensa en profundidad provee una protección más amplia contra un mayor número de amenazas. Los casos considerados contemplan a una amenaza automatizada como un gusano electrónico activo, una amenaza oportunista como un alumno curioso, y una amenaza peligrosa como el tener un empleado descontento en la organización.
A) Un gusano electrónico activo: son aquellos que no requieren la intervención de un usuario para su activación y replicación, por lo que su capacidad de dispersión les puede permitir llegar a ser tan veloces que una respuesta humana a su ataque sería casi imposible en el momento de su aparición.
En la estrategia en profundidad propuesta, al tener todos los posibles puntos de entrada en las fronteras de la red cubiertas con la política de restricción de comunicaciones, se cierra la posibilidad de la amenaza ingrese desde el exterior. Pero si por alguna circunstancia, la amenaza inicia su activación desde dentro de la red ya sea porque se transportó por canales no contemplados con la ayuda voluntaria o involuntaria de una usuario, el radio de máxima afectación del gusano quedará limitado a las fronteras internas que se han formado entre todas las capas de protección para cada segmento, dejando el resto de la red sin afectación no importando si del otro lado de esas fronteras se presenten las mismas condiciones óptimas para su reproducción, a menos de que de nuevo la amenaza encuentre un canal alterno de transporte hacia los otros segmentos.
B) Un alumno curioso: es un ejemplo de un usuario que por motivos sin especificar, tomara la iniciativa de explorar la red y sus sistemas para ver que puede encontrar, ó, que por tratar de emular a un atacante profesional, adquiriera en algún lugar una herramienta de ataque y la usara contra cualquier parte de la red.
La actividad maliciosa de este atacante también quedará inicialmente limitada al segmento donde se encuentre, en nuestro esquema propuesto el alumno quedará restringido a los segmentos públicos para alumnos que le corresponden, y su ataque podrá alcanzar sólo a los otros segmentos y servicios si es que para ellos específicamente se ha permitido se tenga contacto desde el segmento donde se localice el atacante; pero ese alumno tendrá ahora que realizar un esfuerzo adicional para descubrir a que otras partes de la red tiene alcance; al aumentar la actividad del atacante, también aumenta la probabilidad de la detección del ataque.
C) El empleado descontento: es uno de los casos más temidos puesto que el elemento atacante ya se encuentra muy dentro de la corporación y con la capacidad de crear gran daño por los privilegios y confianzas que posee.
La capacidad de este atacante estará en la misma medida del nivel de acceso y privilegios que posea para atravesar múltiples capas de protección de la red, y aún así, el potencial de daño quedará restringido sólo a los segmentos que le han sido asignados en el esquema de seguridad propuesto.
La estrategia de defensa en profundidad propuesta ha segmentado la red y los servicios de una manera adecuada, ya que seguirá ofreciendo una alta resistencia al ataque de este enemigo interno aún cuando se tratara de un empleado de alto nivel o que cuente con privilegios técnicos importantes sobre los sistemas.
VI CONCLUSIONES
Para confrontar los riesgos y amenazas que se presentan en una red moderna, el diseño de una protección con una estrategia de defensa en profundidad podrá proteger la red de una corporación con una gran variedad de ambientes y usuarios.
La red de una institución educativa es un ejemplo de la multiplicidad de ambientes y de mucho dinamismo que los usuarios provocan en ella. Si la estrategia de protección que se vaya a definir no toma en cuenta estas variaciones, las protecciones no podrán llegar a su máximo nivel de eficiencia o hasta podrían confrontarse entre sí.
Se ha presentado un esquema de protección para las instituciones educativas porque comparten muchas características comunes. Este esquema puede ser tomando como una base para estructurar las capas de una estrategia de defensa en profundidad, cuyos mecanismos de protección podrían ser muy simples y baratos, o muy complejos y costosos, pero con la certeza de que los mecanismos seleccionados serán justos y estarán siempre colocados en el lugar donde mejor eficiencia pueden brindar en conjunto con los mecanismos establecidos en otras capas.
VII REFERENCIAS
[1] Kunene, Glen, “Perimeter Security Ain't What It Used to Be, Experts Say“, DevX.com, 2004, http://www.devx.com/security/article/20472
[2] Ashely, B.K.; Jackson, G.L., “Information Asurances through Defense in Depth”, U.S. National Security Agency: Information assurance solutions group, 1999.
[3] McGuiness, Todd, “Defense in depth”, SANS Institute, 2001
[4] Robinson, David, “Defense in Depth: A small university takes up the challenge, SANS Institute 2002.
[5] Runnels, G. M., “Implementing Defense in Depth at the University Level”, SANS Institute, 2002
[6] Bass, T; Robichaux,R., “Defense in Depth revisited: Qualitative risk analysis methology for complex network centric operations”, IEEE MILCOM 2001.
[7] Stytz, R.M., “Considering Defense in Depth for Software Applications”, U.S. Air Force Research Laboratory, IEEE Security and Privacy Jan/Feb 2004, p. 72