domingo, 13 de marzo de 2011

Aplicaciones Web. Securidad de Red (I de II): Capas y componentes de seguridad

En esta primera entrega discutiremos como organizar la seguridad de aplicaciones web a nivel de diseño de red. Posteriormente en la segunda entrega veremos un ejemplo.

Organización lógica y física. Modelo de capas


Capas de acceso lógico

La mayor parte de las aplicaciones Web basan su interfaz con el cliente en el protocolo HTTP o HTTPs. Este interfaz va a interaccionar para establecer el flujo de datos entre el cliente,  la aplicación y los datos. El objetivo es securizar ese flujo de modo que, tanto la aplicación como los datos estén  siempre bajo el control del lado servidor. Lo ideal es establecer una división lógica en capas:  interfaz<-->aplicación<-->datos.
Fig. 1 Capas lógicas
Capas de acceso físico

Una vez identificadas las zonas lógicas el siguiente paso es segmentarlas en distintas zonas de red y ubicaciones físicas. Así, tendríamos un servidor web como interface, un servidor de aplicaciones y una base de datos:

Fig 2. Capas fisicas de red


Zonas de seguridad

Hay que considerar 3 grandes  zonas:

  • Zona Internet (WAN)
  • Zona DMz : Zona de la red perteneciente al lado servidor y que es accesible directamente desde internet. . Su objetivo es establecer una frontera común entre internet y la red interna (DMZ externa) o entre distintas áreas de la red interna (DMz interna)
  • Zona Intranet. Es transparente, protegida e inaccesible al usuario de internet
Para lograr segmentar y conformar estas zonas nos apoyaremos en dispositivos tanto hardware como software:

  • Firewall, routers, switches
  • Servidores
  • IDS / IPS (Intrusion Detection/Prevention Sytems)
  • Honey Pots (sistemas que actúan como señuelo para engañar al atacante)
  • Accesos inalámbricos
  • Sistemas de alertas y monitorización, etc
Pasos en el diseño de red

  1. Política de Seguridad: 
    • Fijar el alcance , los activos a proteger, identificar amenazas y riesgos.
    • Seleccionar los controles y las medidas a tomar
     
  2. Clasificar las zonas de seguridad y su nivel de protección
  3. Selección de dispositivos de red apropiados: routers, switches
  4. Firewalls para segmentar las zonas de seguridad
    • Interconexión de los distintos sectores de seguridad. Control de paquetes
    • Control de acceso entre los sectores
    • Propiedades añadidas: Balanceo de carga, VPN, NAT.... 
  5. Servicios adicionales: IDS/IPS, VPNs
Sistemas de deteccion / prevención de intrusos

Su misión es inspeccionar el tráfico de red para prevenir intrusos
Pueden estar basados en software o en hardware y ubicarse para controlar un host HIDS (HostIDSo un segmento de red NIDS (NetworkIDS)
Un Sistema de Prevención de Intrusos, al igual que un Sistema de Detección de Intrusos, funciona por medio de módulos, pero la diferencia es que este último alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor), mientras que un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente
Los dispositivos hardware generalmente IPS hacen una copia del tráfico (span) y tienen menos impacto en el rendimiento de red.
Aunque parecidos, un IPS no es un firewall. El IPS  basa sus decisiones de control de acceso en el contenido del tráfico mientras que un firewal estándar solo lo hace teniendo en cuenta la direccion IP o el puerto.
Fig 3. IDS y firewalls

No hay comentarios:

Publicar un comentario