27
enero
2020

Arquitectura de Redes Seguras

arquitectura_de_redes_seguras

Hasta hace relativamente poco tiempo, para diseñar una arquitectura de red se pensaba en términos de conectividad y administración de los recursos y dispositivos.

En la actualidad, el alcance trasciende a este concepto básico, y se presta especial atención a cómo se protegen los activos de las entidades, ya que existe un número creciente de amenazas de red, tanto a lo interno como a lo externo de las organizaciones.

En este sentido, la red física se debe implementar correctamente, a fin de soportar el manejo confiable y seguro de la información que debe transportar, y para ello, debe realizarse previamente un diseño robusto bien estructurado.

Una arquitectura de red bien estructurada, combina la innovación en su diseño para enfrentar los desafíos comerciales y tecnológicos actuales, la administración efectiva, y el cambio en el tiempo de sus patrones de trabajo; permite además que las organizaciones soporten una red sin fronteras que pueda conectarse en todo momento, sin importar el dispositivo, de forma segura, confiable y sin inconvenientes.

Jerarquía de Redes

La creación de una red conmutada sin fronteras requiere el uso de principios de diseño sólidos para asegurar la máxima disponibilidad, flexibilidad, seguridad y facilidad de administración, sin descuidar su escalabilidad en el tiempo.

De forma general, las pautas fundamentales en el diseño redes conmutadas, se basan en los siguientes principios:

  • Jerarquía: facilita la comprensión de la función de cada dispositivo en cada nivel de la red, simplifica la implementación, el funcionamiento y la administración, y reduce los dominios de error en cada nivel.
  • Modularidad: permite la expansión de la red y la habilitación de servicios integrados sin inconvenientes y a petición.
  • Capacidad de recuperación: satisface las expectativas del usuario al mantener la red siempre activa.
  • Flexibilidad: permite compartir la carga de tráfico de forma inteligente mediante el uso de todos los recursos de red.

Estos principios no son independientes, sino que se complementan unos con otros, de forma tal, que para el buen diseño de una red conmutada, se superpongan de forma unificada sus características de interconexión, seguridad y movilidad. En este sentido, los modelos de diseño en capas, son marcos jerárquicos bien estructurados.

Las tres capas fundamentales dentro de los diseños de red con niveles son: de acceso, de distribución, y de núcleo. Cada capa puede considerarse como un módulo estructurado bien definido, con funciones y roles específicos en la red.

El modularidad en el diseño jerárquico de la red, asegura que mantenga la resistencia y la flexibilidad suficientes para proporcionar servicios, y permitir el crecimiento y los cambios que ocurren con el tiempo.

Capa de Acceso

La Capa de Acceso representa el perímetro interno de la red, por donde entra o sale el tráfico a lo interno de esta. De forma general, la función principal de los dispositivos de comunicación en esta capa (generalmente switches), es proporcionar al usuario el acceso a la red; además, sirven de enlace con el equipamiento de la capa de distribución.

Capa de Distribución

La Capa de Distribución interactúa entre la de Acceso y la de Núcleo, y en ella se implementan tecnologías de enrutamiento, seguridad y calidad del servicio. Entre sus funciones importantes se encuentran:

  • Interconectar con otras redes.
  • Proporcionar funciones inteligentes de enrutamiento para acceder al resto de la red.
  • Balancear conexiones de red para garantizar una alta disponibilidad al usuario final.
  • Facilitar servicios diferenciados a distintas clases de aplicaciones en el perímetro de la red.

Capa de Núcleo Central

La Capa de Núcleo es el centro de una red y funciona como “agregador” para el resto de los bloques de la infraestructura, uniéndolos con el resto de la red (Internet). Su propósito principal es proporcionar el aislamiento de fallas y la conectividad al backbone de alta velocidad.

En algunos casos donde no existe una escalabilidad de red extensa, no es necesario mantener Capas de Núcleo y de Distribución separadas. Dentro de las ubicaciones más pequeñas donde hay menos usuarios que acceden a la red, o en los sitios que constan de una única edificación, puede no ser necesario que estas capas estén separadas. En esta situación, la recomendación es el diseño alternativo de una red de dos niveles, también conocido como “diseño de red de Núcleo Contraído”.

Factores de Forma

En las redes comerciales, se usan diversos tipos de dispositivos de comunicación (switches, routers, entre otros), en función de la implementación adecuada de los requisitos de cada capa de la red. Algunas consideraciones comerciales comunes que se deben tener en cuenta al seleccionar el equipamiento son:

  • Costo: el aspecto económico influye en el diseño de la red a implementar, y se relaciona directamente con la cantidad y velocidad de los dispositivos que se necesiten, las funciones de administración que permiten, y sus capacidades de expansión en el tiempo, entre otros factores.
  • Densidad de Puertos: referida a la cantidad de conexiones que permiten los dispositivos de comunicación.
  • Velocidad de Conexión: la rapidez del enlace de red es uno de los aspectos fundamentales para los usuarios finales, por tanto, muy valorada desde el diseño.
  • Tamaño de Buffers: entendido como la capacidad que tiene el dispositivo comunicación de almacenar tramas de datos, para el manejo de congestiones en el acceso, por ejemplo, a servidores de aplicaciones o a otras áreas de la red.
  • Escalabilidad: en general, la cantidad de usuarios en una red aumenta con el tiempo; por lo tanto, el dispositivo de comunicación debe proporcionar la posibilidad de crecimiento.
  • Alimentación: en la actualidad, es común alimentar dispositivos de comunicación mediante cableado Ethernet, además del suministro de energía convencional, lo que se considera en el diseño como una fuente de alimentación redundante.

Redes Seguras

En el diseño de redes seguras se debe mantener un enfoque que cumpla con estándares de seguridad informática en todos sus elementos, donde aspectos como disponibilidad, integridad y confidencialidad, resultan importantes para su implementación.

Disponibilidad

Para garantizar la disponibilidad de servicios, es necesario asegurar desde el diseño de la red, y para su funcionamiento seguro, que determinados dispositivos de la infraestructura funcionen de forma ininterrumpida, tales como: UPS, banco de baterías, canales de internet, servidores, entre otros, en la misma medida que otros, como switches, routers, firewalls, deben asegurar que a su nivel las transacciones operen sin interrupción.

En cuanto a los switches, estos deben estar configurados en forma de clúster o sistemas de espejo, para garantizar que exista redundancia entre las interconexiones; respecto a los routers, se deben establecer rutas alternas con diferentes segmentos de red, y la implementación de mecanismos de reconexión cuando falla un canal de datos.

Respecto a los firewalls, se puede optar por sistemas de alta disponibilidad (High Availability) configurándolos, por ejemplo, a modos de clúster activo/pasivo o activo/activo. Con relación a los sistemas de Prevención y/o Detección de Intrusos (IDS/IPS), es importante que se encuentre correctamente configurados, para evitar bloqueos de aplicaciones o servicios importantes marcados como falsos positivos.

Por otro lado, los servicios que lo requieran, deben tener formas de realizar conmutación por error (failover), y en la misma medida, aquellos que dependan de DNS públicos, deben poder resolver otros ante una falla del canal.

Los sistemas de registro de logs deben funcionar en todo momento, junto a las configuraciones de alertas para el seguimiento a incidentes importantes. De igual modo, la administración y el acceso a las configuraciones de los diferentes equipos deben estar disponibles en todo momento, por distintos métodos, y solamente a los administradores de estos equipos.

Integridad

Para la integridad de la infraestructura se deben revisar periódicamente todos los equipos, verificando que no sufran alteraciones en sus configuraciones, que estén completos y en óptimas condiciones.

El endurecimiento de los protocolos de la red en especial de los equipos de interconexión (switches, routers, entre otros), contribuye a que estos no sufran alteraciones causadas por malas configuraciones o posibles atacantes.

La documentación de la infraestructura de la red, y los archivos de configuración de los equipos deben tenerse actualizados y resguardados, de tal manera que ante cualquier incidente puedan ser restaurados correctamente, y no estar accesibles por terceros no autorizados.

Otro aspecto no menos importante es fomentar una adecuada cultura de seguridad informática en el capital humano que integra la organización.

Confidencialidad

En esta parte se debe garantizar que los sistemas y equipos sean accedidos solamente por el personal autorizado. Se consideran dos aspectos importantes el aspecto físico y el aspecto lógico.

El aspecto físico tiene que ver con los controles de acceso que se tengan a las instalaciones donde se encuentren los sistemas, sensores de presencia, temperatura y humo, alarmas oportunas, entre otros, los cuales cobran relevancia cuando existe una adecuada política de seguridad física en la organización.

El aspecto lógico tiene que ver con los mecanismos de autenticación, el empleo oportuno de contraseñas de acceso robustas, la actualización de los sistemas y equipos con las versiones más actuales y estables de funcionamiento, y el uso de protocolos seguros y el cifrado para las conexiones que así se determinen.

Es importante, además, el establecimiento de políticas efectivas de seguridad para el empleo de la red, orientadas a la gestión de usuarios, roles, y privilegios de accesos, a fin de lograr un adecuado desempeño de la infraestructura.

De forma general, el diseño e implementación de redes seguras debe realizarse detalladamente, considerando todos los elementos que intervienen, su configuración en cada nivel, e incluso la experticia del personal que de forma general y particular interactúa en cada momento con la infraestructura.