Protección en Línea


Se suele decir que los que están detrás de un router de hardware están protegidos de cualquier peligro. Esto es cierto en lo que respecta a las conexiones que vienen de afuera, pero no es cierto para los peligros que vienen del interior de la red local. No debemos olvidar que la mayoría de las amenazas están aterrizando en las computadoras de los usuarios a través de tráfico de correo electrónico o web (ya sea descargas drive-by o web bugs y exploits). Por lo tanto, es importante usar varias capas cuando se trata de la protección en línea. En aras de la simplicidad, me separé de las capas de protección en tres áreas: área de exteriores, de redes y el área de personal.



En cada uno de estos mecanismos de protección de las capas tiene que asegurarse de que cada categoría de amenazas pueden ser filtrados antes de que produzca algún daño al usuario final.

Capa 1

Este nivel de seguridad tiene que asegurarse de que sólo las aplicaciones autorizadas se les permite recibir y enviar datos a otras computadoras en Internet. No deben filtrar las conexiones que tienen lugar dentro de la red de área. Este efecto puede producirse ya sea con un dispositivo de hardware o software y, en general, con una combinación de ambos. Los dispositivos de hardware son los cortafuegos del hardware, routers, módems, servidores de NAT, etc. Cualquier dispositivo que puede controlar el tráfico de la red procedentes o con destino al exterior de la red se puede utilizar aquí. Software de servidores de seguridad instalados en cada dispositivo que se conecta a la red también tienen la misma función.

Dispositivos especiales
Una categoría especial de hardware que se encuentra en este nivel está representado por apoderados, monitores de red y dispositivos de red de detección de intrusos.

Los proxys son dispositivos que tienen la responsabilidad de los usuarios para comunicarse con la red externa. Esto los hace extremadamente importante, porque si no, el usuario está expuesto directamente a los datos brutos, sin filtrar procedentes de Internet. Ejemplo de la representación son los proxies web (Apache, Squid, IIS, etc) y los servidores SMTP.

La supervisión implica examinar el tráfico de red, la actividad, las operaciones, o el comportamiento para detectar anomalías relacionadas con la seguridad. En las empresas medianas y grandes no deben ser los aparatos o equipos especiales que filtran y supervisan el tráfico de red de acuerdo con algunas políticas. El monitoreo también puede ser implementado de acuerdo al protocolo, por lo que tales funciones se encuentran en servidores proxy Web, servidores proxy de correo y así sucesivamente.

Un sistema de detección de intrusiones de red (NIDS) trata de identificar actividades inapropiadas en la red. Proporciona la misma funcionalidad que un sistema de alarma antirrobo - en caso de una posible intrusión, el sistema emite una alerta. NIDS funcionan según el principio de la comparación de un nuevo comportamiento en contra de un comportamiento normal o aceptable previamente definida. Por lo general, un dispositivo NIDS escucha el tráfico de red y cuando se funda algo inusual que reacciona en consecuencia:

- Crea una regla de firewall dinámico para evitar una denegación de servicio
- Guarda los paquetes para su posterior análisis
- Informa entidades diversas que un ataque se está produciendo
- Termina conexiones

Por lo tanto, si la supervisión es el elemento pasivo, un NIDS es el elemento activo en una red.

Reforzamiento de los dispositivos
No importa lo inteligente de los dispositivos en esta capa son, tienen los mismos problemas que todos los demás dispositivos que funcionan en cualquier nivel: tienen errores que pueden ser explotadas. Los errores pueden encontrarse en el software que se ejecuta en estos dispositivos, así como en hardware. Por esta razón, es importante mantener estos dispositivos actualizados y sustituir a la mayor brevedad una versión más reciente y mejor está disponible. Un factor muy importante que hace que estos dispositivos más pesados para explotar es utilizar sólo los servicios mínimos que se requieren para el dispositivo para llevar a cabo sus funciones.

Capa 2

En esta capa residen varias aplicaciones de software que puede filtrar los datos recibidos de contenido malicioso. Esto incluye filtros web (filtrado de los protocolos HTTP y FTP), los filtros Antispam y Antiphishing filtros, filtros de mensajería instantánea, etc

Una categoría especial de los programas que operan en este nivel son aplicaciones que controlan el comportamiento de otras aplicaciones. Pueden ser Host Intrusion Prevention software o un componente especial en el sistema operativo (como Data Execution Prevention de Windows).

Últimamente, debido a la publicidad hecha para herramientas como Firesheep una nueva categoría de programas empezaron a ser más popular: el software de cifrado de sesión. Este tipo de software puede ser integrado dentro de un navegador y prácticamente encripta todos los datos transferidos entre el usuario y algunos sitios web. Dado que no todos los sitios web tienen la capacidad de encriptar el tráfico, el efecto de dichas herramientas sigue siendo limitada.

Capa 3

Esta capa es la última y representa al usuario final. Esto puede ser una persona real (generalmente) o una capa de software que realiza algunas tareas de forma automática. Supongamos que tenemos un pie del usuario frente a su computadora. Ningún software puede proteger totalmente al usuario contra todas las amenazas. La razón de esto no es que el software es malo, sino porque el software de seguridad no se le permite operar en la misma forma que el software malicioso hace. Esta es la razón por la última categoría siempre tendrá una ventaja sobre el software de seguridad. Lo que el software malicioso se ilegalmente, el software de seguridad tiene que ver con un montón de trabajo y la inteligencia.

Así, la última barrera entre los estafadores que quieren tomar el control del ordenador del usuario y los datos privados es el propio usuario. En los ataques cibernéticos el factor humano juega un papel muy importante: puede decidir si un ataque tiene éxito o no. Si el usuario se asegura de que los datos están correctamente estructuradas (no todo en un solo lugar) y protección (tal vez no necesariamente almacenado local, pero cifrada por lo menos), los daños que un atacante externo puede hacer puede ser cercana a cero.

Si el usuario desactiva el software de seguridad para la razón que sea, si hace caso omiso de las advertencias que recibe y ofrece todo tipo de información a cualquier sitio web que ve, a continuación, el software no puede evitarlo.


Fuente: Mejorar su seguridad Avira Blog