ISO 27033-4: Protegiendo las comunicaciones

Aunque aún utilizamos protocolos de red que no fueron diseñados con la seguridad en mente, como BGP, las comunicaciones han avanzado los suficiente gracias al uso y extensión de esta por todo el mundo, si además le sumamos el coste cada vez más reducido y la facilidad de publicar nuevos servicios para llegar a cualquier rincón, hace que las empresas y organizaciones se enfrenten a nuevos retos a la hora de planificar, diseñar e implantar nuevas redes abiertas a Internet ya que deben protegerlas para mantener la confidencialidad, integridad y disponibilidad de los datos.

Para los arquitectos y diseñadores de redes, directores de redes y jefes de seguridad de redes la organización ISO ha publicado a principios de este año 2014 las mejores prácticas para proteger las redes, y que podemos encontrar dentro del estándar ISO/IEC 27033-4. En estas mejores prácticas la organización ISO pretende mejorar la protección de las redes, los sistemas y los datos que se alojan en ellas definiendo controles que nos ayuden a detectar, analizar y mitigar las amenazas provenientes de Internet, además facilita algunas lineas generales que deben tener los equipos de seguridad perimetral que nos ayudarán a decidir con mayor facilidad qué equipo adquirir, qué despliegue realizar y qué funcionalidad habilitar.

A continuación podemos ver los controles de seguridad a los que hace referencia el estándar ISO:

• Stateless packet filtering: La solución adoptada debería poder analizar y filtrar las protocolos no orientados a conexión como por ejemplo UDP.
• Stateful packet filtering: Al igual que el anterior, también debería poder analizar y filtrar los protocolos orientados a conexión como TCP.
• Application firewall: El cortafuegos de aplicaciones debe ser capaz de bloquear y permitir aplicaciones, por ejemplo permitir el uso de Dropbox pero no el uso de SkyDrive.
• Content filtering: Consiste en analizar y filtrar el tráfico basándonos en su contenido y no en las cabeceras de TCP/IP.
• Intrusion Prevention System and Intrusion Detection System: El equipo de seguridad perimetral debe ser capaz de detectar y bloquear ataques basándose en algún motor IPS/IDS.
• Security management API: Es recomendable que el equipo disponga de alguna API para poder recabar información con herramientas de terceros.

A continuación podemos ver algunas lineas generales a las que hace referencia el estándar ISO que nos ayudarán a elegir el equipo de seguridad perimetral que mejor se adapte a nuestra plataforma:

• Plataforma software frente a plataforma hardware: Dependiendo de la carga y la criticidad de las comunicaciones nos decidiremos por una solución u otra.
• Configuración: Las capacidades de configuración y la facilidad de configuración es un punto a tener en cuenta.
• Características de seguridad: Además de los controles de seguridad mencionados anteriormente es recomendable valorar otras funcionalidades como la posibilidad de definir la política de contraseñas del equipo, la integración con el directorio activo de usuarios o las capacidades de VPN.
• Capacidades de administración: Posibilidad de administración web, consola mediante SSH y/o Telnet, SNMP, o necesidad de algún cliente.
• Capacidades de logging: El logeo de todo lo que pasa por el equipo es importante para detectar problemas y realizar troubleshooting.
• Capacidades de auditoría: Para saber qué pasó en una determinada fecha son necesarias funcionalidades de auditoría y análisis forense.
• Documentación, training y soporte: La claridad y cantidad de documentación suministrada por el fabricante es importante, además de la posibilidad de asistir a cursos de formación, y el soporte técnico preciso en tiempo y forma.
• Tipos de implementación: La posibilidad de instalar los equipos en modo route o modo transparente adaptándolo a las necesidades de nuestra infraestructura.
• Modos de operación y alta disponibilidad: En entornos donde la disponibilidad es crítica es necesario instalar los equipos en cluster Activo-Pasivo o Activo-Activo.

Como podemos ver la mayoría de controles de seguridad y funcionalidades que recomienda la ISO son todas aquellas que incorporan los principales fabricantes de cortafuegos UTM, sin embargo a la hora de decidir la adquisición de una solución de seguridad perimetral que proteja nuestras redes no deberíamos perder de vista todas estas recomendaciones. Mientras tanto seguiremos esperando con anhelo la siguiente publicación de la ISO 27033 referente a la protección de redes inalámbricas.