Implementación de la Seguridad por capas

Implementación de la Seguridad por capas.
Cuando un dispositivo de red comienza a recibir información cada uno de los niveles
de la pila TCP/IP comienza su tarea identificando bit a bit a qué módulo le
corresponde trabajar.
El momento en que una información circula por la red e ingresa a un ETD, a medida
que cada nivel la va evaluando, decide si se dirige hacia él o no en cada uno de los
niveles, cuando no es para él entonces debe descartar esa información y en algunos
casos reenviarla. Cuando se logra operar en modo promiscuo, esto implica que no
descarte información, sino que procese todo, sea para este ETD o para cualquier
otro. Por esta razón la idea de analizar el tráfico de una red, está particularmente
dirigida a poder escuchar todo el tráfico que circula por ella.
Cuando se realiza el análisis de tráfico en una red, generalmente se lo relación
con los conocidos Sniffers, que básicamente lo que hacen es husmear dentro de
una red y capturar todo lo que se pueda, para posteriormente analizarlo. Un
sniffer sólo captura tráfico y lo presenta de manera entendible. Un analizador de
protocolos, realiza esta tarea y a su vez procesa esta información para obtener
todas las posibles necesidades del usuario con la misma.
Un analizador de protocolos captura conversaciones entre dos o más sistemas o
dispositivos. No solamente captura el tráfico, sino que también lo analiza, decodifica
e interpreta, brindando una representación de su escucha en lenguaje entendible
por medio de la cual, se obtiene la información necesaria para el análisis de una
red y las estadísticas que el analizador proporciona.
En síntesis, un analizador de protocolos debería proporcionar: estadísticas, captura
de paquetes y decodificación y representación de información histórica.
Las técnicas de detección de sniffers que se emplean son varias y todas se basan
en poder determinar si la interfaz de red se encuentra en modo promiscuo, lo cual
es un claro síntoma de que desea recibir todo el tráfico que pasa por ella.
3.3.4.4. Seguridad en la Capa de Red
La función de esta capa se basa principalmente en el protocolo IP y es el manejo
de rutas. Es un protocolo no orientado a la conexión, permitiendo el intercambio
de datos sin el establecimiento previo de la llamada. Soporta las operaciones de
fragmentación y defragmentación, por medio de las cuales un datagrama se
subdivide y segmenta en paquetes más pequeños para ser introducidos a la red, y
luego en el destino se reconstruyen en su formato original para entregarlos al
nivel superior. También implementa el, el cual lo realiza por medio de un esquema
de direccionamiento.
En TCP/IP se tiene la Capa de Internet, en esta capa se puede realizar cualquier
ataque que afecte un datagrama IP. Siendo los principales ataques a esta capa: las
técnicas de sniffing, la suplantación de mensajes, la modificación de datos, los
retrasos de mensajes y la denegación de mensajes.
En un ataque se puede suplantar un paquete si se indica que proviene de otro
sistema. La suplantación de un mensaje se puede realizar, por ejemplo, dando
una respuesta a otro mensaje antes de que lo haga el suplantado.
En esta capa, la autenticación de los paquetes se realiza a nivel de máquina (por
dirección IP) y no a nivel de usuario. Si un sistema suministra una dirección de
máquina errónea, el receptor no detectará la suplantación. Para conseguir su
objetivo, este tipo de ataques suele utilizar otras técnicas, como la predicción de
números de secuencia TCP, el envenenamiento de tablas caché, etc. Por otro
lado, los paquetes se pueden manipular si se modifica sus datos y se reconstruyen
de forma adecuada los controles de las cabeceras. Si esto es posible, el receptor
será incapaz de detectar el cambio.
Para controlar la seguridad en esta capa se debe poner atención en los mensajes
de ruta y direcciones:
Seguridad en Router:
El Router es el dispositivo a controlar en este nivel, para lo cual se debe tomas
atención en:

Control de contraseñas: Los router permiten la configuración de distintos
tipos de contraseñas, para acceder al modo usuario es la primera que
solicita si se accede vía Telnet, luego también para el ingreso a modo
privilegiado, también se permite el acceso a una contraseña cifrada, la de
acceso vía consola y por último por medio de interfaz gráfica por http.

Configuración del router: Dentro de este aspecto se contemplan los
detalles de configuración que muchas veces en forma innecesaria quedan
habilitados y no se emplean como Broadcast Subnetting, local loop, puertos,
rutas, etc.

Resguardo de las configuraciones: Se debe guardar la startup-config
en forma consistente con la running-config, y esta a su vez en un servidor
tftp, como así también en forma impresa.

Protocolos de ruteo: El empleo de los protocolos de ruteo es crítico pues
la mayor flexibilidad está dada por el uso de los dinámicos (RIP, IGRP,
EIGRP, OSPF), pero se debe tener en cuenta que con esta medida se facilita
información para ser aprovechada por intrusos, los cuales a su vez pueden
emplearla para hacerse partícipe de las tablas de ruteo (En especial con RIP
pues no se puede verificar el origen de los costos de las rutas, en OSPF, es
más fácil pues se envía una tabla completa que pertenece a un router
específico y a su vez a este se lo puede verificar con dos niveles de
contraseña: normal y Message Digest). Las tablas de ruteo estáticas, por el
contrario, incrementan sensiblemente las medidas de seguridad, pues toda
ruta que no esté contemplada, no podrá ser alcanzada.
 Listas de control de acceso (ACL): Son la medida primaria de acceso a una
red

Listas de acceso extendidas (ACL extendida): Amplían las funciones de
las anteriores, generalmente con parámetros de nivel de transporte
 Archivos .Log: Permiten generar las alarmas necesarias.

Seguridad en el acceso por consola: Se debe prestar especial atención
pues por defecto viene habilitada sin restricciones, y si se tiene acceso
físico al router, se obtiene el control total del mismo. Siempre hay que tener
presente que un usuario experto, si tiene acceso físico puede iniciar la
secuencia de recuperación de contraseña e iniciar el router con una
contraseña nueva.
Control de tráfico ICMP:

Mejor ruta: Este se trata del campo código de la cabecera ICMP con el
código 5 de mensaje, su mal empleo permite triangular la ruta de una red
para obligarla a pasar siempre por un router sobre el cual se obtiene la
información deseada.

Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del
protocolo ICMP con una solicitud y respuesta de eco (código 0 y 8, conocido
como ping). Un conocido ataque es enviarlo con una longitud mayor a lo
permitido por IP (65535 Byte). Al ser recibido, el host no sabe cómo tratarlo
y se bloquea. Se debe indicar que hoy la masa de los sistemas ya no lo
permiten. También se puede negar el servicio, por medio de una inundación
de estos.

Destino no alcanzable: Es el código 3 de ICMP, lo importante pasa por los
códigos en que se subdivide, pues por medio de estos, se obtiene
información que es de sumo interés. Al recibir respuestas de destino no
alcanzable, desde ya no es lo mismo esta situación si se trata de prohibición
de acceso, de puertos negados, de Servidores que administrativamente
niegan acceso a sus aplicaciones, etc.
El campo código de la cabecera ICMP puede contener uno de los siguientes
valores:
Código
Valor
0
1
Net unreachable
Host unreachable
2
Protocol unreachable
3
4
Port unreachable
Fragmentation needed and don’t fragment bit was set
5
6
Source route failed
Destination network unknown
7
Destination host unknown
8
Source host isolated
9
Destination network is administratively prohibited
10
Destination host is administratively prohibited
11
12
Destination network unreacheable for type of service
Destination host unreacheable for type of service
13
14
Communication Administratively prohibited
Host precedence violation
15
Precedence cutoff in effect
Tabla No. 3.10. Código de la cabecera ICMP.
Fuente: http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html.
Seguridad ARP:
El ataque ARP es uno de los más difíciles de detectar pues se refiere a una
asociación incorrecta de direcciones MAC e IP, por lo tanto se debe analizar todas
las tramas que circulan por la red y comparar permanentemente las mismas con
un patrón de referencia válido. Existen programas que realizan esta tarea, como
Arpwatch, siendo de los más conocidos. Arpwatch corre bajo linux y está en los
repositorios de las principales distribuciones, así que se la puede instalar con apt get, yum, rpm, etc. Una vez instalada, se debe editar el fichero de configuración,
que está en /etc/arpwatch.conf, para que mire nuestra subred y nos envíe las
alertas. Para esto, añadimos una línea dentro del fichero que ponga eth0 -a -n
192.168.1.0/24. Obviamente, arpwatch, o cualquier otro sistema similar, no puede
mirar más que la subred o subredes a la que pertenece el computador donde lo
hemos instalado, ya que los paquetes arp no saltan de VLAN en VLAN. Esto
quiere decir que se necesita un arpwatch por cada subred, así que se debe ser
cuidadosos y tratar de minimizar el trabajo.
Se lo instalará en las subredes más críticas, como puedan ser administración y
sistemas. Para que envíe las alertas, se tiene muchas formas. Una de ellas es
configurarlo para que envie un mail, añadiendo al fichero /etc/arpwatch.conf una
línea como ésta:
eth0 -a -n 192.168.1.0/24 -m [email protected]
Control de direccionamiento IP:
Como es de conocimiento existen dos formas de asignación de direcciones IP

Estático: Se implementa en cada host manualmente, y se hace presente en
la red siempre con la misma dirección IP.

Dinámico: Se asigna a través del empleo del protocolo DHCP dentro del
rango que se desee. Se debe tener en cuenta que al producirse las cuatro
tramas de DHCP, se pueden configurar varios parámetros, uno de ellos
también es la máscara de subred.
Si se asigna la IP de forma estática en los dispositivos se gana en seguridad, puesto
que si por cualquier circunstancia un intruso llega a acceder a la red, no se le
asignará dirección IP para conectarse, por lo que evitará que se pueda comunicar,
tanto con el exterior como con el resto de equipos. Esto es una medida adicional
sobre todo para las conexiones WiFi. Actualmente la Red de la Cooperativa asigna
las direcciones IP en forma Dinámica pero se debe hacer una planificación para
realizar esta asignación en forma Estática.
3.3.4.5. Seguridad en la Capa de Transporte
La capa de transporte se encarga de la calidad de servicio, garantizando, cuando
la aplicación lo requiera, confiabilidad, control de flujo, segmentación y control de
errores en la comunicación. Se basa en dos protocolos, TCP, protocolo orientado
a la conexión y UDP, protocolo no orientado a la conexión. La capa de transporte
transmite información TCP o UDP sobre datagramas IP. En esta capa se puede
encontrar problemas de autenticación, de integridad y de confidencialidad. Algunos
de los ataques más conocidos en esta capa son las denegaciones de servicio
debidas a protocolos de transporte.
En cuanto a los mecanismos de seguridad incorporados en el diseño del protocolo
de TCP, existe una serie de ataques que aprovechan ciertas deficiencias en su
diseño. Una de las vulnerabilidades más graves contra estos mecanismos de control
puede comportar la posibilidad de interceptación de sesiones TCP establecidas, con
el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos.
En este nivel dentro de la pila TCP/IP como se mencionó, existirán dos
posibilidades, operar en modo orientado a la conexión para lo cual se emplea
TCP o sin conexión cuyo protocolo es UDP, el responsable de decidir a qué
protocolo le entregará su mensaje es el que se emplee en el nivel superior, para
lo cual existe el concepto de Puerto que es el SAP (Service Acces Point) entre el
nivel de transporte y el de aplicación. En este nivel los dos elementos importantes
a controlar son el establecimiento de sesiones y los puertos, los cuales se pueden
determinar con las siguientes actividades:
Control de establecimientos y cierres de sesión:
 Ataques LAND.
 Inundación de SYN.
Controles en UDP: Este protocolo por no ser orientado a la conexión, no
implementa ninguno de los bit de TCP, por lo tanto, es sumamente difícil regular
su ingreso o egreso seguro en una red. Mientras que un Proxy, solo puede regular
las sesiones TCP, una de las grandes diferencias con un Firewall es que el último
puede “Recordar” las asociaciones entre los segmentos UDP y el datagrama
correspondiente, de manera tal de poder filtrar toda asociación inconsistente. Este
tipo de Firewall son los que permiten el filtrado dinámico de paquetes. Como medida
precautoria se deben cerrar todos los puertos UDP que no se necesite.
Control en Puertos UDP y TCP: Dentro del encabezado de TCP o UDP se
encuentran los campos Puerto Origen y Puerto Destino, los cuales son uno de los
detalles más importantes a controlar dentro de una red pues a través de ellos, se
puede ingresar a un Host y operar dentro de este. Por lo tanto se deberá considerar
las medidas a adoptar acorde a los puertos detallados en el capítulo del nivel de
transporte referido en lo referente al análisis de puertos.
3.3.4.6. Seguridad en la Capa de Aplicación
Superada la capa de transporte, todas las funciones y servicios se orientan hacia
el usuario. Es decir, a partir de este nivel es poco probable que se encuentren
aspectos relacionados a la red, en cambio se ingresa a lo que en el modelo
TCP/IP se conoce como Aplicación, que es donde existe la mayor diferencia con
el modelo OSI que lo trata como tres capas diferentes, sesión, presentación y
aplicación.
En esta capa es el nivel donde mayor cantidad de protocolos existen. El modelo
TCP/IP combina todos los aspectos relacionados con las aplicaciones en esta capa,
aquí se definen los protocolos de alto nivel, aspectos de representación y
codificación de los datos y control de diálogo entre procesos.
La capa de aplicación presenta varias deficiencias de seguridad asociadas a sus
protocolos. Debido al gran número de protocolos definidos en esta capa, la cantidad
de deficiencias presentes también será superior al resto de capas. Por lo que se
deberán controlar los siguientes protocolos especialmente:
Servidores de correo, Web, TFP y TFP, Proxy:
 Limitar el acceso a áreas específicas de esos servidores.

Especificar
las
listas
o
grupos
de
usuarios
con
sus
permisos
correspondientes. Prestar especial atención a la cuenta Anónimos y a toda
aquella que presente nombres de fácil aprovechamiento.
 Requerir contraseñas seguras.
 Siempre controlar los archivos Log.
 Deshabilitar índices de directorios.

Deshabilitar todos los servicios de red que no sean empleados por el
servidor
Control en Firewall: Todo el tráfico de entrada o salida debe pasar
obligatoriamente por esta barrera de seguridad que debe ser capaz de autorizar,
denegar, y tomar nota de aquello que ocurre en la red. Hay que tomar en cuenta
que un Firewall consiste en un conjunto de medidas de Hardware y Software
destinadas a asegurar una instalación de red, el mismo que actúa en los nivel es 3
o red a 7 o aplicación del modelo OSI.
Bombardeos de mail: Se puede llenar el espacio en disco de un servidor de
correo, enviándole una cantidad suficiente de mails. Se debe tener en cuenta que
hasta que el usuario buscado no se conecte, los mensajes permanecerán en el
servidor. Si esto se produce, no se poseerá capacidad de almacenamiento para
ningún otro mensaje entrante, por lo tanto se inhibirá el servicio de correo
electrónico. Se puede también generar reportes si el tráfico de correo crece
repentinamente. Para controlarlo es necesario asignar espacio en el disco rígido
enviando las alarmas correspondientes una vez alcanzado el porcentaje
establecido. Dedicar grandes áreas de disco al almacenamiento de mensajes, y
separar esta área del resto del sistema.
Bombardeos de SYSLOG y SNMP: Semejante al de mail, pero llenará el sistema
de .Log y de administración de red. Misma solución que el caso anterior
FTP (Puerto TCP 20 y 21): Dos de los puertos sobre los que se debe prestar
atención son los de Comando (21) y de datos (20) que están reservados para ftp.
El acceso a una red a través de los mismos es bastante común. La principal ventaja
que ofrecen es que se puede regular con bastante precisión su flujo de
establecimiento de sesiones.
Servidores DNS: Controlar la configuración de los mismos, en especial al tráfico
TCO sobre el puerto 53
Servidores de correo: Una de las principales herramientas que emplean los
spammers para ocultar sus rastros son la infección de servidores de correo que
tienen activada la opción de replay (o relé), la infección de un servidor de este tipo
es muy difícil de localizar, pero no lo es así en cuanto al análisis de tráfico, pues
se incrementa de forma muy voluminosa, por lo tanto es una buena práctica evaluar
el tráfico entrante y saliente periódicamente.
DNS: Las vulnerabilidades de este protocolo las puede clasificar en cuatro:

UDP: Entre los servidores se transfieren grandes volúmenes de información
a través del puerto UDP 53, el cual por ser no orientado a la conexión lo hace
especialmente difícil de controlar y filtrar, aprovechándose esta debilidad.

Obtención de Información: Los servidores DNS almacenan información
importante, la cual es muy buscada y fácilmente obtenible por un intruso.
 Texto plano: Toda la información viaja en texto plano.

Falta de autenticación: El protocolo no ofrece ninguna técnica de
autenticación.
Los DNS también pueden ser vulnerables a la técnica de spoof, que se puede
implementar en muchos protocolos y niveles, en este caso consiste en falsificar
una respuesta DNS, ofreciendo una dirección IP que no es la que verdaderamente
está relacionada con ese nombre. Lo natural sería infectar o envenenar las tablas
de un servidor DNS maestro, y con ello se propagaría y cualquier consulta hacia el
nombre infectado, lo respondería con la dirección IP falsa. La realidad es que es
relativamente difícil esta tarea, pues los DNS maestros de Internet suelen estar
bastante asegurados y monitorizados como para que esta actividad, inclusive
en el caso de lograrla, no sea detectada de forma bastante rápida y solucionada.
Telnet: El servicio Telnet autentica al usuario mediante la solicitud del identificador
de usuario y su contraseña, que se transmiten por la red. Al igual que el resto de
servicios de internet que no protegen los datos mediante mecanismos de
protección, el protocolo de aplicación Telnet hace posible la captura de aplicación
sensible mediante el uso de técnicas de sniffing.
File Transfer Protocol:Al igual que Telnet, FTP es un protocolo que envía la
información tanto por el canal de datos como por el canal de comandos. Al enviar
el identificador de usuario y la contraseña por una red potencialmente hostil,
presenta las mismas deficiencias de seguridad que con el protocolo Telnet. Aparte
de pensar en mecanismos de protección de información para solucionar el
problema, FTP permite la conexión anónima a una zona restringida en la cual sólo
se permite la descarga de archivos. De este modo, se restringen considerablemente
los posibles problemas de seguridad relacionados con la captura de contraseñas,
sin limitar una de las funcionalidades más interesantes del servicio.
Hypertext Transfer Protocol (HTTP y HTTPS): El protocolo HTTP es el
responsable del servicio World Wide Web. Una de sus vulnerabilidades más
conocidas procede de la posibilidad de entrega de información por parte de los
usuarios del servicio. Esta entrega de información desde el cliente de HTTP es
posible mediante la ejecución remota de código en la parte del servidor. La
ejecución de este código por parte del servidor suele utilizarse para dar el formato
adecuado tanto a la información entregada por el usuario como a los resultados
devueltos (para que el navegador del cliente la pueda visualizar correctamente).
Si este código que se ejecuta presenta deficiencias de programación, la seguridad
del equipo en el que esté funcionando el servidor se podrá poner en peligro.
Se trata del protocolo principal que regula todo el sistema de navegación a través
de páginas Web. Este es el protocolo empleado entre clientes y servidores Web.
La diferencia con los demás protocolos de nivel de aplicación es que este establece
una sesión por cada información requerida (texto, sonido, gráficos, etc), esta finaliza
al completarse la solicitud. Es normal la apertura de vari as sesiones para bajar
una sola página. Desde la versión 1.0 en adelante incorpora MIME (Multimedia
Internet Mail Extensions) para soportar la negociación de distintos tipos de datos.
El acceso a este protocolo es por medio del puerto TCP 80 por defecto, pero es
común en redes privadas el empleo de otro para incrementar las medidas de
seguridad.Todo lo que viaja a través de HTTP lo hace en texto plano, en otras
palabras: puede ser leído si se interceptan los datos. Por tal motivo surgió
HTTPS.Hypertext Transfer Protocol Secure (Protocolo seguro de transferencia de
hipertexto), más conocido por sus siglas HTTPS, es un protocolo de red basado
en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto,
es decir, es la versión segura de HTTP.El sistema HTTPS utiliza un cifrado basado
en SSL/TLS para crear un canal cifrado, cuyo nivel de cifrado depende del servidor
remoto y del navegador utilizado por el cliente, más apropiado para el tráfico de
información sensible que el protocolo HTTP.
Correo electrónico SMTP, POP y MIME: Una pasarela SMTP es un host con
dos conexiones a redes distintas. Las pasarelas SMTP se pueden implementar de
forma que conecten distintos tipos de redes. Se puede prohibir el acceso a la
pasarela a determinados nodos de la red, empleando la sentencia de configuración
RESTRICT. Alternativamente, la seguridad se puede implementar con un fichero
de autorización de accesos, que es una tabla en la que se especifican de quién y a
quién se puede enviar correo por la pasarela.
POP es un protocolo que permite a un usuario conectarse a un sistema y entregar
su correo usando su nombre de usuario y contraseña a través del puerto TCP
110. La metodología a seguir para descargar correo es la misma que en SMTP, lo
cual implica que cuando un servidor recibe un mail, establece la sesión SMTP con
este destino y entrega su mensaje.Las vulnerabilidades que sufre el correo
electrónico son referidas a su privacidad y su seguridad, dentro de ellas existen
debilidades concretas.La privacidad es fácilmente vulnerable pues el correo viaja
como texto plano, es decir, que si no se emplea algún algoritmo criptográfico,
cualquiera puede tener acceso al mismo.
SNMP (Single Network Monitor Protocol): Este es el protocolo que habilita las
funciones que permiten administrar redes no uniformes. Permite a los
administradores supervisar el funcionamiento de la red, buscar y resolver sus
problemas, y planear su crecimiento.
SNMP es un protocolo de requerimiento-respuesta. El sistema de administración
genera un requerimiento, y los dispositivos administrados devuelven una respuesta.
El acceso de las NMS (Network Management Stations) a los dispositivos
administrados está controlado por un nombre de “comunidad”. Cada dispositivo
tiene configurado una comunidad (o más) con un nombre que deben conocer las
NMS para poder accederlo y obtener sus datos.
Detección de Vulnerabilidades
La capa de Aplicación es la que más protocolos tiene de todas las capas, en la lista
anterior se han visto los más importantes. Se pueden usar algunas herramientas
para detectar vulnerabilidades en la capa Aplicación o Presentación si fuera el caso
de OSI.
Estas herramientas van a lanzar diferentes tipos de ataques hacia uno o varios
host, y luego informarán cuáles de ellos presentan debilidades. Es una muy buena
estrategia emplearlas para detectar vulnerabilidades en nuestros propios sistemas
y luego de ello analizar las causas para minimizar o evitar su explotación por
personas no deseadas.
Sistema de detección de Intrusos (IDS)
Al igual que el punto anterior, este sistema está ligado al nivel de aplicación, pues
si bien hoy existe Hardware que ya posee preinstalado este tipo de herramientas
conocidas como appliance, en realidad lo que está haciendo es ejecutar módulos
de software que de una u otra forma interactúan a nivel de aplicación con el usuario
que los administra. Un IDS es básicamente un sniffer de red, optimizado, para poder
seleccionar el tráfico deseado, y de esta forma, poder analizar exclusivamente lo
que se configura, sin perder rendimiento, y que luego de ese análisis en base a los
resultados que obtiene, permite generar las alarmas correspondientes. Existen
sniffer de red (Network IDSs o NIDS) y de host (Host IDSs o HIDS). Uno de los
productos líderes en esta categoría es Snort.
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se
monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece
capacidades de almacenamiento de sus bitácoras tanto en archivos de texto
como en bases de datos abiertas como lo es MySQL.
CONCLUSIONES GENERALES
Con el incremento de las exigencias de las instituciones y la evolución de la
tecnología, la seguridad de información se ha convertido en una prioridad para todo
tipo de empresas, especialmente para las entidades de tipo financiero.
Existen innumerables herramientas y sistemas de seguridad orientadas a preservar
la integridad, confidencialidad y disponibilidad de información y sistemas. También
existen una gran cantidad de herramientas para implementar la seguridad
informática por capas. En la presente investigación se han seleccionado las más
adecuadas para la implementación en la Cooperativa.
La seguridad de la información por capas puede implementarse, tomando como
punto de partida los 7 niveles del modelo OSI esto es el nivel Físico, nivel de
Enlace, nivel de Red, nivel de Transporte, nivel de Sesión, nivel de Presentación y
nivel de Aplicación, aunque la implementación se la debe realizar de acuerdo a
los niveles del modelo TCP/IP.
El crecimiento de las redes IP y la proliferación de nuevas aplicaciones, dispositivos
y tecnologías web en el lugar de trabajo generan más vulnerabilidades potenciales
para las redes. A medida que avanza la tendencia de ejecutar aplicaciones
adicionales en la web, habrá aún más tráfico de red que pase la LAN que se
pudiera decir que es confiable y esté fuera del alcance del firewall. Las formas de
ataque cambian y surgen constantemente nuevas amenazas.
La protección de seguridad por capas, es una forma dinámica de controlar el
ataque en la información, en la cual se trata de detectar y bloquear el tráfico
malintencionado, dejando pasar únicamente el tráfico que no es dañino.
RECOMENDACIONES
Abarcar la seguridad de la información por capas de una manera óptima para
mantener fiables tanto el funcionamiento de las redes, así como de sus
aplicaciones.
Se debe prestar especial atención a los servicios de seguridad en varias capas;
Enfocar para que los servicios y capas de protección funcionen de forma
cooperativa para detectar y bloquear dinámicamente el tráfico malintencionado y
así generar informes adecuados para la toma de decisiones a tiempo.
Estar actualizando siempre las nuevas versiones de las diferentes herramientas
para el control de la seguridad por capas, así como investigar nuevas herramientas
que puedan servir en el control de la Red.
Organizar el Departamento de sistemas, delegando responsabilidades a las
personas que trabajan en el área con la finalidad de estar siempre monitoreando
la Red existente.