VIDEO
HIGHLIGHT
Log InSign up
Cybersecurity Architecture: Networks
SummaryTranscriptChat

Cybersecurity Architecture: Networks

Introducción a la Seguridad de Redes

Conceptos Básicos de Seguridad en Redes

  • Bienvenida a la serie sobre Arquitectura de Ciberseguridad, donde se abordarán elementos clave de la seguridad en redes, incluyendo cortafuegos, segmentación y redes privadas virtuales (VPN).
  • La temática es extensa y madura; no se podrá cubrir todo en este espacio, pero se mencionarán los aspectos más relevantes.

Cortafuegos: Fundamentos

  • Los cortafuegos son comparables a un cortafuegos físico que limita la propagación de un incendio entre unidades habitacionales. Su función es crear aislamiento y protección ante eventos peligrosos.
  • En un escenario de red típico, se utilizan dos cortafuegos: uno orientado hacia Internet y otro interno para filtrar el tráfico entre un servidor web y una base de datos.

Filtrado de Paquetes

  • El filtrado básico implica examinar los encabezados de los paquetes para determinar su origen, destino y tipo de tráfico. Por ejemplo, el puerto 80 permite tráfico web sin cifrar.
  • Se implementan reglas adicionales para asegurar que solo el tráfico legítimo desde direcciones externas sea permitido. Esto previene intentos de suplantación.

Reglas Adicionales para Mayor Seguridad

  • Un segundo cortafuego refuerza la seguridad al permitir únicamente el tráfico proveniente del servidor web hacia la base de datos. Esto asegura que no haya acceso directo desde Internet.
  • Las reglas establecidas garantizan que cualquier tráfico externo debe ser inspeccionado antes de acceder a otros recursos internos.

Inspección Stateful vs. Filtrado Básico

  • La inspección stateful analiza no solo los encabezados sino también el contenido del paquete (payload), permitiendo una evaluación más profunda del tráfico.

Tecnologías de Firewall y Seguridad en Redes

Introducción a los Firewalls

  • Los firewalls modernos no solo filtran paquetes individuales, sino que también utilizan inspección de paquetes con estado para analizar el tráfico de manera más efectiva.
  • Se introduce la idea del proxy, que actúa en nombre de otro dispositivo, como un servidor web al que se accede desde una estación de trabajo externa.

Funcionamiento del Proxy

  • Al insertar un proxy entre el usuario y el servidor web, se crean dos sesiones: una entre el usuario y el proxy, y otra entre el proxy y el servidor.
  • Este enfoque permite realizar inspecciones del tráfico entrante antes de permitir su acceso a la red interna, protegiendo contra virus u otras amenazas.

Ventajas del Uso de Proxies

  • Además de la seguridad, los proxies pueden ser utilizados por razones de privacidad, ocultando la identidad del usuario final al hacer que todo parezca provenir del proxy.

Traducción de Direcciones de Red (NAT)

  • NAT es una tecnología comúnmente utilizada en redes domésticas para traducir direcciones internas no enrutables a direcciones externas válidas.
  • Las direcciones que comienzan con "10" o "192.168" son ejemplos típicos de direcciones internas que no pueden ser enrutadas a través de Internet.

Protección Ofrecida por NAT

  • El router NAT traduce las direcciones internas a una dirección externa única para conservar IPs y facilitar la comunicación hacia Internet.
  • Esto impide que dispositivos externos accedan directamente a estaciones internas debido a que sus direcciones no son enrutables fuera de la red local.

Segmentación y Arquitectura de Redes

  • La segmentación implica aplicar firewalls dentro de diferentes arquitecturas para lograr niveles variados de seguridad; sin embargo, algunas prácticas antiguas como usar un host bastión son desaconsejadas hoy en día.
  • En configuraciones primitivas, se colocaba un único firewall frente al servidor web expuesto directamente a Internet; esto representa un riesgo significativo para la red interna.

Evolución hacia Redes Tri-homed

Introducción a la Segmentación de Redes y Firewalls

Conceptos Básicos de Tráfico Interno

  • Se discute cómo el tráfico interno puede ser dirigido a través de una tarjeta de interfaz de red, permitiendo que los usuarios internos accedan al sitio web o intenten salir hacia otras redes.

Firewall Tri-Homed

  • Se presenta un firewall tri-homed con tres tarjetas de interfaz, actuando como un punto central para gestionar el tráfico entre entornos confiables y no confiables, conocido como DMZ (zona desmilitarizada).

Zonas de Confianza

  • Se introducen las zonas codificadas por colores: roja (no confiable), amarilla (semi confiable) y verde (más confiable), para ilustrar la segmentación del tráfico en la red.

DMZ Básica en Redes Domésticas

  • La DMZ básica es común en redes domésticas, permitiendo acceso a dispositivos IoT o servidores web. Es una opción económica pero presenta un único punto de falla si no se gestiona adecuadamente.

Complejidad y Costos Adicionales

  • Al implementar una DMZ básica con dos firewalls, se incrementan los costos y la complejidad debido a la necesidad de administrar diferentes reglas y capacidades.

Defensa en Profundidad

Principios Fundamentales

  • La defensa en profundidad implica múltiples capas de seguridad; si un firewall falla, otro puede bloquear el tráfico no autorizado gracias a reglas específicas implementadas.

Escalabilidad y Seguridad Mejorada

  • Este enfoque permite escalar las medidas de seguridad sin depender únicamente de un mecanismo. Si uno falla, otros pueden seguir protegiendo la red.

DMZ Multicapa

Estructura Avanzada

  • En una DMZ multicapa se utilizan múltiples firewalls para separar servidores web, aplicaciones y bases de datos. Esto aumenta tanto los costos como la complejidad administrativa.

Ventajas del Enfoque Multicapa

  • Aunque más costosa, esta estructura proporciona mayor granularidad en el control del tráfico entre zonas específicas, mejorando así la seguridad general.

Introducción a las VPN

Propósito Principal

  • Las VPN están diseñadas para crear canales seguros sobre redes no confiables mediante cifrado, garantizando confidencialidad al ocultar el contenido real del paquete durante su transmisión.

Analogía del Canal Seguro

VPN y Seguridad en Redes

Conceptos Básicos de VPN

  • La idea detrás de un canal seguro es que la información enviada no puede ser interpretada ni significar nada para los observadores. Esto es fundamental para la seguridad en redes no confiables.
  • Sin embargo, esta capacidad limitada de inspección también permite que actores maliciosos envíen tráfico sin ser detectados, lo cual representa un riesgo significativo.

Capas del Modelo OSI

  • El modelo OSI se compone de 7 capas, cada una abordando diferentes aspectos del envío de paquetes. Los programadores suelen enfocarse más en las capas superiores (aplicación y presentación).
  • Las preocupaciones sobre la seguridad pueden implementarse en cualquier capa; si se cifra el tráfico en una capa baja, todas las capas superiores heredan esa seguridad.

Ejemplos de Tecnologías VPN

  • Un ejemplo común es SSH (Secure Shell), que cifra datos a nivel de aplicación permitiendo conexiones seguras a dispositivos específicos.
  • TLS (Transport Layer Security), anteriormente conocido como SSL, opera a nivel de transporte y se utiliza comúnmente al navegar por sitios web seguros.

Tipos de VPN y su Evolución

  • IPsec es otra tecnología que cifra todo el tráfico entre dos direcciones IP a nivel de red. Existen otros protocolos como PPTP y L2TP que operan aún más abajo en la pila.
  • Actualmente hay una tendencia hacia VPN específicas para aplicaciones debido a su mayor control y granularidad comparado con las VPN basadas en red más amplias.

Ventajas y Desventajas de Diferentes Enfoques

  • Las VPN basadas en red son simples porque cifran todo el tráfico automáticamente, pero carecen del control detallado que ofrecen las soluciones específicas para aplicaciones.
  • Tener múltiples VPN para diferentes servicios permite un mejor manejo individualizado, facilitando acciones como desactivar servicios o usuarios específicos cuando sea necesario.

Introducción a SASE

  • SASE significa "Secure Access Service Edge" y está relacionado con el concepto más amplio de "zero trust", donde se busca asegurar todos los accesos dentro de la red.
  • La micro-segmentación es un aspecto importante dentro del enfoque zero trust, creando zonas pequeñas dentro de la red para mejorar la seguridad general.

Intersección entre Redes, Seguridad y Nube

Introducción a SASE: Seguridad de Red y WAN

Conceptos Básicos de SASE

  • SASE combina la seguridad de red con capacidades de WAN, ofreciendo ambos servicios desde la nube.
  • La parte de WAN se refiere a un WAN definido por software (SD-WAN), que permite crear redes dinámicas con flexibilidad en tiempo real.

Componentes Clave de Seguridad

  • Se integran funciones como firewall, gateways web seguros y prevención de pérdida de datos (DLP) para una mejor seguridad.
  • La gestión de identidad, incluyendo autenticación y autorización, es esencial para el control de acceso dentro del marco SASE.

Entrega desde la Nube

  • SASE ofrece capacidades tanto de red como de seguridad desde un único componente lógico en la nube, facilitando escalabilidad y agilidad.
  • A diferencia del pasado donde cada función era un componente separado, ahora se combinan para operar holísticamente.

Temas Adicionales

Playlists: Cybersecurity Architecture Series
Video description

IBM Security QRadar EDR → https://ibm.biz/BdymsM IBM Security X-Force Threat Intelligence Index 2023 → https://ibm.biz/Bdymsv Networks are your company's connection to the world, and therefore one of they key players in a cybersecurity architecture. In the sixth installment of the series, IBM Distinguished Engineer and Adjunct Professor Jeff Crume introduces and explains the elements of network security, including firewalls, VPNs, and lower-level topics like network packet security-risk detection. Get started for free on IBM Cloud → https://ibm.biz/ibm-cloud-sign-up Subscribe to see more videos like this in the future → http://ibm.biz/subscribe-now #AI #Software #ITModernization #Cybersecurity #QRadar #JeffCrume #networksecurity