2.1.- Defensa perimetral.

Ilustración que muestra un muro que protege a un ordenador pero que presenta un agujero — Linux Screenshots (CC BY)

Con todo lo expuesto hasta ahora se puede concluir que, la seguridad perimetral es la formada por todos los elementos y sistemas destinados a proteger de intrusos el perímetro externo de una red, permitiendo el acceso de determinados usuarios (internos o externos) a determinados servicios, y denegando cualquier otro tipo de acceso al resto de usuarios.

Por tanto, la defensa perimetral es la primera línea en la que se establece:

Una política de seguridad entre una red segura y otra insegura (Internet).
Qué servicios serán accesibles desde el exterior.
A qué servicios se puede acceder desde el interior.

Una buena política de defensa perimetral se centra en conseguir:

Filtrar y bloquear el tráfico de la red, permitiendo únicamente aquel que sea absolutamente necesario.
Redirigir el tráfico hacia máquinas seguras.
Aislar y segmentar los distintos servicios y sistemas en función de su exposición a ataques.
Resistir a los ataques externos.
Identificar los ataques sufridos y alertar de ellos.
Administrar el contenido del tráfico.

Para lograr todo esto se debe valorar que:

Las amenazas pueden venir del interior, no siempre desde el exterior.
Extremar las medidas de seguridad puede provocar limitaciones en el funcionamiento.

Para llevar a cabo este tipo de defensa en el perímetro se utilizan:

Richard Patterson (CC BY)

Firewall

Mediante una política de accesos deberán:
- Aceptar. Se permite el tráfico.
- Denegar. Se prohíbe el tráfico y no hay mensaje de error.
- Rechazar. Se prohíbe el tráfico y se envía un mensaje de error al emisor.
Es recomendable el uso de la opción denegar frente a rechazar puesto que de esa manera se disminuye el tráfico. Además el atacante tiene menos información del sistema defensivo empleado.
IDS e IPS

Monitorizan y generan alarmas cuando se produzca alguna alerta de seguridad. Su línea de actuación suele ser:
- Identificar el posible ataque.
- Registrar los eventos.
- Tratar de bloquear un posible ataque.
- Generar reportes.
Honeypots

Sistemas trampas preparados para atraer y analizar el comportamientos de atacantes y de botnets. Con estos sistemas se puede recoger información muy útil para evitar futuros ataques. Lógicamente deben estar muy controlados y desconectados de cualquier red propia.

Las herramientas diseñadas y creadas para tal fin, imitan y escuchan servicios vulnerables. Cuando un atacante se conecta a estos servicios es engañado, haciéndole creer que está atacando a un servidor real. El honeypot capta todas las comunicaciones con el atacante y registra los resultados para el análisis futuro. En caso de que un atacante intentara explotar o subir un rootkit, o un troyano en el servidor, las herramientas pueden almacenar estos archivos en su equipo para analizarlos.
VPN y SSH

Utilización de conexiones seguras para el acceso remoto.

Para saber más

En los siguientes enlaces puedes obtener más información sobre los honeypots:

Diferencia entre honeypots y sandboxing

¿Cómo conocer a tu enemigo?

Guía de implantación de un honeypot industrial.

Debes conocer

En los siguientes enlaces puedes ver algunos vídeos relacionados con el concepto de detección de intrusiones usando honeypot:

Prevención y detección de intrusos con honeypot

Honeynet y DMZ.