Saltar la navegación

2.- Políticas de defensa en profundidad.

Caso práctico

Ilustración de María, que junto con Félix son los propietarios de la empresa.
Nate Steiner (CC0)


—Bueno Juan, puesto que ya tenéis todos los elementos instalados, ya podemos trabajar más tranquilos.

—En absoluto María. Primero por que la seguridad 100% no existe y segundo por que todavía quedan por establecer los permisos de acceso sobre los recursos de nuestros sistemas.

—Uff, y yo que pensaba que ya estaba todo listo. Y esto último que indicas, ¿para qué sirve?.

—Para que no sea un caos y todo el mundo pueda cambiar cosas donde no debe. Es conveniente que en cada zona tengamos distintos permisos. Además, es fundamental llevar a la práctica distintas  políticas de seguridad en las distintas zonas de acceso a la red.

La defensa en profundidad se refiere a una estrategia militar, que tiene como finalidad hacer que el atacante se desanime al interponerle varios obstáculos en su camino hacia el objetivo.

La seguridad total no existe como tal, es imposible afirmar que un sistema es totalmente seguro. Lo único que puede asegurarse es que se pueden establecer una serie de políticas de seguridad para conseguir:

  • Reducir las posibilidades de que el sistema sea atacado.
  • Minimizar los daños causados por un incidente.

Existen muchas ideas y protocolos de actuación para establecer una defensa de un sistema. Sin embargo, todas se podrían resumir en dos maneras de actuar:

  • Ilustración que muestra a un pingüino con una armadura, un casco y una espada simulando una defensa
    Richard Patterson (CC BY)
    Permitir todo lo que no esté específicamente prohibido.

    También llamada permiso establecido. Se trata de aplicar, por defecto, una política permisiva en la que solo hay que especificar lo que está prohibido.

  • Prohibir todo lo que no esté explícitamente permitido.

    También llamada negociación preestablecida. Se trata de aplicar, por defecto, una política restrictiva en la que solo hay que especificar lo que está permitido.

La segunda de las opciones es la más segura y restrictiva, aunque no siempre la más adecuada. 

Para tener una idea clara de estas dos posturas, basta imaginar que en un parque se pueda leer uno de los siguientes mensajes:

  • No se permite jugar al fútbol.
  • Solamente se permite jugar al tenis.

Está claro que es mucho más restrictivo el segundo mensaje (se prohíbe todo lo que no está explícitamente permitido), ya que el primer mensaje no dice que no se pueda jugar al tenis, voleibol, baloncesto o cualquier otro deporte.

Autoevaluación

Pregunta

Si el router frontera solamente deja pasar las conexiones que utilicen el puerto 80:

Respuestas

Se está prohibiendo lo que no esté específicamente prohibido.

Se prohíbe todo lo que no está permitido.

Se permite todo lo que no esté específicamente prohibido.

Es lo mismo que decir que se prohíben las conexiones por el puerto 25.

Retroalimentación