Defensa en profundidad

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Originalmente el término defensa en profundidad, también conocido como defensa elástica, proviene de la terminología militar. En esta estrategia de defensa, en lugar de colocar una línea única muy fuerte, se colocan varias líneas consecutivas. Una de las ventajas de esta estrategia es que el empuje inicial se va perdiendo al tener que superar las distintas barreras. Además la estrategia puede conseguir que la fuerza atacante se disperse, debilitándola por tanto y pudiendo posteriormente el defensor reorganizarse para atacar el punto más debilitado.

La misma idea se utiliza también en aplicaciones civiles, como en las instalaciones nucleares o en computación.

Defensa en profundidad en el ámbito militar[editar]

La doctrina de defensa en profundidad, también conocida como defensa elástica, es una estrategia diseñada para contrarrestar los efectos de tácticas que empleen una punta de lanza acorazada (como puede ser la Blitzkrieg). La composición de esta táctica es la siguiente:

  • Primera línea de defensa: Esta será una línea de defensa básica y "blanda" que, aparte, ha de poseer la capacidad de poder defenderse en erizo, es decir poder atacar hacia todos los ángulos. El objetivo no es que ofrezca una resistencia tenaz sino que retenga al enemigo el tiempo suficiente para informar al mando donde está sucediendo el intento de rotura. Las líneas que no fueron atacadas colaborarán en la defensa cuando el enemigo esté en el terreno central.
  • Terreno central: Consiste en una franja de tierra entre la primera y la segunda línea de defensa. Esta debería estar despejada para permitir buen ángulo de tiro.
  • Segunda línea de defensa: Al contrario que la primera línea de defensa esta línea está diseñada para ser más resistente y poder aguantar fuertes ataques.
  • Reserva móvil acorazada: La reserva consistiría en un grupo de carros de combate que serían utilizados para atacar a la punta de lanza enemiga.
  • Desarrollo: Cuando el enemigo concentre sus fuerzas en un punto de la primera línea este punto caerá. Una vez que la punta de lanza enemiga penetre, la reserva móvil se dirigirá al encuentro de ella. Mientras tanto, la segunda línea de defensa apoyará a esta fuerza, mientras que la primera línea aparte de apoyar concentrará su fuego en los grupos de infantería que normalmente se utilizan como cobertura de los flancos de la punta de lanza enemiga.

Defensa en profundidad en instalaciones nucleares[editar]

Los sistemas destinados a minimizar o eliminar los posibles fallos en una central nuclear de uso civil se organizan siguiendo un esquema llamado defensa en profundidad. Esta aproximación sigue un diseño de múltiples barreras para alcanzar el propósito de eliminar o minimizar los riesgos.

Una primera aproximación a las distintas barreras utilizadas, de fuera adentro podría ser:

  1. Autoridad reguladora: Este organismo (en España el CSN) es el encargado por velar que el resto de barreras se encuentren en perfecto funcionamiento. Es fundamental que el organismo sea eminentemente técnico, no vinculado a intereses políticos ni empresariales, y que sus decisiones sean absolutamente vinculantes. Debe poder decidir fuera de cualquier otro interés, por ejemplo, si una instalación nuclear o radiactiva no cumple todas las exigencias de seguridad. Adicionalmente, este organismo debe auditar cada cambio llevado a cabo en el diseño base.
  2. Normas y procedimientos: Es sabido que la mayor parte de los fallos producidos en cualquier sistema altamente automatizado son causados por la mano de las personas que los utilizan. Es por ello fundamental que todas las actuaciones, tanto de operación como de mantenimiento e incluso en la propia construcción, se rijan de forma estricta por procedimientos y normas escritas y detalladas. Además, las actuaciones deben estar controladas por personas independientes (control de calidad) y finalmente supervisadas por la propia autoridad reguladora (inspectores residentes).
  3. Primera barrera física: Son los llamados sistemas de protección intrínsecos, o también sistemas pasivos. Lo forman aquellos sistemas basados en las leyes de la física que dificultan la aparición de fallos en el sistema del reactor. Por ejemplo el uso de reactores con reactividad negativa o el uso de edificios de contención de acero, hormigón o una combinación de ambos envolviendo toda la estructura.
  4. Segunda barrera física: La constituye la reducción de la frecuencia con la que pueden suceder los fallos. Esto se consigue mediante métodos como la redundancia (doble o triple), la separación de sistemas o la diversidad de sistemas de seguridad destinados a un mismo fin. Así se diseñan todos los sistemas de seguridad también llamados activos, tales como las duchas de aspersión de agua que rodean al reactor, las válvulas de seguridad que sellan los circuitos, etc.
  5. Tercera barrera física: Está compuesta por sistemas destinados a minimizar o eliminar la influencia de sucesos externos a la propia central. En esta categoría entran múltiples sistemas, tales como las alambradas y sistemas de seguridad que dificultan la entrada de personas ajenas a la instalación, los amortiguadores de cada componente que impiden una ruptura en caso de sismo
  6. Barrera técnica: Todas las instalaciones se instalan en ubicaciones consideradas muy seguras. De esta forma se realizan durante años estudios de sismicidad por ejemplo pero también se ubican en situaciones altamente despobladas, de forma que, si todas las demás barreras fallaran, las consecuencias pudieran reducirse al mínimo, por ejemplo evacuando a la población en caso necesario.

Defensa en profundidad en los sistemas pasivos[editar]

Esquema de algunos sistemas primordales de la defensa en profundidad aplicada a los sistemas de seguridad nucleares pasivos.

Es muy conocido el esquema en el que se representan los principales sistemas de seguridad nuclear pasiva. En la imagen se puede observar ese esquema, donde cada barrera representa:

  1. La propia elaboración del combustible de óxido de uranio, generado en forma cerámica, de forma que sea inerte.
  2. La vaina de aleación de circonio que rodea las pastillas de combustible.
  3. La vasija a presión del reactor, construida de acero de espesor superior a 12 cm.
  4. Primera capa del edificio de contención, sellada y con presión negativa.
  5. Segunda capa del edificio de contención, de una o varias capas de acero, hormigón o una combinación de ambos.

Defensa en profundidad en computación o redes (y su comparativa con la militar)[editar]

Estrategia de seguridad usando distintas técnicas para limitar los daños en el caso de intrusión en la primera línea de defensa Es útil contra un ataque de día cero, ya que pone las máximas trabas posibles al atacante.

Para hablar de "Defensa en Profundidad" desde el punto de vista computacional o mejor aún desde el punto de vista de "seguridad en Redes"[1] , permitidme hacer una introducción clara del carácter de estos párrafos, y os ruego con toda humildad que la cronología da artículos que presento a continuación no lo toméis como “marketing personal” pues sinceramente los describo para tratar de explicar el conjunto de tácticas militares que me han llevado hasta el tema de hoy, estando convencido que tienen una concatenación que debe ser detallada.

Los que habéis leído las 708 páginas del libro "Seguridad por Niveles" [2] ya habréis notado que vengo del mundo militar. A su vez los que a lo largo de este siglo hayáis tenido la desgracia de conocer varios de mis artículos conocéis bien que una de las cosas que considero importante en la seguridad informática es aprovechar la experiencia milenaria del empleo de las operaciones militares y buscar analogías con las tecnologías actuales de defensa de redes y sistemas.

Todo empezó con un artículo a comienzos de este siglo que se llamó “Sentencia de muerte a los Firewalls”, en el mismo más allá de su certificado de defunción como concepto de muralla (que se acabaron con la aparición de los cañones), la idea era intentar desterrar el des-concepto que únicamente poniendo barreras ganábamos el combate, no es así, debe existir todo un planeamiento y “Dinámica” en una defensa y aprovechar al máximo cada uno de los elementos que “desarman” las tramas. Hoy en día las grandes organizaciones emplean ACL (Access Control Lists) básicas y extendidas en casi todos sus routers para “filtrar contenidos” es decir son firewalls/routers; también se hace lo mismo con los switchs filtrando por direccionamiento MAC (Medium Access Control), etc. Es decir los Firewalls han sido “apoyados” por varios elementos y aplicaciones más, no son una única muralla.

Luego en otros artículos presenté los conceptos de “defensa por capas” con la imagen que figura aquí al lado bajo el pensamiento de darle profundidad a la defensa, tema fundamental en operaciones militares defensivas.

Esquema de tesis Doctoral de A.Corletti Estrada
Esta imagen fue muy difundida, el concepto por supuesto que no fue únicamente mío,  y esta estrategia en terminología informática tuvo mas consenso bajo el nombre de Defensa en profundidad.

Unos años después, con motivo del doctorado, presenté la tesis con el nombre de Estrategia de seguridad informática por capas, aplicando el concepto de Operación Militar por Acción Retardante, esta vez sí ya hablaba de una necesaria “Dinámica de la defensa” intercambiando espacio por tiempo, desgastando a un enemigo desconocido e inmensamente superior, etc... Estas características de los SSII actuales son extremadamente similares a la operación militar de “Acción retardante”, bajo la cual se plantean diferentes zonas de retardo para “desgastar y/o agotar” al enemigo hasta llegar a una línea de retardo final (o línea a no ceder) donde están los recursos críticos. Esta operación hoy en día es lo que hacemos con los IDS (Intrusion Detection Systems), IPSs (Intrusion Prevention System), DPI (Deep Packet Inspection) con los honey pots y/o honey nets, correladores de Logs, etc. Con ellos vamos obteniendo información de intrusiones, analizamos sus tácticas, estrategias, herramientas y podemos interactuar desviando, ralentizando o engañando hasta erradicar absolutamente el incidente. Si vuestra paciencia se aproxima a infinito, podéis buscar la tesis también en Internet.

Hasta ahora entonces, venimos hablando de varios conceptos militares que ya se están aplicando en la defensa de sistemas, primero el destierro de las murallas, luego la profundidad (o capas), más adelante la dinámica de la defensa.

Retomando un poco la seriedad y ampliando el tema, debemos considerar también la idea de “defensa en altura”, un parámetro fundamental en las operaciones militares, quien domina las cumbres tiene una ventaja enorme. Es otra de las preciosas paradojas de este mundo tecnológico en el que nos creemos que la ciencia y el avance domina el mundo, este es uno más de los ejemplos en que no es así. Todas las fuerzas militares del mundo tienen elementos de montaña y de alta montaña, en esas zonas domina el ser humano, allí en muchísimos casos y condiciones meteorológicas no llegan los vehículos, las motos de nieve, los helicópteros, los aviones….. sólo el hombre, los perros, mulas y trineos…. Volvemos a nuestros orígenes ¿Qué paradoja no?

Cuando estas fuerzas dominan las cumbres y cierran los pasos de montaña la cosa se pone muy difícil para el enemigo, el dominio de las alturas siempre es una ventaja en toda operación militar.

En nuestro caso el ascenso y el dominio de las alturas, no serán ni más ni menos, que prestar atención a cada uno de los escalones o niveles que nos propone el modelo de capas, basándonos en el modelo o pila TCP/IP, en cada una de ellas existen aspectos que cuando son bien tratados, se puede llegar a la cumbre que es donde están los datos o información y en definitiva constituyen el corazón de nuestra empresa.

Esta nueva línea de pensamiento, propone detenernos en cada elemento de nuestra infraestructura de sistemas y red. Tal cuál se hace en una operación de defensa militar, esa zona o altura a defender se deberá aprovechar individualmente al máximo para que cada punto dominante del terreno sea un objetivo que deba ser abordado si se desea cumplir con la finalidad.

Toda operación militar antes de ser ejecutada responde a una serie da actividades o pasos perfectamente ajustados con los siglos llamados “Secuencia de planeamiento” y concluyen con lo que se denomina “Orden de Operaciones” (para cada tipo de operación), esta orden también tiene un formato digamos que “estandarizado”, el punto “2” de la misma se denomina “Misión” e inexorablemente debe responder a los cinco interrogantes básicos y colaborar a un fin mayor:

  • Quién.
  • Qué.
  • Cuándo.
  • Dónde.
  • Para qué.
  • CON LA FINALIDAD DE.

Ejemplo sencillo: La tercera compañía de infantería (Quién) defenderá (Qué) desde el día 25dic12 (Cuándo) la altura 57 (Dónde) para retardar el avance enemigo (Para qué) con la finalidad de facilitar el contrataque del regimiento 3 desde el flanco izquierdo.

Para ir cerrando esta introducción, lo verdaderamente importante en toda operación militar es la “FINALIDAD” que es el objetivo a cumplir por la totalidad de las fuerzas. En la idea que se propone aquí, cada una de las “cumbres” que se defiendan (es decir cada uno de las capas a las que presta función un “host”) deben analizarse al detalle “nivel a nivel” adoptando todas las medidas posibles en cada uno de ellos hasta su máxima capa (Ejemplo, Switch: nivel 2, router: nivel 3, FW: Consideremos nivel 4, servidor de correo: nivel 5). Cada dispositivo estará protegiendo esa “cumbre” que es él mismo, aprovechando todas las posibilidades que en cada una de sus capas tiene a disposición. Si cada uno de ellos lo hace bien, se logrará cumplir con la “finalidad” de la misión que en definitiva será la cumbre que mayor “desenfilada” o más dominante, que es donde estarán los recursos más valiosos. Esta “Cumbre final” en la profundidad de nuestra defensa informática será donde están los servidores críticos de la empresa y la información de mayor impacto, la cual, como buena información que es, se aloja en los niveles más “altos”: BBDD, almacenamiento de correos, Servicios de directorio (de archivos), configuraciones de elementos, almacenamientos de Logs, etc…


Desarrollo técnico[editar]

La profundidad de la defensa informática estará dada por cada una de las zonas en las que dividamos los sistemas de nuestra organización. Las puertas de acceso y los caminos entre ellas lo proporcionan los diferentes elementos de red (switchs, puntos de acceso inalámbricos, routes, firewalls, etc.) y la interconexión entre ellos, estos nodos de red delimitarán y segmentarán las diferentes áreas en las que deseemos instalar los servidores y hosts. Las zonas mínimas que debemos contemplar son:

  • Redes externas.
  • DMZs (Zonas desmilitarizadas).
  • MZs (Zonas Militarizadas).
  • Core (Zona de máxima seguridad).

Por supuesto que puede haber más de una de cada, como también en redes menores pueden agruparse o minimizar este concepto, lo importante es tomar esta idea como un modelo de referencia a cumplir.

Hasta aquí, como se mencionó en la introducción, ya lo hemos desarrollado en los artículos anteriores y en el libro “Seguridad por Niveles”, por lo tanto no se profundizará sobre estos aspectos para avanzar sobre el concepto de “Altura”.

El primer nivel (Físico).

El primer punto a desarrollar será nuestra frontera física, como su nombre lo indica abarca temas de seguridad en los locales, medidas contra incendio, humo, partículas, humedad, accesos de personas, videovigilancia, continuidad eléctrica, cableado estructurado, etc. Este tema está desarrollado en detalle en el ANEXO 2 (Consideraciones a tener en cuenta en un CPD) del libro “Seguridad por Niveles”, así que nuevamente, remitiros a este para ampliar la idea.

La segunda cumbre: el nivel de enlace.

Desde esta cumbre comenzaremos el desarrollo bajo el punto de vista militar de organizar la defensa de este punto dominante para colaborar con la operación global. Nos basaremos en dos dispositivos básicos de este nivel en la actualidad:

a. Puntos de acceso WiFi. Los dispositivos inalámbricos hoy en día son fundamentales en toda red, su facilidad de instalación y la capacidad de crecimiento (escalabilidad) que presentan los convierten en una realidad presente en toda infraestructura.

Las dos tecnología más empleadas hoy son 802.11 y WiMAX. No hay que tenerle temor a este tipo de redes siempre y cuando se configuren de acuerdo a una política de seguridad coherente y se controlen periódicamente, pues es muy fácil para cualquier empleado de la organización, instalar un punto de acceso en su puesto de trabajo; por esta razón es que las regulaciones internas de la empresa deben dejar bien claro las responsabilidades y obligaciones del personal en un documento sencillo y firmado por toda persona que se contrate de forma temporal y/o permanente. La clave para quedarse tranquilo con estas tecnologías pasa por el cumplimiento de esta política y la configuración de estos puntos de acceso respondiendo al estándar de IEEE “802.11i”. Este tema ya lo he desarrollado en otro extenso artículo (de 48 páginas) que se denomina “Seguridad en WiFi (Técnico)” que puede ser descargado gratuitamente de Internet, por lo tanto tampoco lo reiteraremos aquí.

b. Switchs. El rol concreto de estos dispositivos es justamente separar diferentes “Dominios de colisión” a nivel de enlace. Son imprescindibles en toda red y en general no se suele considerar como un elemento de seguridad, sin embargo cumple una función vital en este sentido si se sabe aprovechar convenientemente. Como su nivel de trabajo está relacionado con el esquema de direccionamiento MAC (Medium Access Control) que va asociado directamente a las tarjetas de red, el flujo de bits que este empaqueta y desempaqueta es el que nos permitirá configurar o no adecuadamente su tarea. ¿Qué tipo de consideraciones se deben tener en cuenta desde esta altura de nivel dos?. Los desarrollaremos teniendo en cuenta qué factor dentro de la palabra clave ACIDA desempeñan (Autenticación – Confidencialidad – Integridad – Disponibilidad – Accounting/Accesos/Trazabilidad).

El resto de los niveles y cumbres se describen con todo detalle en el libro "Seguridad en Redes" referenciado también en estos párrafos y de descarga gratuita.

Véase también[editar]