Las redes son superficies de ataques para aquellos que quieren robar los datos privados de una persona o incluso de una empresa. Por eso, vamos a ver algunos temas de cómo mantener seguras las redes.

¿Qué es el fortalecimiento de la red o Network hardening?

El Network hardening es la serie de pasos o incluso el proceso que se siguen para proteger una red mediante la reducción de vulnerabilidades.

Dicha protección se puede realizar con la modificación de configuraciones y con ciertas medidas que nos llevarán a volver nuestras redes más seguras. 

Este tema también lleva implícito acciones de supervisión, auditoría, análisis de redes e incluso su revisión constante.

Hablemos de la denegación implícita

El principio de deshabilitar servicios adicionales innecesarios o restringir su acceso, debe también aplicarse a la seguridad de nuestras redes. 

La denegación implícita es nada más que denegar todo aquello que no esté explícitamente permitida. Comúnmente este tipo de configuraciones se realizan mediante reglas de firewall, en donde puedes definir todo el tráfico que si quieres continúe su curso, en lugar de ir negando uno por uno el tráfico que no quieres permitir.

La supervisión y análisis del tráfico de red

Un punto de referencia para saber si algo está mal, es saber qué es lo que sí está bien. Por eso existe la frase “Eso se encuentra fuera de lo normal”, porque lo normal o lo común, siempre será uno de nuestros primeros puntos de referencia para saber si hay algo mal.

En la cuestión de redes, es necesario supervisar el tráfico de red y del análisis de registro.

Como experiencia, siempre que hay ataques de fuerza bruta, uno de los indicadores es cuando me llega tráfico exagerado desde países que no hablan mi idioma, como por ejemplo china o Singapur, esto ya me pone en alerta para activar mis defensas o reforzarlas.

Análisis de registros es el hecho de recopilar registros de diferentes redes o pueden ser también de dispositivos clientes en la red, para realizar un análisis sobre ellos. Estos registros podrán dar signos de ataques por malware. Estos registros pueden llevar consigo registros de firewall, del servidor de autenticación, intentos de conexión, registros de aplicaciones, etc. 

Activar alertas de cuestiones atípicas

Los sistemas de alertas son sistemas que de por sí ya tienen configuradas las actividades típicas y las atípicas para saber cuándo deben poner en sobre alerta a los ingenieros de seguridad para que investiguen.

Lo cierto es que un humano no siempre puede estar revisando y checando cada uno de los registros, pero este sistema sí que puede alertarnos sobre actividad sospechosa, como intento de acceso por fuerza bruta o la visita continua de una ip que hemos bloqueado.

De igual manera, también existe una categorización de alerta, las cuales tienen una mayor prioridad que otras, además de saber cuáles deben ser atendidas de inmediato o cuales ya cuentan con una protección por parte de nuestro protocolo de seguridad.

Estas alertas pueden ser por un SMS, por un correo electrónico, o cualquier otro indicador que de un breve informe de lo que ha sucedido. 

Prácticas para hacer más segura tu red

Normalización de los datos: El registro de nuestros datos que son normales facilitan el análisis de lo que es normal para detectar lo que no es normal.

Análisis de correlación: Proceso de tomar datos de registro de diferentes sistemas y hacer coincidir los eventos a través de los sistemas. 

Análisis posterior a una falla: No es más que el estudio de aquellos registros que se tuvieron de haber solucionado una falla en el sistema, con la finalidad de saber cómo se resolvió, cuál fue el problema y qué se debe hacer para evitar incidencias de este tipo en un futuro.

Protecciones contra saturación (Flood guards): proveen protección contra ataques de denegación de servicio, o DoS.

Segmentación de red: Es prácticamente la creación de VLAN para diferentes clases o tipos de dispositivos, como una segmentación para que se conecten los empleados y otra específica para que se conecten las impresoras, para así evitar que unos dispositivos entren a los mismos recursos de red que los empleados