Software Defined Perimeter, una eficaz y potente protección para redes

Todo parece apuntar a que las medidas de protección que hayamos implementado en nuestros routers, switches y red en general, no son suficientes. Los ataques se vuelven cada vez más complejos, eficaces y difíciles de combatir. Existe una solución que consiste en la implementación de un perímetro definido por software (Software Defined Perimeter). Este es un caso más que demuestra la manera en que las nuevas tecnologías basadas en software, impactan de manera positiva en la seguridad de la red y los usuarios que se conectan al mismo.

SDPSoftware Defined Perimeter es una arquitectura que tiene como propósito cambiar la manera en que se trabaja en el ámbito de seguridad en la red. Las siglas de SDP se traducen a Perímetros Definidos por Software. Utiliza una combinación de autenticación, autorización y segmentación de red bastante fortalecidos para permitir el acceso a la red desde cualquier punto. Estos perímetros buscan funcionar como un escudo de protección ante la gran cantidad de ciberataques. Se considera más seguro que un firewall y mucho más granular, es decir, minucioso en relación al NAC (Network Access Control).

Esta arquitectura emplea técnicas para garantizar un seguro acceso a la red. Lo hace de la siguiente manera:

  • Esta arquitectura emplea técnicas para garantizar un seguro acceso a la red.
  • Realiza una autenticación de tipo granular para restringir todo servicio que no sea necesario para el rol y permisos del usuario.

Una vez facilitado el acceso, aplica una especie de capa a los recursos de la red (Resource Cloaking) de manera a evitar que sea invisible cualquier información relacionada, por ejemplo, a los servidores DNS y los puertos IP visibles de los recursos. Es decir, el riesgo de que los recursos de la red estén al descubierto es mínimo.

Protección ante peligrosos ataques y escaneos detallados de la red

Los ataques de tipo DDoS son uno de los más peligrosos también los más recurrentes a la hora de realizar ciberataques de alto alcance. Durante el año 2019, la frecuencia de estos ataques ha aumentado en un 967%. Lo que resulta muy preocupante es que los DDoS ya se ofrecen como un servicio más, denominado DDoS de alquiler (DDoS as a Service). Esto implica que cualquier persona pueda contratar este tipo de servicios para realizar ataques de denegación de servicio mediante el pago de una suscripción, así como cualquier otro servicio, e incluso puede realizar el ataque por sí mismo.

La arquitectura de SDP protege a la red evitando la exposición a Internet de los recursos y aplicaciones que corren en sus distintos servidores. No dejemos de considerar que la sola exposición de los puertos ya brinda muchísima información importante a los atacantes. Por lo que se recomienda no exponer puertos de gran importancia a Internet.

Una de las principales amenazas para las aplicaciones web son los ataques de tipo Cross-Site Scripting e inyección SQL. Estos funcionan gracias a la vulnerabilidad de cualquier aplicación web que precise de un input (ingreso) de datos. Por ejemplo, si estás llenando un formulario de contacto, uno de los campos normalmente va a ser el de correo electrónico. Un atacante saca provecho de cada campo que pida un input, y a través de él, envía código malicioso con capacidades de interactuar con el servidor que almacena los datos recibidos de ese formulario. Por otro lado, los Public-Facing Application Exploits se aprovechan de todos los puertos que están abiertos y expuestos a Internet. Recordemos que el atacante puede contar con información acerca de puertos abiertos realizando un escaneo detallado y de acuerdo a cada número, realizar otros tipos de ataques.

¿Qué papel cumple SDP como para mitigar esto? Se encarga de «esconder» cualquier puerto que esté expuesto, y también cualquier dato que facilite el acceso a la infraestructura de la red en sí. Esta capa de protección evita que los puertos sean localizables a la hora de realizar escaneos de puertos y otras técnicas de recopilación de información.

Que los puertos ni ningún dato relacionado no estén visibles, no da posibilidad alguna al atacante de actuar. Éste solamente llevará a cabo sus acciones maliciosas en base a la información visible que pueda recolectar, seamos o no conscientes de ello.

SDP como alternativa para evitar el DNS Hijacking

Cuando un usuario introduce una URL en su navegador, uno de los procesos que ocurren es una petición al servidor DNS para ver si ese dominio figura dentro de sus registros. Si efectivamente está entre dichos registros, el usuario podrá acceder a la página deseada. Sin embargo, si un atacante logra tomar el control del router, encontrará la manera de alterar el funcionamiento normal de dicho servidor DNS, a esta técnica se la conoce como DNS Hijacking.

Esto será así mediante acciones que desembocan en resoluciones DNS maliciosas. Puede pasar que el usuario afectado acceda a un sitio web malicioso que se ve bastante similar a lo que visita con regularidad. Aunque en realidad, es un sitio creado por el atacante que roba tus credenciales de acceso y otros datos, una vez que hayas hecho el ingreso de los mismos en ese sitio.

Una gran solución que ofrece SDP para mitigar este tipo de ataque es la resolución DNS integrada a su arquitectura. Aunque el atacante tome control del router, con sus ajustes maliciosos no logrará pasar por encima a la resolución DNS del perímetro definido por software.

Éstos son los ataques más importantes que pueden ser evitados mediante esta interesante arquitectura. De todas formas, existen otros bastante conocidos como los ataques de tipo Man-in-The-Middle y aquellos orientados a los sistemas tradicionales (no orientados a la nube). Es fundamental poder tomarse el tiempo para conocer más acerca de las ventajas del SDP especialmente a largo plazo. Las redes requieren de cada vez más protección pues los datos personales y corporativos no dejan de ser manipulados, tampoco dejan de generarse a cada segundo.

Los datos son el activo más importante de nuestras vidas, así también de la integridad de todas las organizaciones. No tener conciencia de los riesgos, tampoco de las consecuencias de no trabajar por los mismos, puede resultar en pérdidas de altísimo valor económico.