Puntos Ciegos de Red: Visibilidad, Monitorización y Seguridad

El estudio de los puntos ciegos de red está enmarcado en un universo dominado por tres elementos bien relacionados entre sí: monitorización, seguridad y visibilidad.

Hay dos máximas que rigen este universo y que son relevantes para el tema de los puntos ciegos de red:

  • No podemos controlar, medir o analizar lo que no es visible.
  • Cada elemento no visible en nuestra red puede ser utilizado para perpetrar un ataque cibernético.

Así pues, el objetivo básico de la visibilidad es la definición de un esquema que recopile información de todos los elementos cruciales de la plataforma y entregue dicha información a los sistemas de monitorización y seguridad para su posterior análisis y evaluación.

Este esquema puede estar conformado por elementos muy diferentes: desde dispositivos de hardware especializados en la captura de tráfico de red, como los TAPs, hasta elementos de software como agentes diseñados para extraer información sobre servidores específicos.

Todos definidos e implementados con el objetivo de obtener el ideal de Visibilidad total.

Ahora bien, siendo los puntos ciegos de red espacios donde la visibilidad es cero, se entiende entonces que la eficiencia general de un esquema de Visibilidad está directamente relacionada con la identificación y eliminación de los puntos ciegos de la red.

Puntos ciegos de la Red y la nube

Con la penetración de las tecnologías asociadas con la nube es frecuente encontrar bibliografía señalando la importancia de los puntos ciegos asociados con estos servicios.

Sin embargo, es interesante hacer notar que la preocupación por los puntos ciegos de red comenzó con los diseños tradicionales de red, y sin duda conforman desde entonces un elemento crucial para la visibilidad, la monitorización y la seguridad de la plataforma.

Les invitamos en este artículo a reflexionar sobre los puntos ciegos de red que aplican a un esquema tradicional y plataformas híbridas, dejando para una siguiente entrega lo referente a los puntos ciegos asociados exclusivamente con la nube.

Listado de Puntos Ciegos de Red

Pretender generar un listado exhaustivo de puntos ciegos de red es absurdo, ya que son muchos los casos y son muchos los detalles técnicos que pueden suponer la aparición de un punto ciego.

En todo caso, creemos que puede resultar interesante generar una clasificación de puntos ciegos de red, que pueda conformar una guía de revisión.

1) Asociados con la administración de nuestra red

Por un lado, nuestras plataformas de redes se encuentran en constante cambio: se abren nuevas oficinas, se instala nuevo hardware, se introducen nuevos servicios, se contratan nuevos enlaces de comunicaciones, etc.

Por otro lado, las plataformas se hacen cada vez más complejas; se puede introducir un nuevo esquema de redes virtuales, se puede contratar un servicio en la nube, se puede hacer un nuevo esquema de administración de ancho de banda, etc.

Lo que debemos tener en cuenta es que cada elemento nuevo que se introduzca, por irrelevante que pueda parecer, puede generar un punto ciego de red.

Lo cual exige de los administradores de la plataforma una visión orientada a que ningún punto ciego sea ignorado.

A continuación presentamos unos ejemplos de estos puntos ciegos que pueden entrar en esta clasificación:

  • Oficinas remotas que se configuran sin contemplar el esquema de visibilidad necesario para sus componentes.
  • Tráfico encriptado sin evaluación, partiendo de la premisa que se trata de tráfico WEB inocuo.
  • Dispositivos de hardware pobremente configurados por falta del tiempo necesario para comprender el funcionamiento.
  • Puertos SPAN mal configurados que puedan estar generando un alto nivel de latencia y/o pueden estar descartando un tráfico valioso para el análisis.
  • Inconsistencias en la configuración de las estaciones de trabajo. Diferencias en la configuración de protocolos, en el esquema de direccionamiento IP, en el servicio DNS, en las normas de descarga e instalación de software, etc.
  • Fallas en el proceso de actualización de software de los dispositivos que conforman la red.

2) Asociados con el esquema de virtualización de servidores

La introducción de cualquier tecnología de virtualización genera un tráfico entre servidores, llamado regularmente tráfico este-oeste, que puede escapar a un esquema de visualización diseñado en función de servidores físicos integrados a una red.

Pensemos por ejemplo en un servidor físico en el cual creamos de manera virtual múltiples servidores, que se comunican entre sí para ofrecer un servicio.

Si nuestros usuarios experimentan un problema de rendimiento, puede ser imposible evaluar dicho caso si no consideramos el esquema de virtualización, ya que el problema puede estar en el tráfico entre dos servidores virtuales.

Tráfico que jamás alcanza un puerto físico de nuestra plataforma y por lo tanto escapa del esquema de visibilidad

Por otra parte, la virtualización puede estar asociada con un esquema de desarrollo que implica una alta velocidad de creación y eliminación de servidores virtuales.

Un esquema de visibilidad óptimo debe adaptarse a esta velocidad de creación y eliminación de servidores, de manera de eliminar la posibilidad de creación de puntos ciegos.

3) Asociados con la fuerza laboral móvil

Cada día un mayor porcentaje de trabajadores accede e interactúa con data almacenada en la red corporativa o en la nube, desde dispositivos que se conectan a Internet estando fuera de la plataforma de red tradicional.

La integración de estos dispositivos agrega un factor de riesgo a nivel de seguridad.

De hecho, la revista ComputerWeekly publicó en marzo el resultado de una encuesta realizada a 500 responsables de informática de diversas empresas; el 92% de los encuestados reconoce su preocupación por los retos de seguridad que su fuerza laboral móvil supone.

Si duda además del tema de la seguridad, se complica también la visibilidad y monitorización de estos dispositivos, que bien se conectan desde los hogares, desde un cibercafé o desde un aeropuerto, y que además son a la vez corporativos y personales.

La evaluación del rendimiento para estos usuarios, por ejemplo, suele ser un reporte de falla difícil de enfrentar, ya que el problema puede estar en las características del servicio de comunicaciones utilizado.

4) Asociados con las redes Inalámbricas

La incorporación de redes inalámbricas a la plataforma de red cableada ha generado toda una batería de posibles puntos ciegos.

Las redes inalámbricas suponen la incorporación de múltiples dispositivos (teléfonos móviles inteligentes, tabletas y portátiles), no necesariamente alineados con la política de seguridad de la empresa.

Si la organización aplica la política de BYOD (“bring your own device” o “trae tu propio dispositivo”) este problema puede incluso ser mayor.

Además, con estos dispositivos enfrentamos un problema adicional que son los puntos de acceso no autorizados; es muy sencillo que un dispositivo se convierta en el punto de acceso a otra batería de dispositivos, que incluso pueden no estar físicamente en la plataforma.

¿Cómo enfrentar los puntos ciegos de red?

Concienciarnos en la importancia de definir una arquitectura de visibilidad, así como una plataforma sólida de monitorización, es un paso básico.

Luego, podemos sugerir establecer un proceso de comunicación corporativo sobre el tema, de manera que en organizaciones grandes esta visión sea compartida por departamentos que pudieran estar trabajando de forma aislada, como Desarrollo de sistemas, Plataforma, Soporte Técnico, Seguridad de datos y otros.

Entonces podemos evaluar la posibilidad de incorporar los siguientes procedimientos corporativos:

  • Una opción interesante para la identificación temprana de puntos ciegos son las auditorías de redes, las cuales lamentablemente suelen ser pospuestas o incluso no planificadas dado el coste en horas/hombre para su realización.
  • Implementar una política fuerte de seguridad de datos que incluya, entre otros: manejo de perfiles de usuarios, exigencias sobre la complejidad de las claves, VPN para conexiones de los trabajadores remotos, múltiples chequeos de nombres de usuario y claves, restricción de acceso a redes inalámbricas, control de acceso a las claves de administrador de todos los dispositivos, etc.
  • Comunicar las políticas de seguridad a todos los trabajadores de la empresa, de manera de generar un ambiente que reconozca la seguridad como compromiso de todos.
  • Mantener actualizados los inventarios de activos de informática: manejar con precisión qué equipos, qué software, qué actualizaciones, qué aplicaciones, etc. puede ser de gran utilidad a la hora de identificar puntos ciegos.

En el área técnica hay muchas cosas que se deben hacer. Nos permitimos señalar las siguientes:

  • Establecer procedimientos de recolección de información que abarquen toda la plataforma.

Pandora FMS dispone de varias facilidades orientadas a lograr este objetivo. Entre ellas, el servidor satélite, que permite monitorizar de forma centralizada decenas de miles de dispositivos distribuidos. El lector puede revisar el esquema de recopilación de información y las herramientas de monitorización de redes de Pandora FMS en este enlace.

  • Incluir los elementos de monitorización necesarios para los esquemas de servidores virtualizados. Aquí el reto puede ser adaptarse a los diferentes esquemas de virtualización y a la metodología de desarrollo de sistemas aplicado en la empresa.
  • Asumir el reto de automatizar los procedimientos de descubrimiento de nuevos elementos de la red y generar una monitorización básica de dichos elementos.

En Pandora FMS se cuenta con el servidor de reconocimiento o RCON, el cual explora la plataforma y aplica una plantilla de monitorización en los sistemas que detecta.

  • Mantener un mapa de red que integre todos los elementos operativos, incluidos los elementos asociados con las redes inalámbricas.
  • Definir un esquema lo suficientemente flexible para monitorizar cualquier elemento de la red, con el esquema de captación de información más conveniente.

Pandora FMS, por ejemplo, cuenta con diversos métodos de acceso a la información de los elementos a monitorizar, considerando agentes especializados, recolección de archivos logs y la utilización de protocolos como SNMP, WMI, FTP, etc.

  • Automatizar el manejo del inventario de los activos de informática. El lector interesado puede evaluar la potencialidad del servidor de inventario Pandora FMS en este link.
  • Evaluar y establecer el esquema de monitorización de tráfico encriptado adecuado a la realidad de su tráfico, considerándose las posibilidades de desencriptar o no dicho tráfico.
  • Establecer los procedimientos de monitorización de la experiencia del usuario, lo que nos llevará necesariamente a cada uno de los elementos operativos de la plataforma (firewall, switches, servidores web, servidores de aplicaciones, servidores de base de datos, enlaces de comunicaciones, servicios en la nube, etc.).

El lector interesado puede revisar el alcance de la monitorización integral de la experiencia de usuario implementado por Pandora FMS, en el siguiente enlace.

Finalmente, queremos mencionar el concepto de Observabilidad, que lleva la concienciación de los problemas de visibilidad al diseño de los sistemas, y que en el marco de los puntos ciegos de la red puede aplicarse al diseño de las plataformas.

La idea es que, al momento de diseñar desde cero o planificar crecimiento o modificaciones de nuestra plataforma, contemplemos la necesidad de que el resultado final disponga de un buen nivel de observabilidad, tanto como de otros factores como confiabilidad, eficiencia, etc.

Evitándose así la posibilidad de creación de puntos ciegos de red desde el diseño.

Invitamos al lector interesado en el tema de la Observabilidad a leer este post.

Asimismo, les invitamos a compartir sus experiencias en el área de puntos ciegos de red, dejándonos sus comentarios.

Para finalizar, recuerda que Pandora FMS es un software de monitorización flexible, capaz de monitorizar dispositivos, infraestructuras, aplicaciones, servicios y procesos de negocio.

¿Quieres conocer mejor qué es lo que Pandora FMS puede ofrecerte? Descúbrelo entrando aquí: https://pandorafms.com/es

Si cuentas con más de 100 dispositivos para monitorizar puedes contactar con nosotros a través del siguiente formulario: https://pandorafms.com/es/contactar/

Además, recuerda que si tus necesidades de monitorización son más limitadas tienes a tu disposición la versión OpenSource de Pandora FMS. Encuentra más información aquí: https://pandorafms.org/es/

No dudes en enviar tus consultas. ¡El equipo de Pandora FMS estará encantado de atenderte!

Shares