Llegamos a ustedes gracias a:



Reportajes y análisis

Analizadores de Protocolo: Qué hacer y qué no

[10/06/2011] Al igual que con cualquier herramienta, los analizadores de protocolo necesitan una implementación adecuada. He aquí los consejos de primera línea.

Asegúrese de tener la experiencia adecuada en sus operaciones de red y equipos de seguridad para hacer uso efectivo de las herramientas de análisis de protocolos para solucionar problemas de red, afinar firewalls y otros dispositivos de seguridad, e investigar la causa de los ataques a la empresa.
En una organización grande, lo más probable es que los profesionales de TI sean personas con las credenciales correctas para hacer un uso eficaz de estas herramientas, pero son delgados en el suelo. "Una gran cantidad de administradores de red se sorprenderían con lo que hay en Wireshark", señala Joel Snyder de Opus One. Por lo general, busque ingenieros de redes con experiencia o personal de seguridad con una fuerte práctica en la configuración de firewalls de red y sistemas de protección de intrusos.
Su gente de tecnología debe tener un conocimiento profundo de los protocolos y cómo funcionan, por lo que rápidamente pueden examinar la captura de paquetes, determinar dónde están los problemas y remediarlos. Los profesionales experimentados pueden aplicar estos conocimientos a los problemas de seguridad y aplicación, así como a las operaciones de red.
"Lo que realmente necesita es a alguien que esté muy bien capacitado -piense en el modelo OSI", señala Mike Chapple, asesor del vicepresidente ejecutivo de la Universidad de Notre Dame. Los profesionales de TI a menudo son especialistas: los programadores que se especializan en la capa de aplicación o el personal de operaciones de red que conoce las capas de red y transporte, por ejemplo.
"Si está solucionando problemas, tiene que desplazarse rápida y ágilmente hacia arriba y abajo en de la pila de protocolos, desde la capa física hasta la capa de aplicación", indica.
Si no tiene suficiente experiencia con el análisis de protocolo para cubrir sus operaciones de TI con eficacia, considere la posibilidad de traer consultores, especialmente para los grandes proyectos que implican la introducción de nuevos servicios o para el análisis forense después de un incidente importante de seguridad.
INVIERTA en versiones empresariales de los analizadores de protocolo o productos para monitoreo y análisis de mejor categoría, pare un entorno grande y distribuido en donde sus analizadores son delgados en el suelo.
"La diferencia de competencias está en aumento, y hay un gran cambio desde el escenario en el que armaba a los técnicos con analizadores de protocolos y los enviaba a las oficinas remotas", señala Shalita de NetScout.
Los aparatos de calibre empresarial le permiten capturar y almacenar los datos de tráfico a través de sus redes, realizar al menos un análisis automatizado, y solucionar problemas desde cualquier lugar de la empresa. Sus redes son grandes, rápidas y complejas. Saque el máximo partido de su personal disponible para mantener sus redes y aplicaciones ejecutándose sin problemas con una interrupción mínima.
NO VENDA analizadores de protocolo cortos. Haga que su uso sea una parte integral de su red, las aplicaciones y procedimientos de seguridad.
"La gente usa Wireshark como último recurso", señala Combs de Riverbed, creador de la herramienta. "La captura de paquetes parece ser la última cosa que hace la gente. Muchas veces ni siquiera pueden tener un puerto de medición ajustado para capturar el tráfico".
ESTABLEZCA las líneas básicas de lo que constituye el tráfico normal de red y el comportamiento de la aplicación para que pueda evaluar con rapidez y precisión dónde están los problemas, informar al CSO o a otro jefe apropiado de lo que está pasando, y seguir la escalada y procedimientos de reparación.
"La gente no es la línea de base", señala Combs. "Así que tienen un problema cuando encienden un analizador y no tienen idea de lo que es bueno y malo." Él recomienda tener un conjunto de archivos de captura tomados en un día normal. "Solo lo tiene que sacar y mirar en lo que hay que enfocarse. Ahorra mucho tiempo."
TENGA EN CUENTA el rendimiento de la aplicación de gama alta, el monitoreo de red y los productos de análisis. Estos no son baratos, y requieren políticas firmes y procedimientos, así usted puede evaluar el riesgo sobre la base de la información que presentan y luego tomar la acción apropiada. Pero pueden ser de gran valor, sobre todo si tenemos en cuenta el impacto potencial de las interrupciones de las aplicaciones y servicios clave. Varios productos siguen y capturan todo lo que se mueve a través de sus redes, aumentando su capacidad para identificar intrusiones y otros eventos de seguridad que podrían pasar desapercibidos por días, semanas o incluso meses.
Estas herramientas también asocian a los usuarios con las actividades de red y aplicación, por lo que tiene la capacidad de identificar quiénes pueden estar involucrados en el comportamiento no autorizado o malicioso. Forrester Research recomienda un modelo de cero confianzas en la seguridad de la información, una desviación del tradicional modelo de "confiar pero verificar". La visibilidad ubicua en el tráfico de red aplicación le da la capacidad para supervisar, informar y, en caso necesario, actuar en todo lo que sus usuarios están haciendo.
APROVECHE la influencia y análisis de aplicaciones para coordinar las operaciones entre el personal de red, las aplicaciones y la seguridad. A nivel táctico, comparta los resultados de la actividad del analizador de protocolo cuando crucen las áreas de responsabilidad. Las herramientas a nivel de empresa permiten que los grupos lleven a cabo sus análisis y actúen sobre un conjunto común de datos, en lugar de dedicarse a actividades redundantes. En un momento en que los recursos son escasos y las cargas de trabajo enormes, las líneas son borrosas y la cooperación - no señalar con el dedo - debe estar a la orden del día.
"Cada vez que veo una organización de seguridad sana, uno de los principales factores es que tienen una buena relación con una sólida organización de red; se han entrelazado tanto que es difícil separarlas", señala Chapple. "La administración debe establecer el tono, pero la relación real sucede en el nivel del ingeniero.
Neil Roiter, CSO (US)