El protocolo syslog, utilizado por la mayoría de los dispositivos de red, bases de datos y/o sistemas operativos, es un poderoso mecanismo de control muy útil y cada vez más conveniente de implementar. Éste nos permite enterarnos de situaciones internas que se presentan en los dispositivos y/o servicios, muchos de ellos, relacionados con aspectos críticos sobre la ciberseguridad. Estos mecanismos deberían de supervisarse automáticamente y de forma continua, utilizando una solución de monitorización de red integral. Así, ésta se encargaría de vigilar e informar a los distintos responsables sobre las situaciones anormales de disponibilidad, rendimiento o ciberseguridad que se presenten dentro del entorno de red, para que éstos se informen y tomen oportunamente las medidas correctivas. Estas acciones garantizan la continuidad y calidad del nivel de servicio ofrecido, todo ello bajo un entorno con un adecuado nivel de ciberseguridad.
Un esquema de monitorización de infraestructura de red de TI puede contener un significativo ‘punto ciego’ desde el enfoque de la ciberseguridad. Para evitar este inconveniente, es necesario incluir una bitácora de syslog o en su defecto al snmp trap. La ausencia de esta medición y control, sin duda pondrá en riesgo la seguridad de la información y la continuidad de la operación de cualquier organización conectada a la red informática de Internet.
Cualquier dispositivo físico, o servicio de TI, podrá estar disponible y accesible dentro del entorno de la red informática y asimismo contar con recursos de hardware: memoria, procesador, disco, etc. Si nos circunscribimos a monitorizar estos aspectos, estaremos informados únicamente sobre aspectos de la operatividad y rendimiento, omitiendo importantes aspectos internos del aparato o servicio.
Una visualización global del entorno de la ciberseguridad con administradores de red, necesita mecanismos adicionales para la prevención de ataques o amenazas. Este tipo de visualización presentará algunos inconvenientes asociados al hecho de no contar con una única visión integral de todo el entorno de la red, aunado probablemente a gastos operativos adicionales de herramientas de apoyo y al tiempo dedicado para la implementación de la misma.
La monitorización de códigos específicos de error o palabras clave dentro de la bitácora del syslog, permite al administrador de red identificar rápidamente condiciones anormales que se registran en el dispositivo o servicio, que sin consultar esta bitácora no podrán percibirse. Condiciones, muchas de ellas, que pondrán en riesgo la continuidad de operación y en casos aún más delicados la seguridad y integridad de la misma.
Un sencillo ejemplo que ilustra la importancia de realizar esta importante monitorización podría darse dentro de cualquier ambiente de red en donde se logra instalar algún malware, mismo con los distintos mecanismos de seguridad. El objetivo es averiguar cuál es la clave del administrador del dispositivo. Asumamos que este software malicioso tratará continuamente de ingresar a la interfaz administrativa del mismo, de una forma subrepticia, la cual probablemente pasará desapercibida. Si el dispositivo en cuestión tiene activada la bitácora de syslog, este evento anormal será detectado por el dispositivo y generará la correspondiente alarma dentro de su bitácora syslog.
Para casos no tan críticos como el anterior, hay dentro de la bitácora registros también de comportamientos extraños (apertura de puertos, cambios de configuración, etc.), los cuales requerirán de un detallado análisis por parte del administrador de red; como producto del análisis se formularán acciones administrativas de red para mitigar los riesgos detectados.
El snmp trap ofrece similar funcionalidad a la brindada por el syslog. El syslog brinda un mayor nivel de detalle de la información suministrada por el dispositivo y/o servicio. En caso que el dispositivo o servicio crítico de red no ofrezca los servicios de syslog, será muy conveniente implementar la monitorización del servicio de snmp trap.
Hemos visto la factibilidad tecnológica de contar con una monitorización integral de cada dispositivo o servicio crítico de la red, que incluya aspectos sobre la disponibilidad, tráfico, rendimiento y que no deje de considerar importantes aspectos de la ciberseguridad. Por esto la importancia y dependencia, cada vez mayor, de los distintos componentes de red.
Tales dispositivos dependen de otras redes corporativas y evidencian la necesidad de estar en todo momento y lugar plenamente informado sobre el estado general de nuestra red. No hay duda que la complejidad de este dinámico entorno hará valorar más aún la simplicidad de la posible solución que encontremos, y que ésta logre atender efectivamente la totalidad de las necesidades aquí evidenciadas.
En el rubro de la inversión, debemos encontrar la solución que nos presente la mejor relación costo-beneficio, a fin de que nos permita formular e implementar soluciones realizables dentro de nuestro entorno económico. Si la solución ofrece una interfaz en nuestro idioma, acceso desde dispositivos móviles, facilidad de configuración/uso y adicionalmente cuenta con un adecuado soporte local, serán, sin duda, puntos adicionales de peso que definitivamente aportarán aún más valor a la solución de monitorización de red que estemos buscando.
Por Carlos Echeverría, Gerente de Desarrollo de Canales de Paessler AG Latinoamérica