Analizadores de protocolo: quién los necesita y cómo elegir uno

0
227

La complejidad de una red corporativa moderna con múltiples ubicaciones físicas, presencia en la nube, e incluso aplicaciones sin servidor, significa que la tarea de monitorear la actividad de su red requiere una gran cantidad de planificación y diseño. Una parte de este esfuerzo de diseño comienza como parte de la fase de evaluación inicial, eligiendo un conjunto de análisis de protocolo.

Una gran parte de esa selección está determinada por las funciones más críticas para su organización, como la necesidad de operar como un sistema de alerta temprana para los métodos de ataque antiguos y nuevos, ya sea utilizando analítica tradicional o aprendizaje automático, soporte para su presencia corporativa en la nube, o incluso la necesidad de realizar análisis forenses en caso de un ataque confirmado.

¿Qué es un analizador de protocolos?
Los analizadores de protocolos son herramientas que permiten a los administradores de TI y los equipos de seguridad capturar el tráfico de la red y realizar análisis de los datos capturados para identificar problemas con el tráfico de la red o posible actividad maliciosa. Un técnico puede observar estos datos de tráfico en tiempo real para solucionar problemas, monitorearlos mediante una herramienta de alerta para identificar amenazas de red activas o conservarlos para realizar análisis forenses en caso de que se descubra una falla en la red.

Por diseño, y debido a razones de rendimiento y seguridad, las redes modernas generalmente limitan el tráfico a la ruta entre el cliente y el servidor, una característica clave de un switch de red en los hubs de la red, los cuales prevalecían en los primeros días de las redes de computadoras. Esto es un factor decisivo para los usuarios maliciosos casuales que buscan robar sus datos corporativos, pero solo un obstáculo técnico menor para el análisis legítimo de la red, ya que muchas de estas herramientas se integran con sensores de hardware o software de red, que pueden colocarse estratégicamente en toda la red. En la mayoría de los casos, los administradores de red simplemente pueden habilitar un switched port analyzer (SPAN, por sus siglas en inglés) para reflejar los paquetes de red que pasan a través del switch a un solo puerto.

En términos generales, existen dos categorías principales de analizadores de protocolos. Las herramientas de análisis de protocolo ad hoc se utilizan para solucionar problemas o analizar algo específico, y se pueden implementar por poco o ningún costo con una planificación mínima o experiencia técnica necesaria. Sin embargo, son mejores para el análisis focalizado (un protocolo específico o host) y no son adecuados para monitorear una red completa durante un período prolongado. Las herramientas de análisis empresarial son más adecuadas para monitorear toda su infraestructura corporativa durante todo el día, con opciones para proporcionar una variedad de alertas cuando su red se ve amenazada.

Análisis de protocolo ad hoc
Ocasionalmente, los profesionales de seguridad necesitan un analizador de protocolos para solucionar un problema en la red -como las fallas de autenticación, o para confirmar que exista suficiente encriptación. Anteriormente, había varios tipos de herramientas que competían por la atención de los profesionales de la seguridad (y redes) en el campo del análisis de protocolos ad hoc, pero WireShark (anteriormente Ethereal) ha dominado el campo hasta el punto de que muchos otros (incluyendo Microsoft Network Monitor) fueron relegados.

Las dos funciones más críticas de una herramienta de análisis ad hoc, y no casualmente dos características clave que hacen que WireShark sea tan exitoso, son que sea flexible y fácil de usar. La capacidad de WireShark de filtrar paquetes -ya sea durante la captura o en el análisis- utilizando diferentes niveles de complejidad, lo convierte en una herramienta capaz para todos, desde usuarios nuevos hasta profesionales experimentados. Dado que es de código abierto y está disponible para todas las plataformas principales, WireShark cuenta con mucho soporte comunitario. Eso elimina el costo como barrera y proporciona una gran cantidad de capacitación de fácil acceso.

Un beneficio adicional es que WireShark puede ingestar y analizar el tráfico capturado de una serie de otras herramientas de análisis de protocolos. Eso facilita la revisión del tráfico de red durante un momento específico en el historial (siempre que se haya capturado el tráfico) sin romper el presupuesto.

Análisis de protocolos empresariales
El análisis de protocolos empresariales difiere del análisis ad hoc en formas clave, especialmente en escala y duración. Generalmente, el análisis ad hoc ocurre cuando usted sospecha que existe un problema o necesita evaluar un segmento, servicio o aplicación de red específica. Las suites de análisis empresarial deben consumir la mayor cantidad de tráfico de red posible las veinticuatro horas del día, los siete días de la semana para identificar patrones, detectar anomalías, ofrecer información sobre embudos en el desempeño, y alertarlo sobre patrones de tráfico consistentes con las metodologías de ataque conocidas.

Al momento de decidir sobre un conjunto de análisis de protocolo, otro aspecto a considerar es si es que usted planea usar la solución únicamente para monitorear el tráfico de red, o también para incorporar registros de auditoría de aplicaciones y servidores de negocios. Esta decisión tendrá un impacto en el costo, ya que determinará en qué solución se conformará y probablemente la cantidad de usuarios administrativos que utilizarán la herramienta.

Su base de usuarios no solo generará costos de licencia, sino también requisitos de capacitación y casos de uso. Las empresas que emplean un centro de operaciones de red (NOC, por sus siglas en inglés) las 24 horas del día, tendrán diferentes prioridades en comparación con aquellas que dependen de métricas semanales y alertas del sistema para notificaciones de amenazas críticas.

Soluciones de monitoreo muy conocidas, como Nagios y Paessler PRTG, brindan monitoreo integral del tráfico de protocolo, el estado de la base de datos, la disponibilidad de las aplicaciones, el tiempo de actividad del servidor y otros puntos de datos. Otras soluciones, como las ofrecidas por Riverbed y ExtraHop, se especializan en el monitoreo de redes, en algunos casos permitiendo que la herramienta ofrezca un conjunto de funciones más completo y una interfaz de usuario más intuitiva.

Cómo evaluar una solución de análisis de protocolo
El primer obstáculo para monitorear el uso del protocolo en toda su red, es permitir el consumo del tráfico de la red. Este obstáculo es complejo en una red corporativa, en una sola ubicación física, con múltiples segmentos de red, pero se vuelve interesante cuando debe monitorear múltiples ubicaciones geográficas y recursos basados en la nube.

La mayoría de las soluciones de análisis de protocolo de nivel empresarial son flexibles cuando se trata de capturar datos de protocolo. Ofrecen agentes de software que puede instalar en ubicaciones clave de su red, o integrar con dispositivos de red que les asignan rutas de datos de protocolo hacia su herramienta de monitoreo. Considere el esfuerzo necesario y el control que tiene utilizando los métodos de captura disponibles.

Considere también la visibilidad que la solución de análisis de protocolo le brinda a la presencia en la nube de su empresa. Los sistemas que residen en Amazon Web Services (AWS) o Azure pueden ser algunos de sus servicios empresariales más críticos, y el tráfico de red excesivo a estos recursos puede no solo indicar actividad maliciosa, sino que también puede aumentar los costos del servicio.

Las necesidades de su negocio pueden impulsar su decisión más que cualquier otra cosa. Si su negocio se enfoca en registros financieros o de salud del cliente, la seguridad es el factor determinante. Las funciones como la retención del registro de tráfico para permitir el análisis forense posterior a una intrusión, la detección de anomalías para ayudar a identificar nuevas amenazas o problemas de red y las alertas para proporcionar un sistema de alerta temprana serán las más importantes.

Para los proveedores de servicios o proveedores de contenido -o incluso las empresas que proporcionan aplicaciones basadas en la web- las métricas de desempeño pueden ser el punto focal.

Cualquier sistema de información empresarial es tan bueno como la información útil que usted puede obtener de éste, y los analizadores de protocolos no son una excepción. Muchas de las suites de análisis de protocolos empresariales del mercado ofrecen paneles integrados que usted puede personalizar.

Incluso si la solución que selecciona ofrece herramientas de análisis integradas, puede obtener más valor de los sistemas de análisis centrados en la nube como Splunk o Datadog, que cuentan con herramientas de análisis que aprovechan el aprendizaje automático para la detección de anomalías e incluso correlacionan múltiples tipos de datos como el análisis del protocolo y monitoreo de registros. Con frecuencia, estas soluciones de análisis de terceros le brindan una visión más completa de sus datos, pero también vienen con sus propios costos adicionales de licencia y capacitación.

Tim Ferrill, CSOonline.com