como monitorear redes--TAPS o SPAN ?

Les comparto un link a un documento que explica las diferencias entre los taps y los puertos span.
http://www.lovemytool.com/blog/2007/08/span-ports-or-t.html

Speed Test requires at least version 7 of Flash. Please update your client.

MONITORIZACION DE SEGURIDAD EN REDES

CAPTURAS DE PAQUETES EN AMBIENTES DE ALTO TRAFICO.

Algunos escritores se refieren a lo que en mi consideración es un nuevo arte, la monitorización de seguridad en redes, dirigiéndose a este tema con la sigla NSM (Network Security Monitoring), por lo cual seguiré mencionando sus siglas cada que me refiera al tema.

Algunos administradores de seguridad en redes, considera que la captura de trafico se debe hacer de manera total, quizá basado en sus estudios de la lógica binaria 1/0, se toma todo o nada, sin antes haber medido de una manera aterrizada que es “TODO”, o quizá basados en otro concepto erróneo, en que la monitorización de seguridad en redes ejercida por un analista, es la detección de intrusiones (IDS), algunos comerciantes más avispados actualmente cambiaron la “D” por una “P”, llamados ahora (IPS), ( me imagino que se hicieron un razonamiento como este , Si los podemos detectar! ¿Por qué no prevenir? ), Generando así, el último dilema ideológico de la informática, aun discutido pero suena muy convincente, y es de eso precisamente que se han valido los grandes comerciantes en mi punto de vista, para distorsionar un poco el concepto de la monitorización de Seguridad en Redes, o si no hagámonos algunas de estas preguntas:

· ¿Si la gran mayoría de tráfico en mi red va cifrada para que un IDS? si mi servidor web utiliza SSL que me impide ver el contenido de la sesión, ¿vale la pena monitorizarlo?

· Si el puerto SPAN no me permite monitorizar redes por debajo de la capa 3, siempre habrán implícitas perdidas de paquetes a monitorizar, entonces ¿para qué monitorizar solo una parte?, o si el trafico de mi red supera la capacidad de los puertos SPAN, ¿de qué me sirve adquirir la solución más robusta para monitorizar si tengo estas limitantes?

Si a estas alturas se pregunta si la intención es convencerlo de no adquirir o tomar medidas preventivas para la seguridad informática está equivocado, porque existen modelos de detección, que en este documento, pretendo ligeramente cubrir, El modelo de detección por muestreo, que se utiliza en aquellos ambientes donde no es posible ver “TODO” es definitivamente el modelo más utilizado, partiendo de la base que la perdida de paquetes en la captura de datos en ambientes de alto trafico es inevitable, aunque existen muchos modelos como el PFRing, streamline con napi activado que pretenden dar un acercamiento a esta problemática, hasta el momento se puede decir que son tendencias no estables en un tema que otros fabricantes han fracasado.

Frases celebres:

"Saber romper medidas de seguridad no hacen que seas hacker, al igual que saber hacer un puente en un coche no te convierte en un ingeniero de automoción"
-- Eric Raymond

"Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología"
-- Bruce Schneier

"Las contraseñas son como la ropa interor. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños"
-- Chris Pirillo

"Pienso que los virus informáticos muestran la naturaleza humana: la única forma de vida que hemos creado hasta el momento es puramente destructiva"
-- Stephen Hawking


# "La física es el sistema operativo del Universo"
-- Steven R Garman

Hay que cobrar el soporte,,,

Respeto la posición de quienes deciden compilar de manera cerrada el código desarrollado para sus programas, siempre y cuando la aplicación que han creado sea lo suficientemente fuerte a las amenazas actuales, cumpla con las expectativas y aceptación en el mercado, cada vez mas cambiante en este aspecto, y pueda significativamente realizar la función para la cual fue creado, pero hoy en día nos enfrentamos cada vez más a corregir problemas generados de todas estas deficiencias de seguridad implícitas en el desarrollo de software, si bien soy amigo de las redes hibridas para brindar mayor grado de confiabilidad, parto de la premisa que la seguridad no tiene marca ni preferencias en sistemas operativos, durante años el negocio del soporte técnico a incrementado las fuentes de trabajo por hoy escasa en nuestro país, y por ello hay que difundirla y no acabarlas, eso está bien dentro del equilibrio de la sociedad que pretende ganar más estatus y reconocimiento, mediante su esfuerzo de trabajo en un determinado tema o profesion. Sin embargo no podemos regalar este tipo de soporte en el software que ha sido compilado de manera cerrada, donde el único beneficiario siempre será el autor, por eso, este tipo de soporte debe tener un precio y debe ser remunerado sin caer en la oposición, podríamos ganar buenos dividendos de este tipo de soporte, lo que no es permisible es que este tipo de filosofía de desarrollo de software nos camufle sitios de soporte técnico gratuitos con el objetivo de colaborar con la comunidad. Acaso ellos nos regalaron las licencias para colaborar con nuestra comunidad de usuarios. no es el mismo caso para el desarrollo de código abierto, al que debemos darle apoyo y no problemas, enfatizo esto ultimo en la cantidad de preguntas y poco aporte en respuestas cuando se ha solucionado de manera egoísta su problema, este tipo de soporte podría ser gratis para el software de código abierto, pero la verdad, es que todos los expertos en algún tipo de desarrollo, no solo los creadores sino también colaboradores, han dedicado mucho tiempo y esfuerzo como para no merecerse un reconocimiento reflejado en un mejor dividendo económico sobre las ventajas ofrecidas, basadas en su diferencia competitiva (el conocimiento), después de todo el conocimiento no es tan libre, pues basta querer llegar a su cúspide para entender que es muy costoso y que tiene un alto precio, tanto hasta donde quiera escalar esa cúspide. Por eso también es entendible que por el soporte del software libre, también se cobre aunque por filosofía, la solución a los problemas se comparta de una manera más abierta.

La seguridad concebida a través de sistemas heterogéneos. Ossim ahora mas que nunca.!

Debido a los hechos delictivos publicados por los medios de noticias en los últimos días en nuestro país, las empresas se acercan cada vez más a la búsqueda de una alternativa para contrarrestar esta nueva epidemia de delito; como miembro de un equipo que trabajo para contrarrestar este flagelo, desde mi punto de vista, y que en ocasiones dista mucho de las posiciones absolutistas de la seguridad informática, donde hacen apariciones las "balas de plata" ya mencionadas por escritores como Richard Bejtlich en su libro el Tao de la Monitorización de seguridad en Redes, haciendo alusión a un producto, una marca e incluso el cambio del sistema operativo, como solución total de la seguridad informática en las empresas, la seguridad no depende de uno solo de estos factores sino del buen acoplamiento que estos tengan entre sí, para brindar las opciones más cercanas a una postura aceptable en seguridad informática, así que temo decir que, ante estas circunstancias hacen sus apariciones medidas desesperadas por altos dirigentes que en su gran mayoría de las veces suelen empeorar las posturas asumidas hasta ese momento por el personal encargado, exigiéndoles tomar algún tipo de solución inmediata, desconociendo evidentemente el principio elemental de alcanzar la seguridad como un proceso y no como un producto, todo esto sumado a múltiples fuente de agentes comerciales que preocupados mas por alcanzar la cuota del mes, no desaprovechan la llamada de auxilio de dichos clientes bautizado solo como potenciales hasta ese momento y utilizan este primer acercamiento, no como un cambio cultural en las compañías, sino para la divulgación de su producto como la salvación de sus problemas, más allá de una asesoría mediante un estudio previo del alcance y perfil de la organizacion y entonces sueltan su “Bala de Plata,” por eso, no es de extrañar que dichos proveedores comiencen por preguntar cosas tan absurdas como, cuanto es su presupuesto? y no cual es el valor de los activos a proteger? o el perímetro de su organización?, los resultados desafortunadamente para las empresas de nuestro medio, resulta no solamente frustrante y caótico el tener que enfrentar un problema con otro peor, al tener que admitir que aquel producto requiere como en la mayoría de los casos un conjunto de productos que parecen unirse como una cadena sin límites, (osea que la seguridad es un problema sin solucion ???), indudablemente esto genera en ultimas mas caos y decepción en el acercamiento a un cambio cultural en las empresas, desmotivando completamente a dar un primer paso hacia la inversion en la seguridad informatica o en algunos otros casos dado que no se concibe la seguridad como un proceso de gestión, es que terminan lanzando licitaciones en ocasiones públicas, solicitando un producto “xyz” que les cobije hasta la concientización de los usuarios en seguridad informática, claro es casi logico que se queden los ofertantes y se termine pensando que dicha solucion no existe, por este motivo quiero resaltar el uso de Ossim ahora más que nunca, la importancia de los procesos en las compañías de adoptar medidas preventivas más que correctivas con múltiples puntos de vista de soluciones actuales, configuradas a medida de un perfil especifico que se acople al entorno actual y sea eficaz para la función a desempeñar, sin tener que hacer grandes inversiones y utilizando todo el entorno de los montajes actuales, para lograr eficacia y simplicidad a la hora de la gestion de seguridad.

Ante situaciones delictivas tan cercana a nuestro alrededor, se debe también pensar en soluciones que nos permitan la detección temprana de nuestras posturas de seguridad, Ossim como solución de seguridad informática para cumplir el roll de aplicación de monitorización en “tiempo real”, y ayuda en la gestión de continuidad del negocio mediante, el cumplimiento de los estandares de procesos paralelos a la gestión de seguridad informática, es muy buena opción pero no la única, dado que debería estar existiendo con otras medidas que difieren de sus principios, solo así en entornos heterogéneos, la posibilidad de una vulnerabilidad ante un producto se puede minimizar el impacto para que no transcienda sobre los demás. Y contrario a las frases que los grandes fabricantes divulgan como “la línea de nuestros productos es la mejor y más completa opción” se contradice con la de la seguridad concebida a través de sistemas heterogéneos.

Rodrigo Bedoya.

Departamento de Seguridad informática I2T de la UNIVERSIDAD ICESI.

Cali Colombia.

Documento publico .

ossimcolombia

Bienvenidos a ossim-colombia,