Durante más de una década, la industria de la seguridad ha debatido qué papel deben desempeñar los proveedores de servicios de Internet (ISP) en la ciberseguridad. ¿Deberían proteger proactivamente a sus clientes con controles y filtros de seguridad (por ejemplo, sistemas de prevención de intrusiones (IPS), listas negras de IP / URL's detección de malware, etc.) o los clientes son responsables de su propia seguridad?
Los ISPs pueden tener un impacto mucho más amplio en la seguridad general debido a su posición en la red (actuan como nuestra puerta a Internet). Aún así, hay buenos argumentos en contra de los ISP que toman demasiada participación en el tema. Los proveedores de internet pueden en un apartado específico hacer mucho para mejorar la seguridad de todos, pero antes de entrar en eso revisemos los argumentos en contra de los ISP que participan intensamente en seguridad:
1. Los controles de seguridad mal administrados pueden interrumpir actividades empresariales o legítimas: Si alguna vez ha utilizado una solución de prevención o detección de intrusiones (IPS), sabe que ocasionalmente tiene falsos positivos. Estos falsos positivos pueden bloquear el tráfico legítimo de los clientes que pagan por conectarse a internet. Si son pocos los clientes del ISP en cuestión es algo "manejable" pero totalmente infactible cuando los volúmenes son en miles, sería una pesadilla logística.
2. Cierta seguridad puede invadir la privacidad. Muchos controles de seguridad no solo monitorizan a donde se va en Internet sino que también analizan profundamente el contenido del tráfico y registran toda la actividad para análisis forenses posteriores. Esto abre la posibilidad de que los ISP utilicen estos datos para otro propósito (aunque técnicamente, podrían estar haciendo esto de todos modos). Sin embargo, dar a los ISP acceso a más información sobre la navegación web de la gente preocupa a los partidarios de la privacidad en Internet.
3. Cierta seguridad se convierte en censura. ¿Cuál es la diferencia entre un sitio inapropiado y un sitio peligroso? A veces esto es un área gris. A veces un sitio web que desea visitar puede haber tenido un anuncio malicioso en él en el pasado y esta en una lista negra. ¿Aceptaría que los ISP lo bloquearan? Muchos tipos de controles en los ISP pueden ser percibidos como censura porque suprimen la libertad de elección.
4. Los ISP no pueden asumir responsabilidad por los errores de sus clientes. En pocas palabras, no podemos responsabilizar a los ISP por nuestra seguridad porque no pueden controlar a sus clientes. Incluso si una organización tiene los mejores controles de seguridad en el mundo, su gente puede tener conductas de riesgo que los infectan. Para que los ISP se involucren en la seguridad, debemos permitir que lo hagan sin responsabilidad por todos nuestros problemas internos en el rubro.
5. ¿Dónde termina la seguridad del ISP? ¿Deberían los ISP monitorear nuestro tráfico solo por amenazas conocidas? ¿Deben ser nuestro firewall? ¿Deberían permitir acciones de IPS (prevención de intrusos) para bloquear exploits? ¿Deberían filtrar sitios maliciosos? ¿Deberían escanear nuestras redes en busca de vulnerabilidades y bloquear dispositivos que no han sido parchados? La creación de regulaciones para evitar que los ISPs vayan demasiado lejos en seguridad esta pendiente y es un gran reto logístico.
En cuanto a los controles preventivos de seguridad los ISP pueden ofrecer servicios de seguridad opcionales, pero en última instancia es decisión de sus clientes decidir si se protegen o no. Sin embargo, hay una cosa que todos los ISPs deben hacer para protegernos a todos: bloquear direcciones IP suplantadas (IP Spoofing).
La suplantación de direcciones IP (IP Spoofing) es un ataque muy antiguo y simple en el que un equipo malicioso envía un paquete de red con una dirección IP fuente falsa. Esta técnica ofrece valor limitado en los ataques normales, porque cuando se envían paquetes que afirman ser de otro equipo, ese otro equipo obtiene las respuestas, no usted. Sin embargo, la suplantación de IP juega un papel importante en un tipo de ataque que tiene consecuencias mayores: ataques distribuidos de denegación de servicio (DDoS). Un ataque DDoS reflejado (Reflective DDoS attack) envía consultas a servicios particulares que pretenden ser la dirección IP de su víctima. Esos servicios enviarán grandes respuestas a la víctima, abrumándolos con tráfico.
Por definición, los ISPs tienen pleno conocimiento de las direcciones IP públicas que todos recibimos y saben cuáles pertenecen a sus redes. Con esta información, la suplantación de IP es absolutamente simple de detectar y bloquear.
De hecho, durante décadas han existido estándares comunes de Internet y mejores prácticas que detallan exactamente cómo los proveedores de red pueden prevenir la falsificación de direcciones IP configurando dispositivos de enrutamiento para validar direcciones de origen y bloquear tráfico suplantado. Algunos ejemplos incluyen RFC 2827, BCP 38 y el actualizado BCP 84. La mayoría de los equipos de red, desde ruteadores hasta appliances de seguridad, ofrecen funciones y filtros simples para bloquear el spoofing. Si todos los proveedores de servicios de Internet siguieran estas prácticas recomendadas podrían reducir considerablemente ciertos tipos de ataques DDoS, sin afectar las redes de sus clientes.
La buena noticia es que muchos ISP ya lo hacen. Según el Center for Applied Internet Data Analysis (CAIDA), alrededor del 70% del espacio IP no es suplantable (spoofable), lo que significa que muchos ISP están haciendo el filtrado. El problema es que si incluso unos cuantos ISP siguen permitiendo la suplantación, los atacantes pueden utilizar a estos rezagados contra otros. Si hay algo que debemos exigir de todos nuestros proveedores de servicios de Internet, es implementar esta práctica común. Por lo tanto, aunque no creo que los ISP deben involucrarse demasiado en la seguridad por las razones mencionadas anteriormente, lasuplantación de IP es un problema a nivel de red que podría ser fácilmente arreglado si la industria exigía que todos los ISP siguieran las mejores prácticas. Hagamos BCP 38 y 84 obligatorio.
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Corey Nachreiner/DarkReading/2017