- Escrito por: Jairo Rojas Campo
- Categoría: Artículos PRO
- Publicado:
Protegiendo la Infraestructura de Red: La Importancia de la Seguridad Física en Networking
Proteger la infraestructura de red no solo implica fortalecer las defensas digitales. La seguridad física es una barrera crucial para evitar que las amenazas lleguen a los componentes más sensibles de las redes. Descubra cómo implementar medidas efectivas para asegurar la infraestructura de red en sus proyectos.
En esta nota analizamos que es la seguridad física en redes de datos, cómo y qué factores son los que se deben considerar para la protección física de la infraestructura de red y sus componentes críticos, frente a amenazas internas como externas.
Revisamos esta temática teniendo en cuenta estos puntos:
- ¿Qué es la seguridad física en redes de datos?
- Ubicación segura
- Infraestructura y sistema de protección sólidos
- Control de acceso multicapa
- El rol de la videovigilancia
- Protección del hardware
- Elementos externos como factor de riesgo
- Protección de los datos
- Diferencia entre seguridad de la red y ciberseguridad
¿Qué es la seguridad física en redes de datos?
La seguridad física en redes de datos es un aspecto fundamental para garantizar la integridad, disponibilidad y confidencialidad de la información. A menudo, se da más atención a las medidas de seguridad lógica, como firewalls (Software) y encriptación, sin considerar que la protección física del hardware y otros componentes es igualmente crucial.
La seguridad física en redes de datos se refiere a la protección de los componentes físicos de una red, incluyendo servidores, routers, switches, cables y otros equipos, contra daños físicos, robos, accesos no autorizados y desastres naturales. Esta forma de seguridad asegura que los dispositivos de red y la infraestructura estén resguardados contra cualquier amenaza que pueda afectar su funcionamiento.
Ubicación segura
Garantizar que las instalaciones de los centros de datos estén protegidas de las zonas de alto riesgo de catástrofes naturales o provocadas por el hombre es fundamental para mantener la seguridad y fiabilidad de la información. Por lo tanto, los centros de datos deben construirse lejos de las zonas de alto riesgo, donde son frecuentes los huracanes, terremotos, tsunamis e inundaciones.
Teniendo en cuenta los problemas provocados por el hombre, las zonas que los centros de datos deberían evitar también incluyen cercanías con aeropuertos, centrales eléctricas e instalaciones químicas. Además, es preferible que los centros de datos estén alejados de las carreteras principales para construir zonas de amortiguación formadas por zonas verdes y barreras perimetrales.
Infraestructura y sistema de protección sólidos
Además de la ubicación, los centros de datos también deben mejorar la fiabilidad de sus infraestructuras y sistemas de protección para evitar daños causados por riesgos comunes al interior de las instalaciones, como incendios. Por ejemplo, pueden utilizarse muros y estructuras de hormigón armado para proteger las instalaciones de ataques externos y posibles incendios que desde el exterior se propaguen hacia los centros de datos más importantes.
Lo siguientes sistemas son opciones a considerar para la protección de la infraestructura de red, cual o cuales implementar dependerá del tipo de centro de datos, propósito y tamaño, así como de la relación costo/beneficio:
- Sistema de control ambiental para supervisar y regular la temperatura y la humedad.
- Sistema de alimentación de energía ininterrumpida
- Un sistema de alarma contra incendios es fundamental este puede ser un sistema de detección de humo por aspiración y detectores puntuales y mejor aún con la combinación de sistemas de supresión por agente limpio
- Sistema repelente de roedores para evitar que las ratas y otras plagas afecten el cableado y puedan ocasionar daños en servidores, switches de red y equipos terminales de datos.
Control de acceso multicapa
La forma óptima y estratégica de garantizar la seguridad de los centros de datos es gestionarla por capas. Múltiples capas prestan un modelo de protección física estructurado, lo que facilita el análisis de fallos y la adopción de medidas de protección eficaces adecuadas para cada capa.
Por ejemplo, hay muros o mallas que actúan como barreras en el exterior del edificio donde se encuentra el centro de datos para aislar y proteger el edificio, este es un primer anillo de seguridad física. En las entradas hay puestos de control vigilados, donde la entrada inicial requiere el registro y la verificación por parte del personal de seguridad. El personal puede utilizar tarjetas de acceso, biometría o credenciales digitales para entrar por las puertas que conducen al centro de datos.
Para las capas más importantes, es decir acceso al centro de datos e incluso a los racks o armarios se requiere una identificación más compleja, como huellas dactilares, biometría, o ambas lo que conocemos autenticación de múltiple factor. De este modo se crea un componente de disuasión importante y se crean mejores controles para evitar aún más el acceso no autorizado.
El rol de la videovigilancia
La videovigilancia es una herramienta muy valiosa y rentable para reducir las amenazas a la seguridad. Con sistemas que integren análisis de video y alarmas por intrusión y poder tener conciencia situacional del entorno de red es una gran ventaja para minimizar riesgos, tecnologías como el reconocimiento facial ayudan en este tipo de aplicaciones.
El personal de la sala de control o monitoreo puede detectar intrusiones o accidentes a tiempo y responder adecuadamente. Las grabaciones de vídeo también pueden utilizarse como prueba para exigir una indemnización a los seguros según tipo de siniestro. Por sus ventajas para proteger los centros de datos en todo momento, las cámaras deben instalarse al menos en los puntos críticos para la operación y teniendo en cuenta la ruta que conduce al centro de datos principal, dentro de este y en todas las entradas y salidas que lo conformen.
Protección del hardware
En general, los centros de datos desempeñan un papel fundamental en las operaciones y la productividad de una organización. Albergan equipos caros y datos sensibles, lo que los hace vulnerables a diversas amenazas. La mayoría de las organizaciones se centran en la seguridad del software de los centros de datos. Sin embargo, una brecha en la seguridad física podría causar el robo de datos y daños a los dispositivos, para lo cual las medidas de seguridad virtuales son inútiles. Es importante implantar controles de seguridad física adecuados para garantizar un centro de datos seguro.
Elementos de bloqueo de puertos
Existen esencialmente tres tipos comunes de bloqueos aplicables a sistemas de video IP y seguridad:
Bloqueos de cables de red
Utilizados para bloquear el cable o patch cord en el puerto RJ45 de equipos como switches de red y equipos terminales de datos como routers, enlaces de fibra, módems etc. Estos dispositivos bloquean la pestaña de liberación del cable, evitando su desconexión.
Bloqueos de puertos RJ45
Evitan el acceso a puertos vacíos. Se insertan en puertos no utilizados y se bloquean en su lugar con una llave propietaria.
Bloqueos de puertos/cables USB
Bloquean dispositivos USB en sus puertos, evitando su desconexión. Son típicamente dispositivos de varios componentes que aseguran tanto el cable como el dispositivo.
Limitaciones
Los bloqueos de cables de red previenen desconexiones mal intencionadas o accidentales. Estos bloqueos impiden que la pestaña de liberación sea presionada para liberar el cable del puerto. Sin embargo, hay algunas limitaciones, para las conexiones a intemperie y cableado especial con terminaciones con cubierta o capucha.
Los bloqueos de cables como patch cord pueden no funcionar con algunos sistemas como el cableado para videovigilancia en ambientes externos teniendo en cuenta que estos deben ser a prueba de agua. Otros cables con “boots” o refuerzo para alivio mecánico de tensión pueden bloquear el funcionamiento del elemento de seguridad.
Dentro de las cajas de conexiones o gabinetes para cámaras como los domos PTZ los elementos de bloque pueden no caber dentro de estos espacios debido a limitaciones de espacio.
Mientras los bloqueos de cables aseguran los cables en uso, los puertos no utilizados también deben ser asegurados. Los bloqueos de puertos son insertados en conexiones físicas no utilizadas, como en NVRs, switches, midspans, jacks de pared o patch paneles. Algunos bloqueos de puertos son de un solo uso y deben ser destruidos para ser removidos, lo que hace evidente si un bloqueo ha sido removido o reemplazado.
Bloqueo de puertos USB
El acceso no autorizado también puede lograrse a través de puertos USB. Para mitigar esta amenaza, se pueden usar bloqueos de puertos y cables USB, ya sea para asegurar un puerto no utilizado o para prevenir la desconexión de un cable en uso. Los bloqueos de USB pueden darse de forma digital desde la configuración del sistema operativo del equipo pero en ocasiones se requiere el bloqueo físico que consiste en piezas plásticas o metálicas que aseguran tanto el cable como el dispositivo.
Herramientas
Los bloqueos que requieren herramientas de remoción propietarias ofrecen mejor seguridad, aunque pueden ser menos convenientes. Sin embargo, si la seguridad es una preocupación, se prefieren estos dispositivos sobre aquellos que pueden ser desbloqueados con herramientas comunes.
Elementos externos como factor de riesgo
La seguridad física de la red no puede centrarse en el diseño de edificios resistentes a un terremoto o en la instalación de alarmas electrónicas, además de definir mecanismos y políticas para la seguridad de la red debemos recordar que cada sitio es diferente, y por tanto también lo son sus necesidades de seguridad; de esta forma, no se pueden dar recomendaciones específicas sino pautas generales a tener en cuenta, y dentro de esta pautas están los aspectos a considerar para cada uno de estos factores de riesgos:
- Terremotos
- Tormentas eléctricas
- Inundaciones y humedad
- Desastres del entorno
- Electricidad
- Ruido eléctrico
- Incendios y humo
Aspectos como construcciones sólidas, con pisos y techos falsos para correcta conducción de cableado, puestas a tierra, sistemas de respaldo de energía, evitar interferencias electromagnéticas, implementación de sistemas de detección y supresión, así como el control y la supervisión de la temperatura de los centros de datos son cruciales.
Protección de los datos
Además proteger el hardware la política de seguridad debe incluir medidas de protección de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que la contiene.
La interceptación o eavesdropping, es un proceso mediante el cual un agente capta información que va dirigida a él; esta captación puede realizarse por muchísimos medios: sniffing en redes ethernet o inalámbricas (un dispositivo se pone en modo escucha y analiza todo el tráfico que pasa por la red), capturando radiaciones electromagnéticas (son elementos de alto valor, pero que permiten detectar teclas pulsadas, contenidos de pantallas, ...), etc.
El problema de este tipo de ataque es que en principio es completamente pasivo y en general difícil de detectar mientras se produce, de forma que un atacante puede capturar información privilegiada y claves que puede emplear para atacar de modo activo.
Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la única realmente útil es cifrar toda la información que viaja por la red (sea a través de cables o por el aire). En principio para conseguir esto se deberían emplear versiones seguras de los protocolos de uso común, siempre y cuando queramos proteger la información. Hoy en día casi todos los protocolos basados en TCP permiten usar una versión cifrada mediante el uso del TLS en conjunto con VPN.
Copias de seguridad
Es evidente que es necesario establecer una política adecuada de copias de seguridad en cualquier organización; al igual que sucede con el resto de equipos y sistemas, los medios donde residen estas copias tendrán que estar protegidos físicamente; de hecho se deben emplear medidas más fuertes, ya que en realidad es fácil que en un solo backup haya copias de la información contenida en varios servidores.
lo más recomendable es guardar las copias en una zona alejada de la sala de operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que se almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad alta y otras de uso frecuente que se almacenan en lugares más cercanos.
Para proteger más aún la información copiada se pueden emplear mecanismos de cifrado, de modo que la copia que se guarde no sirva de nada si no se dispone de la clave para recuperar los datos almacenados.
Diferencia entre seguridad de la red y ciberseguridad
Finalmente es importante aclarar que hay diferencias entre seguridad de la red y ciberseguridad. La seguridad de red podría considerarse un subtipo de ciberseguridad que se ocupa particularmente de la seguridad del perímetro digital de una organización, podríamos decir que es la que se ocupa por la seguridad dentro de los muros de una empresa, organización o incluso en nuestros hogares.
En conclusión la seguridad física en networking es un componente esencial para proteger la infraestructura de red contra amenazas físicas. Al implementar un enfoque integral que combine controles de acceso, protección ambiental, redundancia, y políticas claras, las organizaciones pueden reducir significativamente los riesgos asociados con daños físicos, robos y minimizar el impacto ante desastres naturales, asegurando la continuidad y la integridad de las operaciones de red.
Jairo Rojas Campo
Ing. Electrónico de la Pontificia Universidad Javeriana, especialista en Gerencia de Proyectos, con experiencia como líder de gestión de proyectos en varias empresas reconocidas del gremio de seguridad en el país desde el 2001. Cuenta con múltiples certificaciones en seguridad electrónica en las líneas de CCTV, sistemas de alarmas de intrusión, detección de incendio, controles de acceso, plataformas de integración entre otras.
Actualmente realiza actividades orientadas a la transferencia de su conocimiento y experiencia a equipos de trabajo del sector, realiza diseño y especificación de proyectos. Apasionado por el ciclismo de ruta y ciclo montañismo.
Solo usuarios registrados pueden realizar comentarios. Inicia sesión o Regístrate.