Una descripción general del modelo OSI y sus amenazas de seguridad

El modelo de interconexión de sistemas abiertos (OSI) es un marco conceptual desarrollado por la Organización Internacional de Normalización (ISO). Ha estado en uso durante más de 40 años y se cita en todos los libros de redes informáticas. También es un recurso favorito para casi todos los exámenes de ciberseguridad. El modelo OSI está representado en siete capas que nos ayudan a comprender cómo se producen las comunicaciones entre los sistemas informáticos. Esto es beneficioso en la resolución de problemas relacionados con la red, ya que separa exclusivamente protocolos, servicios e interfaces de cada capa, y para que los fabricantes mantengan la compatibilidad con otras marcas al definir tecnologías.

A través de la progresión de la tecnología, los actores de amenazas han encontrado muchos métodos complejos para comprometer las redes. Con una comprensión de las funciones de cada capa OSI y sus vulnerabilidades, se podrían prevenir muchos ataques a la red.

Esta capa es responsable de la transmisión y recepción de flujos de bits sin procesar (los binarios 1 y 0) a través de medios físicos como cables, alambres y señales inalámbricas. Puede establecer, mantener y desactivar la conexión física. Sincroniza los bits de datos y define la velocidad de transmisión de datos y los modos de transmisión de datos, como los modos full-duplex y half-duplex. Los dispositivos que se utilizan en la capa física son cables como Ethernet, coaxial, fibra óptica y otros conectores.

Los ataques de denegación de servicio (DoS) están dirigidos a la capa física, ya que este es el hardware, la capa tangible del sistema. Los ataques DoS detienen todas las funciones de la red. Un ataque DoS se puede lograr cortando o desconectando físicamente los cables de red. Las vulnerabilidades de la capa física se pueden mitigar con medidas de seguridad física, como control de acceso, vigilancia por video, escudos de interferencia electromagnética a prueba de manipulaciones y el uso de enlaces redundantes.

Esta capa trabaja con flujos de información que se encapsulan en "tramas". Esta capa detecta y corrige errores en los datos, asegurando una transmisión confiable entre dispositivos de red a través de un enlace físico. Es responsable del intercambio de datos secuencial y consistente, el control de errores y el control de flujo. La comprobación de redundancia cíclica (CRC) supervisa las tramas perdidas, que luego se pueden retransmitir. Los dispositivos como puentes, conmutadores y controladores de interfaz de red (NIC) y protocolos como el Protocolo de resolución de direcciones (ARP), el Protocolo punto a punto (PPP), el Protocolo de árbol de expansión (STP), el Protocolo de control de agregación de enlaces (LACP) pertenecen a esta capa

Los ataques de la capa de enlace de datos se originan en la LAN interna (Red de área local), algunos de estos ataques son:

La capa de red opera en "paquetes", enrutándolos a través de dispositivos y redes. Gestiona la identificación y el direccionamiento de dispositivos lógicos, y realiza el enrutamiento eligiendo la ruta más corta y lógicamente más eficiente para reenviar los paquetes. Los enrutadores y conmutadores son los dispositivos más comunes asociados con esta capa. Los protocolos que funcionan en esta capa incluyen el Protocolo de Internet (IP), el Protocolo de mensajes de control de Internet (ICMP), el Protocolo de información de enrutamiento (RIP) y Abrir primero la ruta más corta (OSPF).

Los ataques en la capa de red se realizan a través de Internet, como los ataques DDoS, donde un enrutador es atacado y abrumado con solicitudes ilegítimas, lo que posteriormente lo inhabilita para aceptar solicitudes genuinas. Los controles de filtrado de paquetes y los mecanismos de seguridad, como las redes privadas virtuales (VPN), IPsec y los firewalls, son métodos comunes para limitar la posibilidad de ataques a la capa de red.

Esta capa establece una conexión punto a punto entre el origen y el destino, asegurando que los datos se transmitan en el orden correcto. También realiza control de flujo, control de errores, reensamblaje de datos y segmentación. El Protocolo de control de transmisión (TCP) y el Protocolo de datagramas de usuario (UDP) son ejemplos de protocolos de capa de transporte.

Los ataques en esta capa a menudo se realizan a través de puertos abiertos vulnerables identificados mediante el escaneo de puertos.

Esta capa es responsable de establecer, mantener y finalizar sesiones entre un dispositivo local y remoto. Es responsable de la sincronización y recuperación, agrega puntos de control durante la transmisión de datos. Si hay algún error de transmisión durante cualquier instancia, la transmisión se reanudará desde el último punto de control correcto.

Los ataques comunes en esta capa incluyen:

Esta capa es responsable de traducir los datos de un formato dependiente del remitente a un formato común que es entendido por la capa de aplicación. Por ejemplo, la traducción de diferentes conjuntos de caracteres, como ASCII a EBCDIC. Lo más importante desde una perspectiva de seguridad cibernética, esta capa maneja el cifrado y descifrado de datos. La compresión de datos para la transmisión de red también se gestiona en la capa de presentación. El secuestro de Secure Sockets Layer (SSL), también conocido como ataques de secuestro de sesión, ocurre en la capa de presentación. Las tecnologías de cifrado garantizan la confidencialidad e integridad de los datos durante la transmisión.

Esta capa proporciona servicios para el usuario final, como servicios de correo, servicios de directorio, transferencia, acceso y administración de archivos (FTAM). El Protocolo de transferencia de archivos (FTP), el Protocolo simple de administración de redes (SNMP), el Sistema de nombres de dominio (DNS), el Protocolo de transferencia de hipertexto (HTTP) y los protocolos de correo electrónico (SMTP, POP3, IMAP) son algunos ejemplos de protocolos de capa de aplicación.

Los ataques a la capa de aplicación son los más difíciles de defender porque aquí se encuentran muchas vulnerabilidades, ya que es la capa que está más expuesta al mundo exterior. El empleo de tecnologías de monitoreo de aplicaciones para detectar ataques de nivel 7 y de día cero, y la actualización regular de las aplicaciones son las mejores prácticas para proteger la capa de aplicaciones.

Los ataques cibernéticos más comunes ocurren en esta capa, incluidos virus, gusanos, caballos de Troya, ataques de phishing, ataques DDoS, inundaciones HTTP, inyecciones de SQL, secuencias de comandos entre sitios y muchos más.

El modelo OSI es una representación de cómo se producen las comunicaciones entre dispositivos. El modelo conceptual facilita la comprensión de cómo se transmiten los datos. En su complejo proceso, los actores de amenazas han encontrado formas de explotar y comprometer los sistemas. Es muy importante identificar el tipo de ataques y vulnerabilidades disponibles en cada capa e implementar estrategias de defensa adecuadas para proteger una red.

Dilki Rathnayake es una estudiante de Ciberseguridad que estudia para obtener su licenciatura (Hons) en Ciberseguridad y Análisis Forense Digital en la Universidad de Kingston. También es experta en seguridad de redes informáticas y administración de sistemas Linux. Ha llevado a cabo programas de concientización y se ha ofrecido como voluntaria para comunidades que defienden las mejores prácticas para la seguridad en línea. Mientras tanto, disfruta escribiendo artículos de blog para Bora y explorando más sobre la seguridad informática.

Nota del editor: Las opiniones expresadas en este artículo del autor invitado son únicamente del colaborador y no reflejan necesariamente las de Tripwire, Inc.