Soy nuevo en el campo de la seguridad, así que lo siento si esta pregunta te parece estúpida.
¿Cuáles son las principales diferencias entre el nivel de red y el nivel de aplicación con respecto a la seguridad de la información?
Una forma sencilla de pensar en ello es en términos de los dispositivos que tiene en su cocina; microondas, tostadora, licuadora. El "nivel de red" es la conexión. Tal vez la electricidad alimente los dispositivos en nuestro ejemplo. El "nivel de aplicación" es específico para la cosa, tal vez involucre lo que pones en el dispositivo o los botones que presionas.
Entonces, en nuestro ejemplo, un "ataque a nivel de red" sería algo así como cortar la energía o enviar el voltaje incorrecto. Un "ataque de nivel de aplicación" sería algo así como poner papel de aluminio en el microondas.
Si nuestro dispositivo fuera un servidor web, un ataque a nivel de aplicación sería algo así como la inyección de SQL. Un ataque a nivel de red sería algo así como un envenenamiento ARP.
A menudo, la distinción no cae directamente en ese sentido, y las personas son aficionadas al "Modelo OSI estándar" de la abstracción de la red cuando describen el comportamiento.
El modelo OSI describe la conexión, por lo que es técnicamente "red" de cualquier manera. Pero a menudo es útil hablar sobre ciertos aspectos de la red, en lugar de tratarla como algo opaco.
En ese modelo, la aplicación (HTTP, FTP, SMTP, IRC) es la capa 7 (y, a veces, 6, el modelo OSI no mapea directamente la implementación del mundo real). Es el idioma que hablan tus programas una vez que se establece una conexión. Un ataque en esta capa puede involucrar búferes de inundación o un bypass de autenticación.
Las capas 2 o 3 a 5 o 6 describen cómo obtener los datos correctamente a través de Internet. Implica IP, TCP, SSL y todos los bits fundamentales que normalmente describimos como "la red". Un ataque aquí podría implicar la reproducción de paquetes, redireccionar el tráfico o atacar el cifrado de flujo.
Las capas 1 y, a veces, 2 describen su conexión física; 1 es el voltaje real sobre su cable Ethernet o su modulación de radio a través de wifi o bluetooth, mientras que 2 es la forma en que se codifican los datos para obtenerlos con éxito desde su máquina hasta su enrutador. Un ataque en esta capa podría implicar cortar el cable, las claves WEP de fuerza bruta o la intercepción MITM del tráfico sin formato.
En general, cuando se habla de capas de red / aplicación, se habla de protocolos en capas en el modelo OSI de un Sistema de comunicación en red. La capa de red es la capa 3 y se ocupa de cómo enviar paquetes a través de una red (enrutamiento y reenvío). El principal protocolo de capa de red que se usa hoy en día es el protocolo de Internet (IP), específicamente IPv4 (aunque IPv6 está ganando más uso). Cuando su computadora en su dirección IP desea enviar paquetes a otra dirección IP, ésta y todos los enrutadores intermedios usan el protocolo de Internet para determinar a qué enlaces intermedios debe enviarse su paquete, de modo que se mueva hacia su destino.
El nivel de aplicación se encuentra en la parte superior de la pila de protocolos en capas, y es el protocolo al que se ajustan sus aplicaciones. Es decir, su navegador web entiende y habla HTTP, HTTP es un protocolo de capa de aplicación.
Concedido en una discusión de seguridad donde se diferencian los problemas de seguridad de la red de los problemas de seguridad de la aplicación, simplemente puede dividir los problemas de "aplicación" (hay un error explotable en esta aplicación) frente a los problemas de "red" (un atacante en la red puede espiar, manipulación indebida, o causa denegación de servicio utilizando servicios de red). En este sentido más amplio, "red" contendría cualquier problema de seguridad que surja de las capas 1-4 1 . Por ejemplo, los ataques como el espionaje público de wifi (basado en la capa física de escucha de las ondas de radio), la falsificación ARP (capa de enlace) o la inundación SYN (capa de transporte) serían ataques de red.
Los ataques de nivel de aplicación serían cosas como inyección de SQL, desbordamiento de pila / búfer, donde la aplicación recibe información de forma explotable debido a una mala lógica (o controles de seguridad insuficientes) por parte del desarrollador de la aplicación y no tiene nada que ver con las redes de computadoras.
1 Las capas importantes para Internet son:Capa 1 - Capa física: cómo codificar 1s y 0s usando procesos físicos en un medio específico (por ejemplo, wifi, Ethernet, etc.). Puede tratar temas de cómo detectar / prevenir colisiones.
Capa 2 - Capa de enlace: cómo proporcionar una conexión confiable entre dos computadoras conectadas directamente entre sí usando el mismo protocolo físico. (Por ejemplo, el enrutador wifi y la computadora portátil; o dos computadoras con un cable Ethernet entre ellas). Las direcciones MAC se utilizan para direccionar en la capa de enlace.
Capa 3 - Capa de red: cómo enviar un paquete a través de Internet potencialmente a través de muchas computadoras diferentes y posiblemente atravesar muchos tipos diferentes de capas de enlace. (Por ejemplo, wifi en su hogar, cable, fibra óptica en su ISP, cable, centro de datos con fibra óptica). Las direcciones en la capa de red son direcciones IP.
Capa 4 - Capa de transporte: cómo agrupar varios paquetes enviados a través de la red en un segmento y garantizar que el segmento se haya transportado de manera adecuada. Por ejemplo, con TCP, asegúrese de que haya un handshake SYN / ACK al inicio (validando las direcciones IP de origen / destino) y luego asegúrese de que todos los paquetes se hayan enviado en orden, asegúrese de que no está enviando a una velocidad inadecuada que congestione la red. , y que los remitentes reenvíen los paquetes faltantes de manera adecuada. (UDP es la capa de transporte alternativa a TCP, pero prácticamente no ofrece garantías, pero es más apropiado, por ejemplo, para VoIP en tiempo real). El direccionamiento en la capa de transporte es el número de puerto (un número entre 0-65535).
Capa 7 - Capa de aplicación: los datos de la red que su aplicación debe generar y analizar.
La Capa 5/6 (Sesión / Presentación) generalmente se integra en la capa de aplicación para el modelo TCP / IP. (Por ejemplo, el desarrollador de la aplicación abstrae la capa de presentación y la cookie de sesión se incluye en la capa de la aplicación).
Hay una buena presentación sobre esto que puede encontrar aquí .
La seguridad de la red habla más sobre las vulnerabilidades en la capa IP. Por ejemplo:
Mientras que la seguridad de la aplicación habla de:
tan simple como un solo mensaje que es "más largo de lo esperado", o como complejo como un largo diálogo donde una lista / orden inesperada de lo contrario Se intercambian los mensajes correctos.
Lea otras preguntas en las etiquetas web-application network terminology