En cualquier organización, ya sea grande o pequeña, todos los datos no se crean igual. Algunos datos son rutinarios e incidentales, mientras otra información pueden ser muy sensibles, consecuentemente la perdida de estos podría causar un daño irreparable para una organización. Otra parte importante sobre la arquitectura de ciberseguridad es entender donde residen los datos, una vez pasan sobre la red hacia su destino. Este entendimiento nuevamente inicia con la arquitectura lógica. La mejor perspectiva a tomar es mirar en la propiedad intelectual.

Así como se necesita entender cuales componentes existen en la red, además de como todos estos se comportan y relacionan, es igual de importantemente crítico tener un entendimiento completo e integral sobre como las comunicaciones fluyen sobre la red. Sin esta comprensión los datos sensibles podrían ser transmitidos y almacenados incorrectamente, o incluso peor, abandonar completamente la red.

Un diseño físico incluye todos los principales sistemas y factores dentro de áreas de servicio previamente definidos, como también servicios, objetos, o soluciones de software específicos. Este es el nivel de diseño representando como las redes y todos sus componentes ser comportarán mientras están “sobre el papel”. El diseño físico es el último creado antes de se implemente el diseño de la red. Este diseño usualmente precede la implementación final, o es incluida y mejorada por el diseño final de implementación.

Un diseño lógico de red, desde el punto de vista de un arquitecto y usuario, representa como los datos pasan entre dispositivos sobre una red. Es de lejos más detallado comparado con el diseño conceptual, e inicia dividiendo como actualmente opera la red en el mundo real. El diseño lógico difiere de un diseño físico, en lo referente a no refleja las conexiones entre los cables físicos, las computadoras, y otros sistemas de red. Un ejemplo de este punto podría ser; el diseño físico podría especificar la forma de la topología de red, mientras un diseño lógico no.

El propósito clave de un diseño a alto nivel con una arquitectura de seguridad, es proporcionar una visión general del sistema completo, con el propósito de identificar los componentes principales a desplegarse. Esta tipo de visión general es críticamente importante, especialmente con algo tan completo como una red moderna. La puesta en funcionamiento de los componentes fundamentales de una red, requiere soporte y contribuciones desde muchas distintas disciplinas profesionales, cada una con un conjunto crítico de habilidades.

Diseño Conceptual

Mientras se realiza captura paquete utilizando Wireshark, a cada paquete se le define una marca de tiempo. Estas marcas de tiempo se guardarán en el archivo de captura, por lo cual estarán disponibles para su posterior análisis.

El formato para la presentación de la marca de tiempo y su precisión en la lista de paquetes se pueden elegir usando la opción “View → Time Display Format”.

Las marcas de tiempo, sus precisiones, y todo lo relacionado podría resultar algo confuso al inicio.

Una característica importante se relaciona con OPSEC (Seguridad Operacional). Por defecto Wireshark no realiza consultas DNS para cada dirección IP visualizada. Las razones para esto son probablemente minimizar el tráfico de red y carga sobre el sistema, pero desde la perspectiva forense se incluye la postura de seguridad sobre la actividad de análisis por si misma. Por esta razón es importante verificar este ajuste antes de iniciar la consulta de lo cual podría ser tráfico hostil.

Una funcionalidad muy útil algunas veces obviadas por un profesional forense, es cambiar la vista de los paneles para estar más confortables en requerimientos específicos. Esto frecuentemente es útil si la pantalla de un sistema tiene un tamaño reducido, o si si se está mostrando algo sobre una pantalla muy grande comparado con una estación de trabajo de único usuario. El profesional puede seleccionar cualquiera de las seis disposiciones para los paneles, como también cual información será mostrada en cada panel.

A continuación se presentan cuatro ejemplos separados sobre la utilización de Tcpdump.