What is Layer 7?

La capa 7 se refiere a la capa de aplicación en el modelo de red OSI. Es la capa superior de este modelo de red y se ocupa de protocolos estándar con los que los usuarios interactúan directamente, como el tráfico HTTP para la navegación sitio web.

Solicite una demostración Punto de referencia de seguridad NGFW de Miercom 2024

What is Layer 7?

El modelo OSI

El modelo de interconexión de sistemas abiertos (OSI) es un modelo conceptual de cómo se estructura el tráfico de red. Las siete capas del modelo OSI incluyen:

  1. Capa física: Mueve datos a través de un medio físico a través de electrones, luz, etc.
  2. Capa de enlace de datos: Transfiere datos entre nodos, gestionando el medio físico y corrección de errores. Ethernet es un protocolo de capa 2.
  3. Capa roja: Gestiona el direccionamiento y el enrutamiento de rojo para mover datos entre rojos. IP es un protocolo de capa 3.
  4. Capa de transporte: Emplea protocolos como TCP y UDP para transmitir datos entre sistemas y puede ofrecer corrección de errores.
  5. Capa de sesión: Gestiona las conexiones y sesiones entre dos computadoras.
  6. Capa de presentación: Realiza el cifrado, la compresión y el formateo de datos para garantizar que los datos se traduzcan correctamente entre la red y la aplicación.
  7. Capa de aplicación: Permite que la aplicación de software del usuario final envíe y reciba datos a través de la red.

Importancia de la capa 7

La capa 7 es la capa más alta del modelo OSI y se ocupa de las aplicaciones que interactúan directamente con el usuario.

Los niveles de aplicación más bajos del modelo OSI se preocupan por garantizar que los datos lleguen a donde deben ir y tengan el formato adecuado. La capa 7 es donde operan las aplicaciones que interactúan con el usuario. Por ejemplo, al navegar por el sitio web, un usuario empleará el protocolo sitio web HTTPS para comunicar con el servidor sitio web remoto.

HTTPS es un protocolo de capa 7 cuyo tráfico se encapsula dentro de protocolos de capa inferior, como:

  • TCP
  • QUIC
  • IP
  • Ethernet

Estos protocolos son responsables de garantizar que los datos pasen de una aplicación particular en el equipo cliente a una aplicación particular en el servidor, mientras que HTTPS transporta los datos reales que hacen que la sesión de navegación sitio web funcione.

Equilibrio de carga en la capa 7

Una organización puede optar por implementar el equilibrio de carga en la capa 7 del modelo OSI. Esto significa que el tráfico legítimo de una sola aplicación se distribuye a través de varios servidores diferentes, lo que garantiza que no estén sobrecargados.

Por lo tanto, el equilibrio de carga mejora el rendimiento general de la aplicación. Desde la perspectiva del usuario, todos los servidores detrás de un equilibrador de carga de capa 7 son indistinguibles, ya que tendrían la misma dirección IP pública y los mismos números de puerto. Sin embargo, el equilibrador de carga puede enrutar el tráfico a los servidores en función de la utilización.

Además, el equilibrador de carga puede emplear cookies u otra información incluida en las solicitudes para garantizar que el tráfico de la misma sesión vaya al mismo servidor, lo que permite el almacenamiento en caché y optimiza el servicio.

El equilibrio de carga también puede ocurrir en la capa 4, la capa de transporte del modelo OSI. En este caso, diferentes servidores ascendentes emplearían diferentes puertos TCP/UDP , lo que permitiría a un equilibrador de carga enviar rápidamente tráfico de la misma sesión al mismo servidor sin inspeccionar su contenido real. Sin embargo, este enfoque ofrece un control menos granular sobre las sesiones enviadas a cada servidor backend.

Protección contra ataques DDoS

La capa 7 también es relevante en el contexto de los ataques de denegación de servicio distribuido (DDoS). En los ataques DDoS a la capa de aplicación, una botnet controlada por el atacante intenta hacer que un servicio objetivo no esté disponible para los usuarios y clientes. Los ataques DDoS pueden ocurrir en múltiples capas diferentes del modelo OSI. Un enfoque es intentar abrumar un sistema con el gran volumen de solicitudes.

Estos ataques operan en las capas 3 (roja) y 4 (transporte) del modelo OSI. Por ejemplo, un ataque de inundación SYN agota el número de sesiones TCP que un servidor mantiene abiertas a la vez.

Inundación SYN

Un SYN Flood es un tipo de ataque DDoS que satura un servidor con solicitudes de conexión, lo que hace que el servidor no esté disponible para los clientes legítimos.

  • Normalmente, un cliente envía un mensaje SYN (Synchronize) a un servidor, para aplicar una conexión a un servidor.
  • El servidor reconoce esta solicitud enviando un mensaje SYN-ACK al cliente.
  • A continuación, el cliente normalmente responde con un ACK (reconocimiento) y se establece la conexión.

Sin embargo, en el caso de los ataques SYN Flood, el atacante DDoS envía un aluvión de solicitudes SYN al servidor, pero no responde deliberadamente con un ACK final a ninguno de los mensajes SYN-ACK enviados por el servidor.  Como resultado, el servidor se queda atascado esperando un gran volumen de respuestas ACK que nunca llegan del cliente.

Este proceso abruma los limitados recursos informáticos de los servidores, ya que están atados tratando de gestionar un gran volumen de conexiones medio abiertas. Esta es la razón por la que los ataques SYN Flood también se conocen como "ataques semiabiertos".

Ataque DDoS de capa 7

Los ataques DDoS de capa 7 están diseñados para explotar vulnerabilidades y cuellos de botella en aplicaciones o servicios particulares. Por ejemplo, los ataques de inundación HTTP intentan enviar a un servidor sitio web más solicitudes HTTP de las que puede manejar. Esto puede ser sustancialmente menor que el número de sesiones TCP simultáneas que puede manejar, lo que lo convierte en un ataque más eficiente.

Los diferentes tipos de ataques DDoS deben manejar en diferentes capas OSI. Si bien muchos firewalls de aplicaciones pueden manejar ataques de capa 3/4, la protección contra ataques de capa 7 requiere un firewall de capa 7 que inspeccione y comprenda los datos de la capa de aplicación.

Soluciones Check Point y el modelo OSI

Las compañías pueden sufrir ciberataques que operan en múltiples capas diferentes del modelo OSI. Por ejemplo, los ataques DDoS se pueden realizar en las capas 3, 4 o 7. Cada uno de estos tipos de ataques funciona de manera diferente, y una solución de seguridad de red que brinde protección solo en las capas 3 y 4 será ciega a los ataques que ocurran en la capa 7.

Check Point Firewall de última generación (NGFWs) proporciona protección en múltiples capas del modelo OSI, incluida la capacidad de inspeccionar y comprender las cargas útiles de paquetes rojos para ofrecer protección de capa de aplicación. Obtenga más información sobre la protección de capa 7 que proporciona Check Point Quantum Force NGFWs registrar para una demostración gratis.

x
  Comentarios
This website uses cookies for its functionality and for analytics and marketing purposes. By continuing to use this website, you agree to the use of cookies. For more information, please read our Cookies Notice.
Aceptar