Seguridad Perimetral en Redes Ip

SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

INTRODUCCIN.
La seguridad ha sido el principal concerniente a tratar cuando una organizacin
desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios,
se ha incrementado el numero de usuarios de redes privadas por la demanda del
acceso a los servicios de Internet tal es el caso del World Wide Web (WWW),
Internet Mail (e-mail), elnet, ! "ile rans#er $rotocol ("$). %dicionalmente los
corporativos buscan las venta&as 'ue o#recen las paginas en el WWW ! los
servidores "$ de acceso publico en el Internet.
Los administradores de red tienen 'ue incrementar todo lo concerniente a la
seguridad de sus sistemas, debido a 'ue se e(pone la organizacin privada de sus
datos as) como la in#raestructura de sus red a los *(pertos de Internet (Internet
Crakers). $ara superar estos temores ! proveer el nivel de proteccin re'uerida, la
organizacin necesita seguir una pol)tica de seguridad para prevenir el acceso no-
autorizado de usuarios a los recursos propios de la red privada, ! protegerse contra
la e(portacin privada de in#ormacin. odav)a, aun si una organizacin no esta
conectada al Internet, esta deber)a establecer una pol)tica de seguridad interna para
administrar el acceso de usuarios a porciones de red ! proteger sensitivamente la
in#ormacin secreta.
1
1. SEGURIDAD PERIMETRAL EN REDES IP (FIREWALLS Y DISPOSITIVOS L3
Y L4)
1.1. SEGURIDAD INFORMTICA
La seguridad in#orm+tica consiste en asegurar 'ue los recursos del sistema de
in#ormacin (material in#orm+tico o programas) de una organizacin sean utilizados
de la manera 'ue se decidi ! 'ue el acceso a la in#ormacin all) contenida, as)
como su modi#icacin, slo sea posible a las personas 'ue se encuentren
acreditadas ! dentro de los l)mites de su autorizacin.
La ma!or)a de las empresas su#ren la problem+tica de seguridad debido a sus
necesidades de acceso ! conectividad con,
Internet.
-onectividad mundial.
.ed corporativa.
%cceso .emoto.
$roveedores.
Obje!"#$ %e &' $e()*!%'% !+,#*-.!/'
/eneralmente, los sistemas de in#ormacin inclu!en todos los datos de una
compa0)a ! tambi1n en el material ! los recursos de so#t2are 'ue permiten a una
compa0)a almacenar ! hacer circular estos datos. Los sistemas de in#ormacin son
#undamentales para las compa0)as ! deben ser protegidos.
/eneralmente, la seguridad in#orm+tica consiste en garantizar 'ue el material ! los
recursos de so#t2are de una organizacin se usen 3nicamente para los propsitos
para los 'ue #ueron creados ! dentro del marco previsto.
La seguridad in#orm+tica se resume, por lo general, en cinco ob&etivos principales,
I+e(*!%'%, garantizar 'ue los datos sean los 'ue se supone 'ue son
C#+,!%e+/!'&!%'%, asegurar 'ue slo los individuos autorizados tengan
acceso a los recursos 'ue se intercambian
D!$0#+!b!&!%'%, garantizar el correcto #uncionamiento de los sistemas de
in#ormacin
E"!'* e& *e/1'2#, garantizar de 'ue no pueda negar una operacin
realizada.
A)e+!/'/!3+, asegurar 'ue slo los individuos autorizados tengan acceso a
los recursos
2
I+e(*!%'%
La veri#icacin de la integridad de los datos consiste en determinar si se han alterado
los datos durante la transmisin (accidental o intencionalmente).
C#+,!%e+/!'&!%'%
L' /#+,!%e+/!'&!%'% consiste en hacer 'ue la in#ormacin sea ininteligible para
a'uellos individuos 'ue no est1n involucrados en la operacin.
D!$0#+!b!&!%'%
*l ob&etivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.
N# *e0)%!#
E"!'* e& *e0)%!# de in#ormacin constitu!e la garant)a de 'ue ninguna de las partes
involucradas pueda negar en el #uturo una operacin realizada.
A)e+!/'/!3+
La autenticacin consiste en la con#irmacin de la identidad de un usuario4 es decir,
la garant)a para cada una de las partes de 'ue su interlocutor es realmente 'uien
dice ser. 5n control de acceso permite (por e&emplo gracias a una contrase0a
codi#icada) garantizar el acceso a recursos 3nicamente a las personas autorizadas.
CMO IMPLEMENTAR UNA POL4TICA DE SEGURIDAD
/eneralmente, la seguridad de los sistemas in#orm+ticos se concentra en garantizar
el derecho a acceder a datos ! recursos del sistema con#igurando los mecanismos
de autenti#icacin ! control 'ue aseguran 'ue los usuarios de estos recursos slo
posean los derechos 'ue se les han otorgado.
Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los
usuarios. -on #recuencia, las instrucciones ! las reglas se vuelven cada vez m+s
complicadas a medida 'ue la red crece. $or consiguiente, la seguridad in#orm+tica
debe estudiarse de modo 'ue no evite 'ue los usuarios desarrollen usos necesarios
! as) puedan utilizar los sistemas de in#ormacin en #orma segura.
$or esta razn, uno de los primeros pasos 'ue debe dar una compa0)a es de#inir
una 0#&5!/' %e $e()*!%'% 'ue pueda implementar en #uncin a las siguientes
cuatro etapas,
Identi#icar las necesidades de seguridad ! los riesgos in#orm+ticos 'ue
en#renta la compa0)a as) como sus posibles consecuencias
3
$roporcionar una perspectiva general de las reglas ! los procedimientos 'ue
deben implementarse para a#rontar los riesgos identi#icados en los di#erentes
departamentos de la organizacin
-ontrolar ! detectar las vulnerabilidades del sistema de in#ormacin, !
mantenerse in#ormado acerca de las #alencias en las aplicaciones ! en los
materiales 'ue se usan
6e#inir las acciones a realizar ! las personas a contactar en caso de detectar
una amenaza
La pol)tica de seguridad comprende todas las reglas de seguridad 'ue sigue una
organizacin (en el sentido general de la palabra). $or lo tanto, la administracin de
la organizacin en cuestin debe encargarse de de#inirla, !a 'ue a#ecta a todos los
usuarios del sistema.
La seguridad in#orm+tica de una compa0)a depende de 'ue los empleados
(usuarios) aprendan las reglas a trav1s de sesiones de capacitacin ! de
concientizacin. Sin embargo, la seguridad debe ir m+s all+ del conocimiento de los
empleados ! cubrir las siguientes +reas,
5n mecanismo de seguridad #)sica ! lgica 'ue se adapte a las necesidades
de la compa0)a ! al uso de los empleados
5n procedimiento para administrar las actualizaciones
5na estrategia de realizacin de copias de seguridad (bac7up) plani#icada
adecuadamente
5n plan de recuperacin luego de un incidente
5n sistema documentado actualizado
1.6. SEGURIDAD PERIMETRAL
4
Al conectar la red de la empresa a Internet, los
recursos internos de IT podran ser accesibles
desde cualquier parte del mundo. Como
consecuencia de lo anterior, la empresa puede ser
el blanco de piratas informticos que aprovechan
los puntos vulnerables de las redes, de cdigos
maliciosos de infeccin involuntaria por parte de
empleados que se despla!an con frecuencia.
La seguridad perimetral la componen los e'uipos 'ue regulan los accesos a la red
desde redes e(ternas, ! 'ue b+sicamente deben satis#acer tres necesidades
#undamentales.
La seguridad perimetral es la correcta implementacin de los e'uipos de seguridad
'ue controlan ! protegen todo el tr+#ico ! contenido de entrada ! salida entre todos
los puntos de cone(in o el per)metro de la red a trav1s de una correcta de#inicin
de las pol)ticas de seguridad ! una robusta con#iguracin de los dispositivos de
proteccin, no limit+ndose slo al #iltrado de tr+#ico a ba&o nivel, sino tambi1n a nivel
de aplicacin, como a trav1s de pasarelas de correo o pro(is 2eb.
La seguridad perimetral basa su #iloso#)a en la proteccin de todo el sistema
in#orm+tico de una empresa desde 8#uera8, es decir, establecer una coraza 'ue
prote&a todos los elementos sensibles #rente amenazas diversas como virus,
gusanos, tro!anos, ata'ues de denegacin de servicio, robo o destruccin de datos,
hac7eo de p+ginas 2eb corporativas, etc1tera.
oda esta tipolog)a de amenazas posibles ha #omentado una divisin de la
proteccin perimetral en dos vertientes, a nivel de red, en el 'ue podemos encontrar
los riesgos 'ue representan los ata'ues de hac7ers, las intrusiones o el robo de
in#ormacin en las cone(iones remotas4 ! a nivel de contenidos, en donde se
engloban las amenazas 'ue constitu!en los virus, gusanos, tro!anos, sp!2are,
phishing ! dem+s clases de mal2are, el spam o correo basura ! los contenidos 2eb
no apropiados para las compa0)as. *sta clara divisin unida al modo de evolucin
de las amenazas en los 3ltimos a0os ha propiciado 'ue el mercado de seguridad
perimetral se centrase en la creacin de dispositivos dedicados a uno u otro #in
6. SEGURIDAD PERIMETRAL EN REDES E7TERNAS
5
%gregado de hard2are, so#t2are ! pol)ticas para proteger una red en la 'ue se
tiene con#ianza (intranet) de otras redes en las 'ue no se tiene
con#ianza(e(tranet, internet)
Su ob&etivo es centralizar el control de acceso para mantener a los intrusos #uera,
permitiendo 'ue la gente de dentro traba&e normalmente.
La seguridad perimetral,
9o es un componente aislado , es una estrategia para poder proteger los
recursos de una organizacin conectada a la red
*s la realizacin practica de la pol)tica de seguridad de una organizacin. Sin
una pol)tica de seguridad, la seguridad perimetral no sirve de nada.
6.1. -ondiciona la credibilidad de una organizacin en internet
6.6. FILTRADO DE PA8UETES(FIREWALLS9 PRO7YS9 PASARELAS)
-ual'uier router I$ utiliza reglas de #iltrado para reducir la carga de la red4 por
e&emplo, se descartan pa'uetes cu!o L ha llegado a cero, pa'uetes con un
control de errores errneos, o simplemente tramas de broadcast. %dem+s de estas
aplicaciones, el #iltrado de pa'uetes se puede utilizar para implementar di#erentes
pol)ticas de seguridad en una red4 el ob&etivo principal de todas ellas suele ser
evitar el acceso no autorizado entre dos redes, pero manteniendo intactos los
accesos autorizados. Su #uncionamiento es habitualmente mu! simple, se analiza
la cabecera de cada pa'uete, ! en #uncin de una serie de reglas establecidas de
antemano la trama es blo'ueada o se le permite seguir su camino4 estas reglas
suelen contemplar campos como el protocolo utilizado (-$, 56$, I-M$...), las
direcciones #uente ! destino, ! el puerto destino, lo cual !a nos dice 'ue el fire"all
ha de ser capaz de traba&ar en los niveles de red (para discriminar en #uncin de las
direcciones origen ! destino) ! de transporte (para hacerlo en #uncin de los
puertos usados). %dem+s de la in#ormacin de cabecera de las tramas, algunas
implementaciones de #iltrado permiten especi#icar reglas basadas en la inter#az del
6
router por donde se ha de reenviar el pa'uete, ! tambi1n en la inter#az por donde
ha llegado hasta nosotros
C3-# $e e$0e/!,!/'+ '&e$ *e(&'$: /eneralmente se e(presan como una simple
tabla de condiciones ! acciones 'ue se consulta en orden hasta encontrar una
regla 'ue permita tomar una decisin sobre el blo'ueo o el reenv)o de la trama4
adicionalmente, ciertas implementaciones permiten indicar si el blo'ueo de un
pa'uete se noti#icar+ a la m+'uina origen mediante un mensa&e I-M$
Siempre hemos de tener presente el orden de an+lisis de las tablas para poder
implementar la pol)tica de seguridad de una #orma correcta4 cuanto m+s comple&as
sean las reglas ! su orden de an+lisis, m+s di#)cil ser+ para el administrador
comprenderlas. Independientemente del #ormato, la #orma de generar las tablas
depender+ obviamente del sistema sobre el 'ue traba&emos, por lo 'ue es
indispensable consultar su documentacin
$or e&emplo, imaginemos una hipot1tica tabla de reglas de #iltrado de la siguiente
#orma,
:rigen 6estino ipo $uerto %ccion
----------------------------------------------------------------------
;<=.>?.@.@ A A A 6en!
A ;B<.<?.CC.@ A A 6en!
;<=.>C.@.@ A A A %llo2
A ;B?.CC.?>.@ A A 6en!
Si al corta#uegos donde est+ de#inida la pol)tica anterior llegara un pa'uete
proveniente de una m+'uina de la red ;<=.>?.@.@ se blo'uear)a su paso, sin
importar el destino de la trama4 de la misma #orma, todo el tr+#ico hacia la red
;B<.<?.CC.@ tambi1n se detendr)a. $ero, D'u1 suceder)a si llega un pa'uete de un
sistema de la red ;<=.>C.@.@ hacia ;B?.CC.?>.@E 5na de las reglas nos indica 'ue
de&emos pasar todo el tr+#ico proveniente de ;<=.>C.@.@, pero la siguiente nos dice
'ue si el destino es ;B?.CC.?>.@ lo blo'ueemos sin importar el origen. *n este caso
depende de nuestra implementacin particular ! el orden de an+lisis 'ue siga, si se
comprueban las reglas desde el principio, el pa'uete atravesar)a el corta#uegos, !a
'ue al analizar la tercera entrada se #inalizar)an las comprobaciones4 si operamos
al rev1s, el pa'uete se blo'uear)a por'ue leemos antes la 3ltima regla. -omo
podemos ver, ni si'uiera en nuestra tabla - mu! simple - las cosas son obvias, por
lo 'ue si e(tendemos el e&emplo a un fire"all real podemos hacernos una idea de
hasta 'ue punto hemos de ser cuidadosos con el orden de las entradas de nuestra
tabla.
Fu1 suceder)a si, con la tabla del e&emplo anterior, llega un pa'uete 'ue no cumple
ninguna de nuestras reglasE *l sentido com3n nos dice 'ue por seguridad se
7
deber)a blo'uear, pero esto no siempre sucede as)4 di#erentes implementaciones
e&ecutan di#erentes acciones en este caso. %lgunas deniegan el paso por de#ecto,
otras aplican el contario de la 3ltima regla especi#icada (es decir, si la 3ltima
entrada era un %llo2 se niega el paso de la trama, ! si era un 6en! se permite),
otras de&an pasar este tipo de tramas...6e cual'uier #orma, para evitar problemas
cuando uno de estos datagramas llega al corta#uegos, lo me&or es insertar siempre
una regla por de#ecto al #inal de nuestra lista - recordemos una vez m+s la cuestin
del orden - con la accin 'ue deseemos realizar por de#ecto4 si por e&emplo
deseamos blo'uear el resto del tr+#ico 'ue llega al fire"all con la tabla anterior, !
suponiendo 'ue las entradas se analizan en el orden habitual, podr)amos a0adir a
nuestra tabla la siguiente regla,
:rigen 6estino ipo $uerto %ccion
----------------------------------------------------------------------
A A A A 6en!
La especi#icacin incorrecta de estas reglas constitu!e uno de los problemas de
seguridad habituales en los corta#uegos de #iltrado de pa'uetes4 no obstante, el
ma!or problema es 'ue un sistema de #iltrado de pa'uetes es incapaz de analizar
(! por tanto veri#icar) datos situados por encima del nivel de red :SI. % esto se le
a0ade el hecho de 'ue si utilizamos un simple router como #iltro, las capacidades
de registro de in#ormacin del mismo suelen ser bastante limitadas, por lo 'ue en
ocasiones es di#)cil la deteccin de un ata'ue4 se puede considerar un mecanismo
de prevencin m+s 'ue de deteccin. $ara intentar solucionar estas - ! otras
vulnerabilidades - es recomendable utilizar aplicaciones soft"are capaces de #iltrar
las cone(iones a servicios4 a dichas aplicaciones se les denomina pro#ies de
aplicacin, ! las vamos a comentar en el punto siguiente.
6.6.1. FIREWALLS
5n "ire2all en Internet es un sistema o grupo de sistemas 'ue
impone una pol)tica de seguridad entre la organizacin de red
privada ! el Internet. *l #ire2all determina cual de los servicios
de red pueden ser accesados dentro de esta por los 'ue est+n
#uera, es decir 'uien puede entrar para utilizar los recursos de
red pertenecientes a la organizacin. $ara 'ue un #ire2all sea
e#ectivo, todo tra#ico de in#ormacin a trav1s del Internet deber+ pasar a trav1s
del mismo donde podr+ ser inspeccionada la in#ormacin. *l #ire2all podr+
3nicamente autorizar el paso del tra#ico, ! el mismo podr+ ser inmune a la
penetracindesa#ortunadamente, este sistema no puede o#recer proteccin
alguna una vez 'ue el agresor lo traspasa o permanece entorno a este.
8
5n /#*',)e(#$ (o firewall en ingl1s) es una parte de un sistema o una red 'ue
est+ dise0ado para blo'uear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas. Se trata de un dispositivo o con&unto de
dispositivos con#igurados para permitir, limitar, ci#rar, desci#rar, el tr+#ico entre los
di#erentes +mbitos sobre la base de un con&unto de normas ! otros criterios.
Los corta#uegos pueden ser implementados en hard2are o so#t2are, o una
combinacin de ambos. Los corta#uegos se utilizan con #recuencia para evitar
'ue los usuarios de Internet no autorizados tengan acceso a redes privadas
conectadas a Internet, especialmente intranets. odos los mensa&es 'ue entren o
salgan de la intranet pasan a trav1s del corta#uegos, 'ue e(amina cada mensa&e
! blo'uea a'uellos 'ue no cumplen los criterios de seguridad especi#icados.
ambi1n es #recuente conectar al corta#uegos a una tercera red, llamada !ona
desmilitari!ada o 6MG, en la 'ue se ubican los servidores de la organizacin 'ue
deben permanecer accesibles desde la red e(terior. 5n corta#uegos
correctamente con#igurado a0ade una proteccin necesaria a la red, pero 'ue en
ning3n caso debe considerarse su#iciente. La seguridad in#orm+tica abarca m+s
+mbitos ! m+s niveles de traba&o ! proteccin.
Beneficios de un firewall en Internet
Los #ire2alls en Internet administran los accesos posibles del Internet a la red
privada. Sin un #ire2all, cada uno de los servidores propios del sistema se e(ponen
al ata'ue de otros servidores en el Internet. *sto signi#ica 'ue la seguridad en la red
privada depende de la 86ureza8 con 'ue cada uno de los servidores cuenta ! es
3nicamente seguro tanto como la seguridad en la #ragilidad posible del sistema.
*l #ire2all permite al administrador de la red de#inir un 8cho7e point8 (envudo),
manteniendo al margen los usuarios no-autorizados (tal, como., hac7ers, cra7ers,
v+ndalos, ! esp)as) #uera de la red, prohibiendo potencialmente la entrada o salida al
vulnerar los servicios de la red, ! proporcionar la proteccin para varios tipos de
ata'ues posibles. 5no de los bene#icios clave de un #ire2all en Internet es 'ue a!uda
a simpli#icar los traba&os de administracin, una vez 'ue se consolida la seguridad en
9
el sistema #ire2all, es me&or 'ue distribuirla en cada uno de los servidores 'ue
integran nuestra red privada.
*l #ire2all o#rece un punto donde la seguridad puede ser monitoreada ! si aparece
alguna actividad sospechosa , este generara una alarma ante la posibilidad de 'ue
ocurra un ata'ue, o suceda alg3n problema en el transito de los datos. *sto se podr+
notar al acceder la organizacin al Internet, la pregunta general es 8si8 pero 8cuando8
ocurrir+ el ata'ue. *sto es e(tremadamente importante para 'ue el administrador
audite ! lleve una bit+cora del tra#ico signi#icativo a trav1s del #ire2all. ambi1n, si el
administrador de la red toma el tiempo para responder una alarma ! e(amina
regularmente los registros de base. *sto es innecesario para el #ire2all, desde 'ue el
administrador de red desconoce si ha sido e(itosamente atacado
-oncentra la seguridad
-entraliza los accesos
/enera alarmas de seguridad
raduce direcciones (9%)
Monitorea ! registra el uso de Servicios de WWW ! "$.
Internet.
L!-!'/!#+e$ %e )+ ,!*e;'&&
5n #ire2all no puede protegerse contra a'uellos ata'ues 'ue se e#ect3en #uera de su
punto de operacin.
$or e&emplo, si e(iste una coneccion dial-out sin restricciones 'ue permita entrar a
nuestra red protegida, el usuario puede hacer una coneccion SLI$ o $$$ al Internet.
Los usuarios con sentido com3n suelen 8irritarse8 cuando se re'uiere una
autenticacin adicional re'uerida por un "ire2all $ro(! server ("$S) lo cual se
puede ser provocado por un sistema de seguridad circunvecino 'ue esta incluido en
una cone(in directa SLI$ o $$$ del IS$.
*ste tipo de cone(iones derivan la seguridad provista por #ire2all construido
cuidadosamente, creando una puerta de ata'ue. Los usuarios pueden estar
consientes de 'ue este tipo de cone(iones no son permitidas como parte de integral
de la ar'uitectura de la seguridad en la organizacin.
10
I&)$*'/!3+ <3 C#+e=!3+ C!*/)+"e/!+' A& F!*e;'&& De I+e*+e.
*l #ire2all no puede protegerse de las amenazas a 'ue esta sometido por traidores o
usuarios inconscientes. *l #ire2all no puede prohibir 'ue los traidores o esp)as
corporativos copien datos sensitivos en dis'uettes o tar&etas $-M-I% ! substraigan
estas del edi#icio.
*l #ire2all no puede proteger contra los ata'ues de la 8Ingenier)a Social8, por
e&emplo un Hac7er 'ue pretende ser un supervisor o un nuevo empleado despistado,
persuade al menos so#isticado de los usuarios a 'ue le permita usar su contrase0a
al servidor del corporativo o 'ue le permita el acceso 8temporal8 a la red.
$ara controlar estas situaciones, los empleados deber)an ser educados acerca de
los varios tipos de ata'ue social 'ue pueden suceder, ! a cambiar sus contrase0as
si es necesario peridicamente.
*l #ire2all no puede protegerse contra los ata'ues posibles a la red interna por virus
in#ormativos a trav1s de archivos ! so#t2are. :btenidos del Internet por sistemas
operativos al momento de comprimir o descomprimir archivos binarios, el #ire2all de
Internet no puede contar con un sistema preciso de S-%9 para cada tipo de virus
'ue se puedan presentar en los archivos 'ue pasan a trav1s de el.
La solucin real esta en 'ue la organizacin debe ser consciente en instalar so#t2are
anti-viral en cada despacho para protegerse de los virus 'ue llegan por medio de
dis'uettes o cual'uier otra #uente.
"inalmente, el #ire2all de Internet no puede protegerse contra los ata'ues posibles
en la trans#erencia de datos, estos ocurren cuando apar1ntente datos inocuos son
enviados o copiados a un servidor interno ! son e&ecutados despachando un ata'ue.
6.6.6. PRO7YS
11
*n el conte(to de las redes in#orm+ticas, el t1rmino pro(! hace
re#erencia a un programa o dispositivo 'ue realiza una accin en
representacin de otro. Su #inalidad m+s habitual es la de servidor
pro(!, 'ue sirve para permitir el acceso a Internet a todos los
e'uipos de una organizacin cuando slo se puede disponer de un
3nico e'uipo conectado, esto es, una 3nica direccin I$.
5n pro(! permite a otros e'uipos conectarse a una red de #orma indirecta a trav1s
de 1l. -uando un e'uipo de la red desea acceder a una in#ormacin o recurso, es
realmente el pro(! 'uien realiza la comunicacin ! a continuacin traslada el
resultado al e'uipo inicial. *n unos casos esto se hace as) por'ue no es posible la
comunicacin directa ! en otros casos por'ue el pro(! a0ade una #uncionalidad
adicional, como puede ser la de mantener los resultados obtenidos (p.e&., una p+gina
2eb) en una cach1 'ue permita acelerar sucesivas consultas coincidentes. -on esta
denominacin general de pro(! se agrupan diversas t1cnicas.
5n pro(! es un programa o dispositivo 'ue realiza una tarea acceso a Internet en
lugar de otro ordenador. 5n pro(! es un punto intermedio entre un ordenador
conectado a Internet ! el servidor 'ue est+ accediendo. -uando navegamos a trav1s
de un pro(!, nosotros en realidad no estamos accediendo directamente al servidor,
sino 'ue realizamos una solicitud sobre el pro(! ! es 1ste 'uien se conecta con el
servidor 'ue 'ueremos acceder ! nos devuelve el resultado de la solicitud.
-uando nos conectamos con un pro(!, el servidor al 'ue accedemos en realidad
recibe la solicitud del pro(!, en vez de recibirla directamente desde nuestro
ordenador. $uede haber sistemas pro(! 'ue interceptan diversos servicios de
Internet. Lo m+s habitual es el pro(! 2eb, 'ue sirve para interceptar las cone(iones
con la 2eb ! puede ser 3til para incrementar la seguridad, rapidez de navegacin o
anonimato.
*l pro(! 2eb es un dispositivo 'ue suele estar m+s cerca de nuestro ordenador 'ue
el servidor al 'ue estamos accediendo. *ste suele tener lo 'ue denominamos una
cach1, con una copia de las p+ginas 2eb 'ue se van visitando. *ntonces, si varias
personas 'ue acceden a Internet a trav1s del mismo pro(! acceden al primer sitio
2eb, el pro(! la primera vez accede #)sicamente al servidor destino, solicita la p+gina
! la guarda en la cach1, adem+s de enviarla al usuario 'ue la ha solicitado.
*n sucesivos accesos a la misma in#ormacin por distintos usuarios, el pro(! slo
comprueba si la p+gina solicitada se encuentra en la cach1 ! no ha sido modi#icada
desde la 3ltima solicitud. *n ese caso, en lugar de solicitar de nuevo la p+gina al
servidor, env)a al usuario la copia 'ue tiene en la cach1. *sto me&ora el rendimiento
o velocidad de la cone(in a Internet de los e'uipos 'ue est+n detr+s del pro(!.
12
:tro caso t)pico de uso de un pro(! es para navegar annimamente. %l ser el pro(!
el 'ue accede al servidor 2eb, el pro(! puede o no decir 'ui1n es el usuario 'ue lo
est+ utilizando. *l servidor 2eb puede entonces tener constancia de 'ue lo est+n
accediendo, pero puede 'ue piense 'ue el usuario 'ue lo accede es el propio pro(!,
en lugar del usuario real 'ue ha! detr+s del pro(!. Ha! pro(ies annimos ! los ha!
'ue s) in#orman del usuario real 'ue est+ conectado a trav1s del 1l.
5tilizar un pro(! tambi1n tiene sus desventa&as, como posibilidad de recibir
contenidos 'ue no est+n actualizados, tener 'ue gestionar muchas cone(iones !
resultar un cuello de botella, o el abuso por personas 'ue deseen navegar
annimamente. ambi1n el pro(! puede ser un limitador, por no de&ar acceder a
trav1s su!o a ciertos protocolos o puertos.
6.6.3. PASARELAS
5na 0'$'*e&' %e '0&!/'/!3+ (('e;'>) es un sistema de
hard2areIso#t2are para conectar dos redes entre s) ! para 'ue
#uncionen como una inter#az entre di#erentes protocolos de red.
-uando un usuario remoto contacta la pasarela, 1sta e(amina su
solicitud. Si dicha solicitud coincide con las reglas 'ue el
administrador de red ha con#igurado, la pasarela crea una cone(in entre las dos
redes. $or lo tanto, la in#ormacin no se transmite directamente, sino 'ue se traduce
para garantizar una continuidad entre los dos protocolos.
*l sistema o#rece (adem+s de una inter#az entre dos tipos de redes di#erentes),
seguridad adicional, dado 'ue toda la in#ormacin se inspecciona minuciosamente
(lo cual puede generar demora) ! en ocasiones se guarda en un registro de eventos.
*stos dispositivos est+n pensados para #acilitar el acceso entre sistemas o entornos
soportando di#erentes protocolos. :peran en los niveles m+s altos del modelo de
re#erencia :SI (9ivel de ransporte, Sesin, $resentacin ! %plicacin) ! realizan
conversin de protocolos para la intercone(in de redes con protocolos de alto nivel
di#erentes.
Los gate2a!s inclu!en los J niveles del modelo de re#erencia :SI, ! aun'ue son
m+s caros 'ue un bridge o un router, se pueden utilizar como dispositivos
universales en una red corporativa compuesta por un gran n3mero de redes de
di#erentes tipos.
Los gate2a!s tienen ma!ores capacidades 'ue los routers ! los bridges por'ue no
slo conectan redes de di#erentes tipos, sino 'ue tambi1n aseguran 'ue los datos de
una red 'ue transportan son compatibles con los de la otra red. -onectan redes de
di#erentes ar'uitecturas procesando sus protocolos ! permitiendo 'ue los
13
dispositivos de un tipo de red puedan comunicarse con otros dispositivos de otro tipo
de red.
% continuacin se describen algunos tipos de gate2a!s,
G'e;'> '$5+/*#+# Sistema 'ue permite a los usuarios de ordenadores
personales acceder a grandes ordenadores (main#rames) as)ncronos a trav1s
de un servidor de comunicaciones, utilizando l)neas tele#nicas conmutadas o
punto a punto. /eneralmente est+n dise0ados para una in#raestructura de
transporte mu! concreta, por lo 'ue son dependientes de la red.
G'e;'> SNA $ermite la cone(in a grandes ordenadores con ar'uitectura
de comunicaciones S9% (S!stem 9et2or7 %rchitecture, %r'uitectura de
Sistemas de .ed), actuando como terminales ! pudiendo trans#erir #icheros o
listados de impresin.
G'e;'> TCP?IP *stos gate2a!s proporcionan servicios de comunicaciones
con el e(terior v)a .%L o W%9 ! tambi1n #uncionan como inter#az de cliente
proporcionando los servicios de aplicacin est+ndares de -$II$.
G'e;'> PAD 7.6@ Son similares a los as)ncronos4 la di#erencia est+ en 'ue
se accede a los servicios a trav1s de redes de conmutacin de pa'uetes
K.C<.
G'e;'> FA7 Los servidores de "a( proporcionan la posibilidad de enviar !
recibir documentos de #a(.
Ve+'j'$:
Simpli#ican la gestin de red.
$ermiten la conversin de protocolos.
De$"e+'j'$:
Su gran capacidad se traduce en un alto precio de los e'uipos.
La #uncin de conversin de protocolos impone una sustancial sobrecarga en
el gate2a!, la cual se traduce en un relativo ba&o rendimiento. 6ebido a esto,
un gate2a! puede ser un cuello de botella potencial si la red no est+
optimizada para mitigar esta posibilidad.
6.3. SISTEMA DE DETECCIN Y PREVENCIN DE INTRUSIONES
5n S!$e-' %e P*e"e+/!3+ %e I+*)$#$ (IPS) es un dispositivo 'ue e&erce el
control de acceso en una red in#orm+tica para proteger a los sistemas
computacionales de ata'ues ! abusos. La tecnolog)a de $revencin de Intrusos
14
es considerada por algunos como una e(tensin de los Sistemas de 6eteccin
de Intrusos (I6S), pero en realidad es otro tipo de control de acceso, m+s
cercano a las tecnolog)as corta#uegos.
Los I$S #ueron inventados de #orma independiente por Led Haile ! Mern $a(on
para resolver ambigNedades en el monitoreo pasivo de redes de computadoras,
al situar sistemas de detecciones en la v)a del tr+#ico. Los I$S presentan una
me&ora importante sobre las tecnolog)as de corta#uegos tradicionales, al tomar
decisiones de control de acceso basados en los contenidos del tr+#ico, en lugar
de direcciones I$ o puertos. iempo despu1s, algunos I$S #ueron
comercializados por la empresa :ne Secure, la cual #ue #inalmente ad'uirida por
9etScreen echnologies, 'ue a su vez #ue ad'uirida por Luniper 9et2or7s en
C@@>. 6ado 'ue los I$S #ueron e(tensiones literales de los sistemas I6S,
contin3an en relacin.
ambi1n es importante destacar 'ue los I$S pueden actuar al nivel de e'uipo,
para combatir actividades potencialmente maliciosas.
*l t1rmino I6S (%istema de deteccin de intrusiones) hace re#erencia a un
mecanismo 'ue, sigilosamente, escucha el tr+#ico en la red para detectar actividades
anormales o sospechosas, ! de este modo, reducir el riesgo de intrusin.
*(isten dos claras #amilias importantes de I6S,
*l grupo N<IDS (%istema de deteccin de intrusiones de red), 'ue garantiza la
seguridad dentro de la red.
*l grupo A<IDS (%istema de deteccin de intrusiones en el host), 'ue
garantiza la seguridad en el host.
5n 9-I6S necesita un hard2are e(clusivo. Oste #orma un sistema 'ue puede
veri#icar pa'uetes de in#ormacin 'ue via&an por una o m+s l)neas de la red para
descubrir si se ha producido alguna actividad maliciosa o anormal. *l 9-I6S pone
uno o m+s de los adaptadores de red e(clusivos del sistema en modo promiscuo.
Oste es una especie de modo 8invisible8 en el 'ue no tienen direccin I$. ampoco
tienen una serie de protocolos asignados. *s com3n encontrar diversos I6S en
di#erentes partes de la red. $or lo general, se colocan sondas #uera de la red para
estudiar los posibles ata'ues, as) como tambi1n se colocan sondas internas para
analizar solicitudes 'ue ha!an pasado a trav1s del #ire2all o 'ue se han realizado
desde dentro.
15
*l H-I6S se encuentra en un host particular. $or lo tanto, su so#t2are cubre una
amplia gama de sistemas operativos como Windo2s, Solaris, Linu(, H$-5K, %i(, etc.
*l H-I6S act3a como un daemon o servicio est+ndar en el sistema de un host.
radicionalmente, el H-I6S analiza la in#ormacin particular almacenada en registros
(como registros de sistema, mensa&es, lastlogs ! 2tmp) ! tambi1n captura pa'uetes
de la red 'ue se introducenIsalen del host para poder veri#icar las se0ales de
intrusin (como ata'ues por denegacin de servicio, puertas traseras, tro!anos,
intentos de acceso no autorizado, e&ecucin de cdigos malignos o ata'ues de
desbordamiento de b3#er).
TB/+!/'$ %e %ee//!3+
*l tr+#ico en la red (en todo caso, en Internet) generalmente est+ compuesto por
datagramas de I$. 5n 9-I6S puede capturar pa'uetes mientras estos via&an a trav1s
de las cone(iones #)sicas a las 'ue est+ su&eto. 5n 9-I6S contiene una lista -$II$
'ue se aseme&a a los datagramas de I$ ! a las cone(iones -$. $uede aplicar las
siguientes t1cnicas para detectar intrusiones,
;. Ve*!,!/'/!3+ %e &' &!$' %e 0*##/#&#$, %lgunas #ormas de intrusin, como
8$ing de la muerte8 ! 8escaneo silencioso TC$8 utilizan violaciones de los
protocolos I$, -$, 56$ e I-M$ para atacar un e'uipo. 5na simple
veri#icacin del protocolo puede revelar pa'uetes no v+lidos e indicar esta
t+ctica com3nmente utilizada.
C. Ve*!,!/'/!3+ %e &#$ 0*##/#&#$ %e &' /'0' %e '0&!/'/!3+, %lgunas #ormas de
intrusin emplean comportamientos de protocolos no v+lidos, como
8Win9u7e8, 'ue utiliza datos 9etPI:S no v+lidos (al agregar datos #uera de la
banda). $ara detectar e#icazmente estas intrusiones, un 9-I6S debe haber
implementado una amplia variedad de protocolos de la capa de aplicacin,
como 9etPI:S, -$II$, etc.
*sta t1cnica es r+pida (el 9-I6S no necesita e(aminar la base de datos de
#irmas en su totalidad para secuencias de b!tes particulares) ! es tambi1n
m+s e#iciente, !a 'ue elimina algunas #alsas alarmas. $or e&emplo, al analizar
16
protocolos, 9-I6S puede di#erenciar un 8Pac7 :ri#ice $I9/8 (ba&o peligro) de
un 8Pac7 :ri#ice -:M$.:MIS*8 (alto peligro).
?. Re/#+#/!-!e+# %e ''C)e$ %e D/#-0'*'/!3+ %e 0'*#+e$D, *sta t1cnica
de reconocimiento de intrusin es el m1todo m+s antiguo de an+lisis 9-I6S !
todav)a es de uso #recuente.
-onsiste en la identi#icacin de una intrusin al e(aminar un pa'uete !
reconocer, dentro de una serie de b!tes, la secuencia 'ue corresponde a una
#irma espec)#ica. $or e&emplo, al buscar la cadena de caracteres 8cgi-binIph#8,
se muestra un intento de sacar provecho de un de#ecto del script -/I 8ph#8.
*ste m1todo tambi1n se utiliza como complemento de los #iltros en
direcciones I$, en destinatarios utilizados por cone(iones ! puertos de origen
!Io destino. *ste m1todo de reconocimiento tambi1n se puede re#inar si se
combina con una sucesin o combinacin de indicadores -$.
*sta t+ctica est+ di#undida por los grupos 9-I6S 89et2or7 /rep8, 'ue se
basan en la captura de pa'uetes originales dentro de una cone(in
supervisada ! en su posterior comparacin al utilizar un analizador de
8e(presiones regulares8. Oste intentar+ hacer coincidir las secuencias en la
base de #irmas b!te por b!te con el contenido del pa'uete capturado.
6.4. REDES PRIVADAS VIRTUALES
*s una red privada 'ue se e(tiende, mediante un proceso de encapsulacin ! en su
caso de encriptacin, de los pa'uetes de datos a distintos puntos remotos mediante
el uso de unas in#raestructuras p3blicas de transporte.
Los pa'uetes de datos de la red privada via&an por medio de un 8t3nel8 de#inido en la
red p3blica. (ver #igura siguiente)
17
*n la #igura anterior (#igura C) se muestra como via&an los datos a traves de una M$9
!a 'ue el servidor dedicado es del cual parten los datos, llegando a #ire2all 'ue hace
la #uncin de una pared para enga0ar a los intrusos a la red, despues los datos
llegan a nube de internet donde se genera un t3nel dedicado unicamente para
nuestros datos para 'ue estos con una velocidad garantizada, con un ancho de
banda tambien garantizado ! lleguen a su vez al #ire2all remoto ! terminen en el
servidor remoto.
Las M$9 pueden enlazar mis o#icinas corporativas con los socios, con usuarios
mviles, con o#icinas remotas mediante los protocolos como internet, I$, Ipsec,
"rame .ela!, %M como lo muestra la #igura siguiente.
Te/+#&#(5' %e E+e&
Las redes privadas virtuales crean un t3nel o conducto de un sitio a otro para
trans#erir datos a esto se le conoce como encapsulacin adem+s los pa'uetes van
encriptados de #orma 'ue los datos son ilegibles para los e(tra0os.
*l servidor busca mediante un ruteador la direccin I$ del cliente M$9 ! en la red de
transito se envian los datos sin problemas.
18
@. ReC)e*!-!e+#$ b.$!/#$ %e )+' VPN
$or lo general cuando se desea implantar una M$9 ha! 'ue asegurarse 'ue esta
proporcione,
Identi#icacin de usuario %dministracin de direcciones -odi#icacin de datos
%dministracin de claves Soporte a protocolos m3ltiples Identi#icacin de usuario
La M$9 debe ser capaz de veri#icar la identidad de los usuarios ! restringir el acceso
a la M$9 a a'uellos usuarios 'ue no est1n autorizados. %s) mismo, debe
proporcionar registros estad)sticos 'ue muestren 'uien acceso, 'ue in#ormacin !
cuando.
%dministracin de direcciones La M$9 debe establecer una direccin del cliente en
la red privada ! debe cerciorarse 'ue las direcciones privadas se conserven as).
-odi#icacin de datos Los datos 'ue se van a transmitir a traves de la red p3blica
deben ser previamente encriptados para 'ue no puedan ser le)dos por clientes no
autorizados de la red.
%dministracin de claves La M$9 debe generar ! renovar las claves de codi#icacin
para el cliente ! el servidor.
Soporte a protocolos m3ltiples La M$9 debe ser capaz de mane&ar los protocolos
comunes 'ue se utilizan en la red p3blica. *stos inclu!en el protocolo de internet(I$),
el intercambio de pa'uete de internet(I$K) entre otros.
F. Ve+'j'$ %e )+' VPN
6entro de las venta&as m+s signi#icativas podremos mencionar la integridad,
con#idencialidad ! seguridad de los datos. .educcin de costos.
Sencilla de usar. Sencilla instalacin del cliente en cual'uier $- Windo2s.
-ontrol de %cceso basado en pol)ticas de la organizacin Herramientas de
diagnostico remoto. Los algoritmos de compresin optimizan el tr+#ico del cliente.
*vita el alto costo de las actualizaciones ! mantenimiento a las $-Qs remotas.
3. RED INTERNA
3.1. CORTAFUEGOS PERSONALES
8%e usa un cortafuegos personal para sellar canales de comunicacin no usados
reducir el acceso concedido a los programas slo para lo estrictamente necesario,
como el envo la recepcin de mensa&es la navegacin por Internet8, e(plica el
pro#esor 9orbert $ohlmann, director del Instituto alem+n de Seguridad en Internet,
con sede en /elsen7irchen. 8'na computadora no asegurada es como un pu(ado
19
de monedas sobre una mesa en medio de una pradera. 'n fire"all personal es
como una casa construida en torno a esa mesa8, contin3a.
Los -orta#uegos personales son programas 'ue se instalan de #orma residente en
nuestra computadora ! 'ue permiten #iltrar ! controlar la cone(in a la red. *n
general necesitan un conocimiento adecuado de nuestra computadora, pues en la
actualidad son muchos los programas 'ue realizan cone(iones a la red ! 'ue son
necesarios. *s por ello 'ue no son recomendables para usuarios ine(pertos !a 'ue
podr)an blo'uear programas necesarios (incluso hasta la propia posibilidad de
navegacin por Internet), aun'ue siempre se tenga a mano la posibilidad de
desactivarlos.
La instalacin de un -orta#uegos re'uiere adem+s un proceso de 8entrenamiento
para usarlo8 !a 'ue al principio deberemos ir elaborando las reglas de acceso en
#uncin del empleo 'ue le damos a la red. %s) lo normal es 'ue nuestro "I.*W%LL
$ersonal nos pregunte 'ue si 'ueremos dar permiso a distintos programas de red a
medida 'ue los usamos. *sto al principio puede resultar un poco complicado o
incluso hasta molesto.
5n "I.*W%LL $ersonal no impide por s) solo 'ue entren tro!anos, virus ! gusanos a
nuestro sistema. Lo ideal es 'ue tambi1n tengamos instalado un buen antivirus
residente en memoria, actualizado ! bien con#igurado. %dicionalmente es deseable
tener al d)a todas las actualizaciones de Seguridad de Microso#t 'ue se re'uieran.
%hora bien, no necesariamente nos servir+ para evitar 'ue ingresen a nuestro
sistema contenidos no deseados.
*n general, &unto con un antivirus lo 'ue debe esperar de un buen "I.*W%LL
$ersonal son las siguientes caracter)sticas,
;.- Fue prote&a su sistema de acceso no autorizado a trav1s de Internet.
C.- -apacidad de alertar de intentos de intrusin ! mantener un registro para seguir
sus pistas. -ierto grado de proteccin #rente a virus a trav1s del correo electrnico.
?.- Plo'ueo de contenido peligroso en Internet, applets de Lava, controles %ctiveK,
coo7ies, etc. "iltrado al nivel de aplicacin para cone(iones hacia el e(terior (usadas
por caballos de ro!a). -ierta #acilidad de instalacin, con#iguracin ! uso.
ANTIVIRUS
20
-on el transcurso del tiempo, la aparicin de sistemas operativos m+s avanzados e
Internet, los antivirus han evolucionado hacia programas m+s avanzados 'ue no
slo buscan detectar un Mirus in#orm+ticos, sino blo'uearlo, desin#ectar ! prevenir
una in#eccin de los mismos, as) como actualmente !a son capaces de reconocer
otros tipos de mal2are, como sp!2are, root7its, etc.
*l #uncionamiento de un antivirus var)a de uno a otro, aun'ue su comportamiento
normal se basa en contar con una lista de virus conocidos ! su #ormas de
reconocerlos (las llamadas #irmas o vacunas), ! analizar contra esa lista los archivos
almacenados o transmitidos desde ! hacia un ordenador.
%dicionalmente, muchos de los antivirus actuales han incorporado #unciones de
deteccin proactiva, 'ue no se basan en una lista de mal2are conocido, sino 'ue
analizan el comportamiento de los archivos o comunicaciones para detectar cu+les
son potencialmente da0inas para el ordenador, con t1cnicas como Heur)stica, HI$S,
etc.
5sualmente, un antivirus tiene un (o varios) componente residente en memoria 'ue
se encarga de analizar ! veri#icar todos los archivos abiertos, creados, modi#icados,
e&ecutados ! transmitidos en tiempo real, es decir, mientras el ordenador est+ en
uso.
%simismo, cuentan con un componente de an+lisis ba&o demando (los conocidos
scanners, e(ploradores, etc), ! mdulos de proteccin de correo electrnico,
Internet, etc.
*l ob&etivo primordial de cual'uier antivirus actual es detectar la ma!or cantidad de
amenazas in#orm+ticas 'ue puedan a#ectar un ordenador ! blo'uearlas antes de 'ue
la misma pueda in#ectar un e'uipo, o poder eliminarla tras la in#eccin.
%ctualmente ha! una gran ma!oria de antivirus pero no todos se aseme&an al
pretendido por todos, un antivirus e#icaz en todos los sentidos.
Se()*!%'% -B#%#$ %e 0*#e//!3+
ener en cuenta este reto, es el primer paso para obtener seguridad. *(isten
m3ltiples medios de intentar combatir el problema. Sin embargo debemos ser
realistas. -on#orme nuevos programas ! sistemas operativos se introduzcan en el
mercado m+s di#)cil va a ser tener controlados a todos ! m+s sencillo va a ser 'ue a
alguien se le ocurran nuevas #ormas de in#ectar el sistema.
%nte este tipo de problemas est+n los so#t2ares llamados antivirus. *stos antivirus
tratan de descubrir las trazas 'ue ha de&ado un so#t2are malicioso, para eliminarlo o
detectarlo, ! en algunos casos contener o parar la contaminacin.
21
Los m1todos para contener o reducir los riesgos asociados a los virus pueden ser
los denominados activos o pasivos.
A+!"!*)$ ('/!"#)
*stos programas como se ha mencionado tratan de encontrar la traza de los
programas maliciosos mientras el sistema este #uncionando.
ratan de tener controlado el sistema mientras #unciona parando las v)as conocidas
de in#eccin ! noti#icando al usuario de posibles incidencias de seguridad.
-omo programa 'ue est1 continuamente #uncionando, el antivirus tiene un e#ecto
adverso sobre el sistema en #uncionamiento. 5na parte importante de los recursos
se destinan al #uncionamiento del mismo. %dem+s dado 'ue est+n continuamente
comprobando la memoria de la ma'uina, dar m+s memoria al sistema no me&ora las
prestaciones del mismo.
:tro e#ecto adverso son los ,'&$#$ 0#$!!"#$, es decir al noti#icar al usuario de
posibles incidencias en la seguridad, 1ste 'ue normalmente no es un e(perto de
seguridad se acostumbra a dar al botn de ')#*!2'* a todas las acciones 'ue le
noti#ica el sistema. 6e esta #orma el antivirus #uncionando da una sensacin de ,'&$'
$e()*!%'%.
T!0#$ %e "'/)+'$
CA:S3&# %ee//!3+, Son vacunas 'ue solo detectan archivos in#ectados sin
embargo no pueden eliminarlos o desin#ectarlos.
CA:Dee//!3+ > %e$!+,e//!3+, son vacunas 'ue detectan archivos
in#ectados ! 'ue pueden desin#ectarlos.
CA:Dee//!3+ > 'b#*# %e &' '//!3+, son vacunas 'ue detectan archivos
in#ectados ! detienen las acciones 'ue causa el virus
CG:C#-0'*'/!3+ 0#* ,!*-'$, son vacunas 'ue comparan las #irmas de
archivos sospechosos para saber si est+n in#ectados.
CG:C#-0'*'/!3+ %e $!(+')*e %e '*/1!"#, son vacunas 'ue comparan las
signaturas de los atributos guardados en tu e'uipo.
CG:P#* -B#%#$ 1e)*5$!/#$, son vacunas 'ue usan m1todos heur)sticos
para comparar archivos.
CC:I+"#/'%# 0#* e& )$)'*!#, son vacunas 'ue se activan instant+neamente
con el usuario.
22
CC:I+"#/'%# 0#* &' '/!"!%'% %e& $!$e-', son vacunas 'ue se activan
instant+neamente por la actividad del sistema 2indo2s (pIvista
3.6. SISTEMA OPERATIVO Y GESTIN DE CONFIGURACIN
odo el mundo desea 'ue los Sistemas :perativos sean 8seguros8, pero en todos los
sistemas operativos ha! agu&eros de seguridad, otra cosa es 'ue no se conozcan.
%'u) no vo! a e(poner una lista de algunos de estos agu&eros, !a 'ue para eso !a
est+n las p+ginas de hac7er o de seguimiento de #allos.
Cmo se consiguen evitar los agujeros de seguridad:
E"!'+%# e& /#+'/# %!*e/# /#+ &' -.C)!+': Ra 'ue cuando se puede tener
acceso a 1sta, se puede modi#icar su con#iguracin, tanto por programas (virus,
programas servidores, cra'ueadores, desensambladores, buscadores de claves...),
como por mecanismos #)sicos (destrozando la bios, cortocircuitando, creando
sectores de#ectuosos...).
S! $e '//e%e 0#* e&+e # 0#* #*# $e*"!/!# %e *e%: ener un buen sistema de
claves, ! 'ue al #ichero de claves no se pueda tener acceso de ninguna #orma.
*(cepto claro el administrador o superusuario. %dem+s si los usuarios son invitados
o annimos, restringirle al m+(imo sus derechos, ! como caso e(tremo hasta la
escritura. %parte de 'ue no puedan e&ecutar los programas 'ue ellos 'uieran en
nuestro sistema. * incluso evitando 'ue usen los compiladores 'ue pueda haber en
el sistema (virus, #ormateos, scripts...). R es m+s, no poder entrar nadie ni cambiarse
a superususario o administrador, para no tener acceso a toda la m+'uina &am+s.
-errar los servicios de red 'ue no se necesiten o evitar el acceso a alguno de ellos a
horas 'ue no est+ el administrador del sistema.
9o olvidarse de un buen #ire2all.
S!$e-' %e '*/1!"#$: Ha! 'ue tener un buen sistema de archivos, 'ue controle a
trav1s del sistema operativo, el acceso a un #ichero. 9ada de claves independientes
de #ichero, por 'ue lo 3nico 'ue se consigue es olvidar las claves o poner la misma
en todas, con lo cual es un gran #allo.
C*!0#(*',5': *s un m1todo m+s para proteger partes de #icheros, o el #ichero
entero. *n principio no lo veo necesario a menos 'ue se traten de datos mu!
importantes. Ra 'ue se puede perder la clave ! no se podr+ recuperar, como se
puede recuperar las de los usuarios del sistema operativo.
C#0!'$ %e& $!$e-' 0e*!#%!/'$: *s necesario 'ue se e#ectuen copias de seguridad
periodicas, para 'ue ante un posible ata'ue, ! caida del sistema se pueda restaurar
23
el sistema en un corto espacio de tiempo, no sin antes mirar los 8logs8, para intentar
corregir el #allo, ! atrapar a elIlos culpableIs.
3.3. AUDITORIA
5na auditor)a de seguridad consiste en apo!arse en un tercero de con#ianza
(generalmente una compa0)a 'ue se especializada en la seguridad in#orm+tica) para
validar las medidas de proteccin 'ue se llevan a cabo, sobre la base de la pol)tica
de seguridad.
*l ob&etivo de la auditor)a es veri#icar 'ue cada regla de la pol)tica de seguridad se
apli'ue correctamente ! 'ue todas las medidas tomadas con#ormen un todo
coherente.
5na auditor)a de seguridad garantiza 'ue el con&unto de disposiciones tomadas por
la empresa se consideren seguras.
6esa#ortunadamente para muchas empresas la cuestin de la auditor)a ! seguridad
in#orm+tica es un asunto no prioritario. $or tratarse de 8algo 'ue no se ve8 las
empresas no destinan presupuesto para mantener niveles m)nimos de seguridad en
sus instalaciones in#orm+ticas. $ara 'u1 gastar dinero en algo 'ue 8no urge8 . . .
%lgunas empresas hacen 8algo8 slo cu+ndo tienen el problema encima ! ha! 'ue
entregar S!aT resultados. Se dan cuenta 'ue 8algo8 no #uncion o #uncion mal, 'ue
no lo previnieron. %ct3an cuando supieron 'ue alguien viol sus instalaciones ! con
ello la con#idencialidad de su in#ormacin por no hablar de la seguridad e integridad
de la misma. 9o supieron prevenir el hecho 'ue en ocasiones puede ser tan
lamentable al resultar da0ada su imagen ! su in#ormacin.
*val3e sus sistemas peridicamente, revise 'u1 tan e#iciente ! e#ectivo son los
controles in#orm+ticos 'ue tiene implantados, haga auditor)a de sistemas ! de la
seguridad in#orm+tica.
9o espere a tener sorpresas 'ue le ocasionen m+s gasto del 'ue 8cree8 'ue implica
la prevencin 'ue signi#ica el invertir en una auditor)a de sistemas ! de la seguridad
de su in#ormacin.
24

Seguridad Perimetral en Redes Ip

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad Perimetral en Redes Ip

Uploaded by

Copyright:

Available Formats

SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS

PROF. ARMAS FISI - UNMSM

You might also like