Professional Documents
Culture Documents
iesgos, Polticas y
Herramientas de
Seguridad en Redes
Edwin Montoya n
69
Riesgos, Polticas y Herramientas de Seguridad en Redes
70
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
un sistema de seguridad, el cual incorpora Aunque son varios los elementos que
herramientas de criptografa, cortafuegos conforman un sistema informtico, es la
(Firewalls), monitoreo, auditora y hasta INFORMACIN el recurso ms preciado sobre
esquemas proactivos que permita adelan- el cual se enfoca todos los esfuerzos para
tarse a los ataques y prevenirlos. asegurar un nivel aceptable de seguridad. Por
esto, se definen los objetivos bsicos de la
Es responsabilidad de los diseadores y seguridad de la informacin:
administradores de los sistemas compu-
tacionales, proveer la suficiente garanta
1. Confidencialidad: Asegurar que la infor-
y confiabilidad que permita operar en
macin no est expuesta o revelada a
las mejores condiciones y lograr un
funcionamiento continuo de los sistemas personas no autorizadas.
bajo el mejor clima de confianza de los 2. Integridad: Asegurar consistencia de los
usuarios, garantizando el respeto por datos, en particular prevenir la creacin,
niveles adecuados de confidencialidad e alteracin o borrado de datos de entidades
integridad de la informacin que se
no autorizadas.
procesa.
3. Disponibilidad: Asegurar que los usuarios
legtimos no obtengan acceso denegado a su
informacin y recursos
El objetivo de este artculo es mostrar los
4. Uso legtimo: Asegurar que los recursos no
peligros o amenazas que poseen los sistemas,
sean usados por personas no autorizadas o
cmo disear polticas adecuadas de seguridad
en formas no autorizadas.
y las herramientas disponibles para implantar
proyectos de seguridad, en los cuales las
Para soportar estos objetivos se definen las
tcnicas de criptografa para el montaje
Polticas de Seguridad que regirn en nuestro
de servicios acompaados con cortafuegos
dominio de seguridad. Estas polticas deben ser
y otros elementos, ayudan a ofrecer servicios
definidas en varias categoras: acceso fsico,
seguros an en ambientes hostiles como
seguridad en la comunicacin, computadoras,
el de Internet.
sistemas operativos, bases de datos, aplica-
1. AMENAZAS Y ATAQUES ciones, personal, ambiente natural, respaldos,
planes de contingencias, etc.
Para analizar el contexto de la seguridad
en redes, se define un Sistema Informtico Una Amenaza es una persona, entidad, evento
como un conjunto de elementos hardware, o idea que plantea algn dao a un activo.
software, datos/informacin y personal que
hacen posible el almacenamiento, proceso y Un Ataque es una realizacin de una amenaza.
transmisin de la informacin con el objetivo
de realizar una determinada tarea. Todos Una Proteccin son los controles fsicos,
estos elementos son susceptibles de ser mecanismos, polticas y procedimientos que
atacados y sobre ellos tenemos una serie de protegen los activos o recursos de las
amenazas. amenazas.
71
Riesgos, Polticas y Herramientas de Seguridad en Redes
72
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
fundamentales. Por ejemplo si consideramos importar que pase por muchos sistemas
la amenaza fundamental de fugas de intermedios.
informacin podemos encontrar varias
amenazas subyacentes, tales como: Servicio de control de acceso: Protege contra
acceso no autorizado o manipulacin de
Escuchar sin autorizacin recursos. Contribuye directamente a lograr las
Anlisis de trfico metas de seguridad de confidencialidad,
Indiscrecin por personal
integridad, disponibilidad y uso legtimo. El
Reciclaje de medios.
modelo general para un control de acceso
asume un conjunto de entidades activas
Segn estadsticas obtenidas, las siguientes
llamadas Sujetos (Iniciadores) los cuales
amenazas o tipos de ataque ms predomi-
intentan acceder un miembro de un con-
nantes son:
junto de recursos pasivos llamadas Objetos
Violacin con autorizacin (Destinos).
Suplantacin
Sobrepasar los controles Servicio de confidencialidad: Protege que la
Caballos de Troya y puertas traseras. informacin sea divulgada o distribuida a
entidades no autorizadas. Se distinguen dos
2. SERVICIOS DE SEGURIDAD tipos de confidencialidad:
73
Riesgos, Polticas y Herramientas de Seguridad en Redes
Servicio de no repudio: Protege que propicio para ser atacado, debido a que su
cualquiera de las dos entidades que participen cdigo ha sido ampliamente difundido y
en una comunicacin nieguen que el se conocen muchos detalles de su implemen-
intercambio ha ocurrido. A diferencia de los tacin.
anteriores servicios, el objetivo de ste es
proteger a los usuarios de la comunicacin
contra amenazas del otro usuario legtimo Una de las principales causas tcnicas de
ms que de atacantes. Cada una de las partes violaciones a sistemas informticos son
generados por las fallas intencionales o
posee pruebas irrefutables ante desacuerdos
accidentales de los sistemas operacionales.
del origen o destino de los datos. Sin embargo
La mayora de los sistemas operacionales
la provisin de este servicio debe considerar el comerciales y de dominio pblico presentan
concurso de una tercera parte que ambos altas deficiencias en su base de seguridad,
extremos de una comunicacin confan. ya que no fueron diseados con este
Podemos distinguir dos casos: objetivo como primordial sino que han sido
agregados como mdulos independientes.
74
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
75
Riesgos, Polticas y Herramientas de Seguridad en Redes
y servicios desea proteger, de tal manera que Una poltica de seguridad en un sitio es
est preparado para conectar su red con el requerida para establecer a lo largo de la
resto del mundo. Esto implica el estudio y organizacin un programa de cmo usuarios
definicin de los aspectos necesarios para la internos y externos interactan con la red
planeacin de la seguridad de la red, anlisis de computadores de la empresa, cmo se
de riesgos, identificacin de recursos y implementar la arquitectura de la topo-
amenazas, uso de la red y responsabilidades, loga de red y dnde se localizarn los
planes de accin o contingencia, etc.
puntos especiales de atencin en cuanto
a proteccin se refiere.
3.1 DEFINICIN
Para lograr un efectivo control sobre todos los La definicin de una
Una poltica de
componentes que conforman la red y asegurar poltica de seguridad de
seguridad es un con- que su conectividad a otras redes no es algo frgil,
red no es algo en lo
junto de leyes, reglas es necesario primero que todo establecer con
y prcticas que regu- que se pueda estable-
exactitud qu recursos de la red y servicios desea
lan cmo una organi- proteger, de tal manera que est preparado para cer un orden lgico o
zacin maneja, protege conectar su red con el resto del mundo. Esto secuencia aceptada de
y distribuye informa- implica el estudio y definicin de los aspectos estados debido a que la
necesarios para la planeacin de la seguridad de la seguridad es algo muy
cin sensitiva. Este
red, anlisis de riesgos, identificacin de recursos
documento se convier- subjetivo, cada negocio
y amenazas, uso de la red y responsabilidades,
te en el primer paso planes de accin o contingencia, etc. tiene diferentes expecta-
para construir barreras tivas, diferentes metas,
de proteccin efectivas. diferentes formas de
valorar lo que va por
Es importante tener una poltica de seguridad su red, cada negocio tiene distintos requeri-
de red efectiva y bien pensada que pueda mientos para almacenar, enviar y comunicar
proteger la inversin y recursos de infor- informacin de manera electrnica; por esto
macin de su compaa. Sobre todo es nunca existir una sola poltica de seguridad
importante que la organizacin defina
aplicable a 2 organizaciones diferentes.
claramente y valore qu tan importantes
Adems, as como los negocios evolucionan
son los recursos e informacin que se tienen
para adaptarse a los cambios en las
en la red corporativa y dependiendo de sto
condiciones del mercado, la poltica de
justificar si es necesario que se preste la
seguridad debe evolucionar para satisfacer las
atencin y esfuerzos suficientes para lograr un
condiciones cambiantes de la tecnologa. Una
nivel adecuado de proteccin. La mayora de
las organizaciones poseen informacin sensible poltica de seguridad de red efectiva es algo
y secretos importantes en sus redes, esta que todos los usuarios y administradores
informacin debera ser protegida contra el pueden aceptar y estn dispuestos a reforzar,
vandalismo del mismo modo que otros bienes siempre y cuando la poltica no disminuya la
valiosos como propiedades de la corporacin capacidad de la organizacin, es decir la
y edificios de oficinas. poltica de seguridad debe ser de tal forma que
76
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
no evite que los usuarios cumplan con sus reflejado el sentir corporativo a cerca de los
tareas en forma efectiva. servicios de red y recursos que se desean
proteger de manera efectiva y que repre-
3.2 POR QU UTILIZAR POLTICAS sentan activos importantes para el normal
DE SEGURIDAD EN UN SITIO? cumplimiento de la misin institucional. Por
esto la poltica de seguridad debe cumplir con
Existen muchos factores que justifican ciertas caractersticas propias de este tipo de
el establecimiento de polticas de seguridad planes, como son:
para un sitio especfico, pero los ms deter-
minantes son: Debe ser simple y entendible (especfica).
Debe estar siempre disponible.
Ayudan a la organizacin a darle valor a la Se puede aplicar en cualquier momento a la
informacin. mayora de situaciones contempladas.
Es una infraestructura desde la cual otras Debe ser practicable y desarrollable.
estrategias de proteccin pueden ser desa- Se debe poder hacer cumplir.
rrolladas. Debe ser consistente con otras polticas
Proveen unas claras y consistentes reglas organizacionales.
para los usuarios de la red corporativa y su Debe ser estructurada.
interaccin con el entorno. Se establece como una gua, no como una
Contribuyen a la efectividad y direccionan cadena a la cual se tenga que atar para
la proteccin total de la organizacin. siempre.
Pueden ayudar a responder ante reque- Debe ser cambiante con la variacin
rimientos legales tecnolgica.
Ayudan a prevenir incidentes de seguridad. Una poltica debe considerar las necesidades
Proveen una gua cuando un incidente y requerimientos de seguridad de todas las
ocurre. redes interconectadas como una unidad
Es una planeacin estratgica del papel que corporativa.
juega la arquitectura de red al interior de
la organizacin. 3.4 DESARROLLO DE UNA POLTICA
Ayuda en la culturizacin de los usuarios DE SEGURIDAD
para el uso de servicios de red e inculca el
valor real que ellos representan. El objetivo perseguido para desarrollar
una poltica de seguridad de red oficial
3.3 CARACTERSTICAS DE corporativa es definir las expectativas de la
LAS POLTICAS organizacin acerca del uso de la red y definir
procedimientos para prevenir y responder a
Una poltica de seguridad es un plan incidentes de seguridad provenientes del cada
elaborado de acuerdo con los objetivos da ms avanzado mundo de la comunicacin
generales de la organizacin y en el cual se ve global.
77
Riesgos, Polticas y Herramientas de Seguridad en Redes
78
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
79
Riesgos, Polticas y Herramientas de Seguridad en Redes
80
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
lo que implica que ambas partes deben existentes son los llamados FIREWALLS o
conocer de antemano dicha clave. Es preci- barreras de proteccin, los cuales previenen
samente el hecho que ambas entidades deben los accesos indeseables hacia el interior de su
poseer la misma clave lo que ha generado red o a alguna porcin de la misma.
desconcierto en estos sistemas, sin embargo
posee gran rapidez y combinado con Una red privada que lleva informacin sensi-
esquemas de clave pblica representa una tiva entre computadores locales requiere de
fortaleza a los sistemas criptogrficos medidas de seguridad propias para prote-
modernos. El sistema DES (Data Encription ger la privacidad e integridad del trfico;
Standard) representa el estndar de mayor cuando tal red privada se conecta a otras
difusin para los sistemas simtricos. redes, o cuando se permite acceso telefnico
hacia el interior de la misma, los puntos de
En los sistema de clave pblica, cada entidad conexin remotos, lneas telefnicas y otras
que participa en la comunicacin posee un conexiones se convierten en extensiones de
par de claves, una que denomina Clave
la red privada que deben ser protegidas
Pblica (Kpu) la cual es conocida por todos
apropiadamente. Por lo tanto es necesario
los usuarios de un dominio de seguridad y es
un sistema que provea mecanismos para
utilizada para cifrar los mensajes destinado al
reducir al mximo el riesgo de ataques
dueo de dicha clave pblica; y posee otra
externos que puedan causar prdida de
Clave Privada (Kpr) la cual es slo cono-
informacin o daos en la integridad de
cida por el dueo de la clave y no hay
la red o ampliar las posibilidades de acceso
necesidad de transmitirla por ningn medio
no permitido; estos mecanismos deben
telemtico. La robustez de este algoritmo
garantizar fuertes procesos de autenticacin
consiste en que un mensaje cifrado con la
de usuarios, control de acceso y proteccin de
clave pblica slo puede ser descifrado con el
la integridad de datos sensibles en la red
poseedor de la clave privada que debe estar
privada o conjunto de redes.
bien custodiada por el dueo. Igualmente estos
algoritmos de clave pblica son la base para
las tcnicas de Firmas Digitales. Uno de los 5.1 QU ES UN FIREWALL?
esquemas ms difundidos de clave pblica es
el RSA (Rivest, Shamir y Adleman). Es un mecanismo para restringir acceso
entre la Internet y la red corporativa interna.
5. CORTAFUEGOS (FIREWALLS) Tpicamente se instala un firewall en un
punto estratgico donde una red (o redes) se
La conectividad de una red privada conectan a la Internet. La existencia de un
corporativa a redes como Internet hace nece- firewall en un sitio Internet, reduce conside-
sario que haya mecanismos de seguridad que rablemente las probabilidades de ataques
permitan un alto grado de confiabilidad y externos a los sistemas corporativos y redes
proteccin de la informacin, para ello internas, adems puede servir para evitar que
una de las ms tpicas y eficaces formas los propios usuarios internos comprometan la
81
Riesgos, Polticas y Herramientas de Seguridad en Redes
seguridad de la red al enviar informacin Prevencin ante los intrusos que tratan
peligrosa (como passwords no encriptados o de ganar espacio hacia el interior de
datos sensitivos para la organizacin) hacia el la red y los otros esquemas de defensas
mundo externo. establecidos.
Restriccin de uso de servicios tanto a
Los ataques a sistemas conectados a Internet usuarios internos como externos.
que se estn viendo hoy por hoy son ms
serios y tcnicamente complejos que en el Todo el trfico que viene de la Internet o sale
pasado y la labor de proteger estos sistemas de la red corporativa interna pasa por el
tiene tambin que serlo, los firewalls son firewall de tal forma que l decide si es
mecanismos altamente apropiados para aceptable o no.
garantizar dicha proteccin. Aunque es
altamente recomendable la inclusin de stos Qu significa ser aceptable? Significa que
en un plan de seguridad de redes, los firewalls cualquier cosa que sea la que se est haciendo
solamente son uno de los componentes, es (correo electrnico, transferencia de archivos,
conexiones remotas o cualquier clase de
tambin de vital importancia que se establezca
interaccin especfica entre sistemas) est
una poltica de seguridad en la que se observe
conforme a lo estipulado en la poltica de
claramente las tendencias de la organizacin
seguridad del sitio; las polticas de seguridad
referente a la seguridad informtica y en la
son diferentes para cada sitio, algunas son
que se considere concretamente el objetivo
altamente restrictivas y otras son relativa-
de un firewall.
mente abiertas.
En la industria de la construccin un
Lgicamente un firewall es un separador,
firewall es diseado para evitar que el
un bloqueador y un analizador. La implan-
fuego se extienda entre diferentes partes
tacin fsica vara entre cada sitio, la mayora
de los edificios, en teora un firewall en
de las veces un firewall es un conjunto de
Internet tiene un propsito similar: previene
componentes de hardware como un enrutador,
que los peligros o amenazas de la Internet se
un servidor o una combinacin de enruta-
extiendan hacia la red interna. dores, computadores y redes con el software
apropiado. Hay una variedad de formas para
5.2 OBJETIVOS DE UN FIREWALL configurar este equipo, la configuracin
depender de la poltica de seguridad especfica
Un firewall sirve para mltiples del sitio, presupuesto y funcionalidad dentro
propsitos, entre otros podemos anotar los de la plataforma de red.
siguientes:
Los firewalls ofrecen beneficios significantes
Restriccin de entrada de usuarios a puntos para la seguridad, pero ellos no pueden
cuidadosamente controlados de la red resolver cada problema de seguridad que se
interna. presente en el vasto mundo de Internet.
82
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
83
Riesgos, Polticas y Herramientas de Seguridad en Redes
84
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
85
Riesgos, Polticas y Herramientas de Seguridad en Redes
Ranum, Marcus. Thinking About Firewalls. How to Develop a Network Security Policy
Disponible va FTP en: disponible va Internet en:
ftp://coast.cs.purdue.edu/pub/doc/firewalls/ http://www.sun.com/solstice/Networking -
Marcus_Ranum_Network_Firewall.ps.Z. products/neT worksec.html.
Housley, Ford, Polk y Solo. 1996. Internet Public Giraldo G., Jorge Alberto. 1996. Curso de
Key Infrastructure. PKIX Working Group, Seguridad en Sistemas Abiertos. Bogot. J
Internet Draft.
Morant R. Jos Luis y otros. 1994. Seguridad y
Ford, Warwick. 1995. Computer Communications proteccin de la informacin. 1 Edicin.
Security. 1 Edicin. New Jersey. Prentice Madrid. Editorial Centro de Estudios Ramn
Hall. Aceres.
86