Trabajo Final de Redes 2011 2

REDES DE COMUNICACIONES
Trabajo Final
TEMA: SEGURIDAD EN REDES SECCION: 41I INTEGRANTES:
Canelo Quispe, Edgar Herrera Chang, Susan Hernandez Avalos, Freddy Jimenez Monago, Judith Mateo Ramos, Wilber Zapata Tomasto, Dennie
La Molina, 07 de noviembre de 2011
Pgina 1
CONTENIDO
INTRODUCCION................................................................................................5 1. CONCEPTOS DE SEGURIDAD:.......................................................................5 1.1Definiciones:...............................................................................................6 1.2Qu queremos proteger?..........................................................................7 1.3De qu nos queremos proteger?..............................................................8 1.3.1Personas..............................................................................................8 1.3.2Amenazas Lgicas:.............................................................................10 1.4 Cmo nos podemos proteger? ..............................................................11 1.5Seguridad Global:.....................................................................................14 1.6Impacto en la Organizacin:....................................................................14 1.7Implementacin:......................................................................................15 2. POLTICAS GENERALES DE SEGURIDAD:......................................................16 2.1Qu son las polticas de seguridad informtica (PSI)?............................16 2.2Elementos de una poltica de seguridad informtica:..............................16 2.3Proposicin de una forma de realizar el anlisis para llevar a cabo un sistema de seguridad informtica:................................................................18 3. TIPOS DE ATAQUES Y VULNERABILIDADES:.................................................20 3.1Negacin de servicio (denial of service)...................................................20 3.1.1Qu es Denial of service? Descripcin de ataques........................20 3.1.2Modos de ataque:...............................................................................21 3.2Cracking de passwords.............................................................................21 3.3E-mail bombing y spamming....................................................................21 4. SISTEMAS DE DETECCIN DE INTRUSOS (IDS)............................................23 4.1Firewalls...................................................................................................26 4.2Historia de los IDS....................................................................................29 4.3Definicin de IDS......................................................................................30 4.3.1Monitorizacin de redes en tiempo real.............................................31 REDES DE COMUNICACIONES Pgina 2
4.3.2Signatures (Firmas)............................................................................34 4.3.3Ubicacin de los NIDS........................................................................35 4.4Anlisis de los datos obtenidos por los sistemas NIDS.............................37 4.5Tipos de deteccin en los que est basado un IDS:.................................40 4.6Limitaciones de los IDS............................................................................43 5. Qu ES UN PROXY?....................................................................................44 5.1Definicin. ...............................................................................................45 5.2Principio de funcionamiento.....................................................................45 5.2.1El filtrado............................................................................................45 5.2.2Autenticacin.....................................................................................45 5.2.3Almacenamiento de Logs...................................................................45 5.2.4Los proxys annimos..........................................................................45 6. SISTEMAS DE ENCRIPTAMIENTO..................................................................46 6.1Clave simtrica.........................................................................................47 6.2Clave pblica............................................................................................47 6.2.1.Clave pblica: SSL.............................................................................48 6.3Criptografa: Definicin............................................................................49 6.3.1Inicios de Criptografa........................................................................50 6.3.2Mensajes Encriptados.........................................................................53 7. RSA enVISION..............................................................................................54 7.1.Qu es un Log?......................................................................................54 7.2.Sistema de Gestin de Logs....................................................................55 7.3.Plataforma RSA enVISION........................................................................56 7.4.Qu es?..................................................................................................56 7.5.Qu hace?..............................................................................................56 7.6.Cmo funciona?.....................................................................................58 7.7.La Plataforma RSA enVision permite:......................................................59 7.8.Ventajas..................................................................................................59 REDES DE COMUNICACIONES Pgina 3
7.9.Visibilidad Total. Control Total.................................................................60 7.10.Un Registro Completo de Actividad.......................................................60 GLOSARIO.......................................................................................................61 CONCLUSIONES..............................................................................................71 RECOMENDACIONES DE SEGURIDAD ............................................................73 BIBLIOGRAFA.................................................................................................75
Pgina 4
INTRODUCCION
En la actualidad, las organizaciones son cada vez ms dependientes de sus redes informticas y un problema que las afecte, por mnimo que sea, puede llegar a comprometer la continuidad de las operaciones. La falta de medidas de seguridad en las redes es un problema que est en crecimiento. Cada vez es mayor el nmero de atacantes y cada vez estn ms organizados, por lo que van adquiriendo da a da habilidades ms especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de la organizacin. La propia complejidad de la red es una dificultad para la deteccin y correccin de los mltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de recursos y sistemas. Hackers, crakers, entre otros, han hecho aparicin en el vocabulario ordinario de los usuarios y de los administradores de las redes. Adems de las tcnicas y herramientas criptogrficas, es importante recalcar que un componente muy importante para la proteccin de los sistemas consiste en la atencin y vigilancia continua y sistemtica por parte de los responsables de la red. El trabajo a continuacin ayudara a identificar las tareas de todos aquellos que se encuentran actualmente involucrados en las decisiones respecto de las redes de informacin y de sus modos de administracin, al tiempo de alertar sobre la importancia crtica de la seguridad. Creemos que un adecuado tratamiento de esta problemtica resulta absolutamente vital, debido a las amenazas cada vez mayores a las que la informacin se encuentra expuesta. El material cuenta, adems, con un glosario final en el que se definen los principales trminos que se utilizan durante este trabajo. Esperamos que constituya un buen punto de partida para la reflexin y el debate sobre estas problemticas en su organizacin.
1.CONCEPTOS DE SEGURIDAD:
Pgina 5
En la actualidad, la seguridad informtica ha adquirido gran auge. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes que permiten explorar ms all de las fronteras de la organizacin. Esta situacin ha llevado a la aparicin de nuevas amenazas en los sistemas computarizados. Consecuentemente, muchas organizaciones han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo. En este sentido, las polticas de seguridad informtica (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y la sensibilidad de la informacin y servicios crticos que favorecen el desarrollo de la organizacin y su buen funcionamiento.
1.1
Definiciones:
Dado que se est tratando con conceptos que pueden tener mltiples interpretaciones, parece prudente acordar ciertos significados especficos. Por tanto, hemos recurrido a algunas definiciones. Seguridad: es calidad de seguro, y, seguro est definido como libre de riesgo. Informacin: es accin y efecto de informar. Informar: es dar noticia de una cosa. Redes: es el conjunto sistemtico de caos o de hilos conductores o de vas de comunicacin o de agencias y servicios o recursos para determinado fin. Seguridad en Redes: es mantener la provisin de informacin libre de riesgo y brindar servicios para un determinado fin. Si trabajamos en definir Seguridad en Redes con los elementos que conocemos, podemos llegar a una definicin ms acertada: Seguridad en redes es mantener bajo proteccin los recursos y la informacin con que se cuenta en la red, a travs de procedimientos basados en una poltica de seguridad tales que permitan el control de lo actuado. REDES DE COMUNICACIONES Pgina 6
1.2
Qu queremos proteger?
Los tres elementos principales a proteger en cualquier sistema informtico son el software, el hardware y los datos. Por hardware entendemos el conjunto formado por todos los elementos fsicos de un sistema informtico, como CPUs, terminales, cableado, medios de almacenamiento secundario (cintas, CD-ROMs, diskettes) o tarjetas de red. Por software entendemos el conjunto de programas lgicos que hacen funcional al hardware, tanto sistemas operativos como aplicaciones, y por datos el conjunto de informacin lgica que manejan el software y el hardware, como por ejemplo paquetes que circulan por un cable de red o entradas de una base de datos. Habitualmente los datos constituyen el principal elemento de los tres a proteger, ya que es el ms amenazado y seguramente el ms difcil de recuperar. Contra cualquiera de los tres elementos descritos anteriormente (pero principalmente sobre los datos) se pueden realizar multitud de ataques o, dicho de otra forma, estn expuestos a diferentes amenazas. Generalmente, la taxonoma ms elemental de estas amenazas las divide en cuatro grandes grupos: interrupcin, interceptacin, modificacin y fabricacin. Un ataque se clasifica como interrupcin si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. Se tratara de una interceptacin si un elemento no autorizado consigue un acceso a un determinado objeto del sistema, y de una modificacin si adems de conseguir el acceso consigue modificar el objeto; algunos autores consideran un caso especial de la modificacin: la destruccin, entendindola como una modificacin que inutiliza al objeto afectado. Por ltimo, se dice que un ataque es una fabricacin si se trata de una modificacin destinada a conseguir un objeto similar al atacado de forma que sea difcil distinguir entre el objeto original y el `fabricado'. En la figura se muestran los tipos de ataques de forma grafica.
Pgina 7
1.3
De qu nos queremos proteger?
Nuestro sistema puede verse perjudicado por mltiples entidades aparte de humanos, como por ejemplo programas, catstrofes naturales o, por qu no, fuerzas extraterrestres; si un usuario pierde un trabajo importante a causa de un ataque, poco le importar que haya sido un intruso, un gusano, un simple error del administrador, o un alien que haya abducido un disco duro. A continuacin se presenta una relacin de los elementos que potencialmente pueden amenazar a nuestro sistema.
1.3.1
Personas.
Aqu se describen brevemente los diferentes tipos de personas que de una u otra forma pueden constituir un riesgo para nuestros sistemas; generalmente se dividen en dos grandes grupos: los atacantes pasivos, aquellos que fisgonean por el sistema pero no lo modifican o destruyen, y los activos, aquellos que daan el objetivo atacado, o lo modifican en su favor. Generalmente los curiosos y los crackers realizan ataques pasivos (que se pueden convertir en activos), mientras que los terroristas y ex-empleados realizan ataques activos puros; los intrusos remunerados suelen ser atacantes pasivos si nuestra REDES DE COMUNICACIONES Pgina 8
red o equipo no es su objetivo, y activos en caso contrario, y el personal realiza ambos tipos indistintamente, dependiendo de la situacin concreta.
Personal,
Las amenazas a la seguridad de un sistema provenientes del
personal de la propia organizacin rara vez son tomadas en cuenta; se presupone un entorno de confianza donde a veces no existe, por lo que se pasa por alto el hecho de que casi cualquier persona de la organizacin, incluso el personal ajeno a la infraestructura informtica (secretariado, personal de seguridad, personal de limpieza y mantenimiento. . .) puede comprometer la seguridad de los equipos. Aunque los ataques pueden ser intencionados (en cuyo caso sus efectos son extremadamente dainos, recordemos que nadie mejor que el propio personal de la organizacin conoce mejor los sistemas. . . y sus debilidades), lo normal es que ms que de ataques se trate de accidentes causados por un error o por desconocimiento de las normas bsicas de seguridad: un empleado de mantenimiento que corta el suministro elctrico para hacer una reparacin puede llegar a ser tan peligroso como el ms experto de los administradores que se equivoca al teclear una orden y borra todos los sistemas de ficheros.
Ex empleados,
Generalmente, se trata de personas descontentas con la
organizacin que pueden aprovechar debilidades de un sistema que conocen perfectamente para daarlo como venganza por algn hecho que no consideran justo: amparados en excusas como `No me han pagado lo que me deben' o Ès una gran universidad, se lo pueden permitir' pueden insertar troyanos, bombas lgicas, virus o simplemente conectarse al sistema como si an trabajaran para la organizacin (muchas veces se mantienen las cuentas abiertas incluso meses despus de abandonar la universidad o empresa), conseguir el privilegio necesario, y daarlo de la forma que deseen, incluso chantajeando a sus excompaeros o ex-jefes.
Crackers,
Los entornos de seguridad media son un objetivo tpico de los
intrusos, ya sea para fisgonear para utilizarlas como enlace hacia otras redes o simplemente por diversin.
Intrusos remunerados,
Este es el grupo de atacantes de un
sistema ms peligroso, aunque por fortuna el menos habitual en redes normales; REDES DE COMUNICACIONES Pgina 9
suele afectar ms a las grandes muy grandes empresas o a organismos de defensa. Se trata de piratas con gran experiencia en problemas de seguridad y un amplio conocimiento del sistema, que son pagados por una tercera parte generalmente para robar secretos (el nuevo diseo de un procesador, una base de datos de clientes, informacin confidencial sobre las posiciones de satlites espa) o simplemente para daar la imagen de la entidad afectada.
1.3.2
Amenazas Lgicas:
Bajo la etiqueta de àmenazas lgicas' encontramos todo tipo de programas que de una forma u otra pueden daar a nuestro sistema, creados de forma intencionada para ello (software malicioso, tambin conocido como malware) o simplemente por error (bugs o agujeros). Software
incorrecto,
A estos errores de programacin se les denomina
bugs, y a los programas utilizados para aprovechar uno de estos fallos y atacar al sistema, exploits.
Herramientas de seguridad, Cualquier
herramienta de seguridad
representa un arma de doble filo: de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistemas o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismos fallos y aprovecharlos para atacar los equipos. Herramientas como nessus, saint o satan pasan de ser tiles a ser peligrosas cuando las utilizan crackers que buscan informacin sobre las vulnerabilidades de un host o de una red completa.
Puertas traseras,
Durante el desarrollo de aplicaciones grandes o de
sistemas operativos es habitual entre los programadores insertar àtajos' en los sistemas habituales de autenticacin del programa o del ncleo que se est diseando. A estos atajos se les denomina puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos: por ejemplo, los diseadores de un software de gestin de bases de datos en el que para acceder a una tabla se necesiten cuatro claves diferentes de diez caracteres cada una pueden insertar una rutina para conseguir ese acceso mediante una nica clave èspecial', con el objetivo de perder menos tiempo al depurar el sistema. REDES DE COMUNICACIONES Pgina 10
Bombas lgicas,
Las bombas lgicas son partes de cdigo de ciertos
programas que permanecen sin realizar ninguna funcin hasta que son activadas; en ese punto, la funcin que realizan no es la original del programa, sino que generalmente se trata de una accin perjudicial.
Canales cubiertos,
son canales de comunicacin que permiten a un
proceso transferir informacin de forma que viole la poltica de seguridad del sistema; dicho de otra forma, un proceso transmite informacin a otros (locales o remotos) que no estn autorizados a leer dicha informacin.
Virus,
Un virus es una secuencia de cdigo que se inserta en un _chero
ejecutable (denominado husped), de forma que cuando el archivo se ejecuta, el virus tambin lo hace, insertndose a s mismo en otros programas.
Gusanos, Un gusano es un programa capaz de ejecutarse y propagarse por

s mismo a travs de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta para daarlos.
Caballos de Troya,
Los troyanos o caballos de Troya son instrucciones
escondidas en un programa de forma que _este parezca realizar las tareas que un usuario espera de _el, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.
1.4
Cmo nos podemos proteger?
Para proteger nuestro sistema hemos de realizar un anlisis de las amenazas potenciales que puede sufrir, las prdidas que podrn generar, y la probabilidad de su ocurrencia; a partir de este anlisis hemos de disear una poltica de seguridad que defina responsabilidades y reglas a seguir para evitar tales amenazas o minimizar sus efectos en caso de que se produzcan. A los mecanismos utilizados para implementar esta poltica de seguridad se les denomina mecanismos de seguridad; son la parte ms visible de nuestro sistema de seguridad, y se convierten en la herramienta bsica para garantizar la proteccin de los sistemas o de la propia red.
Pgina 11
Los mecanismos de seguridad se dividen en tres grandes grupos: de prevencin, de deteccin y de recuperacin. Los mecanismos de prevencin son aquellos que aumentan la seguridad de un sistema durante el funcionamiento normal de ste, previniendo la ocurrencia de violaciones a la seguridad; por ejemplo, el uso de cifrado en la transmisin de datos se puede considerar un mecanismo de este tipo, ya que evita que un posible atacante escuche las conexiones hacia o desde un sistema Unix en la red. Por mecanismos de deteccin se conoce a aquellos que se utilizan para detectar violaciones de la seguridad o intentos de violacin; ejemplos de estos mecanismos son los programas de auditora como Tripwire. Finalmente, los mecanismos de recuperacin son aquellos que se aplican cuando una violacin del sistema se ha detectado, para retornar a _este a su funcionamiento correcto; ejemplos de estos mecanismos son la utilizacin de copias de seguridad o el hardware adicional. Dentro de este ltimo grupo de mecanismos de seguridad encontramos un subgrupo denominado mecanismos de anlisis forense, cuyo objetivo no es simplemente retornar al sistema a su modo de trabajo normal, sino averiguar el alcance de la violacin, las actividades de un intruso en el sistema, y la puerta utilizada para entrar6; de esta forma se previenen ataques posteriores y se detectan ataques a otros sistemas de nuestra red.
Visin global de la seguridad informtica

Los mecanismos de prevencin ms habituales en Unix y en redes son los siguientes:
Mecanismos de autenticacin e identificacin:

Pgina 12
Estos mecanismos hacen posible identificar entidades del sistema de una forma nica, y posteriormente, una vez identificadas, autenticarlas (comprobar que la entidad es quin dice ser). Son los mecanismos ms importantes en cualquier sistema, ya que forman la base de otros mecanismos que basan su funcionamiento en la identidad de las entidades que acceden a un objeto. Un grupo especialmente importante de estos mecanismos son los denominados Sistemas de Autenticacin de Usuarios, a los que prestaremos una especial atencin por ser los ms utilizados en la prctica.
Mecanismos de control de acceso:
Cualquier objeto del sistema ha de estar protegido mediante mecanismos de control de acceso, que controlan todos los tipos de acceso sobre el objeto por parte de cualquier entidad del sistema. Dentro de Unix, el control de acceso ms habitual es el discrecional (DAC, Discretionary Access Control), implementado por los bits rwx y las listas de control de acceso para cada _chero (objeto) del sistema; sin embargo, tambin se permiten especificar controles de acceso obligatorio (MAC).
Mecanismos de separacin:
Cualquier sistema con diferentes niveles de seguridad ha de implementar mecanismos que permitan separar los objetos dentro de cada nivel, evitando el flujo de informacin entre objetos y entidades de diferentes niveles siempre que no exista una autorizacin expresa del mecanismo de control de acceso. Los mecanismos de
separacin se dividen en cinco grandes grupos, en funcin de como separan a los objetos: separacin fsica, temporal, lgica, criptogrfica y fragmentacin. Dentro de Unix, el mecanismo de separacin ms habitual es el de separacin lgica o aislamiento, implementado en algunos sistemas mediante una Base Segura de Cmputo (TCB).
Mecanismos de seguridad en las comunicaciones:
Es especialmente importante para la seguridad de nuestro sistema el proteger la integridad y la privacidad de los datos cuando se transmiten a travs de la red. Para garantizar esta seguridad en las comunicaciones, hemos de utilizar ciertos mecanismos, la mayora de los cuales se basan en la Criptografa: cifrado de clave pblica, de clave privada, firmas digitales. Una de las mayores de las redes es este trfico sin cifrar, que hace extremadamente fciles ataques encaminados a robar contraseas o suplantar la identidad de mquinas de la red. REDES DE COMUNICACIONES Pgina 13
1.5
Seguridad Global:
Qu es una red global? El concepto de red global incluye todos los recursos informticos de una organizacin, an cuando estos no estn interconectados: Redes de rea local (LAN), Redes de rea metropolitana (MAN), Redes nacionales y supranacionales (WAN), Computadoras personales, minis y grandes sistemas.
De manera que, seguridad global es mantener bajo proteccin todos los componentes de una red global. Al fin de cuentas, los usuarios de un sistema son una parte a la que no hay que olvidar ni menospreciar. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas. Obtener de los usuarios la concientizacin de los conceptos, usos y costumbres referentes a la seguridad, el cual requiere tiempo y esfuerzo. Que los usuarios se concienticen de la necesidad y, ms que nada, de las ganancias que se obtienen implementando planes de seguridad, exige trabajar directamente con ellos, de tal manera que se apoderen de los beneficios de tener un buen plan de seguridad. (Por ejemplo: permite que se determine exactamente lo que debe hacer cada uno y cmo debe hacerlo, y, tambin las desviaciones que se pueden producir). De esta forma, ante cualquier problema, es muy fcil determinar dnde se produjo o de dnde proviene. Para realizar esto, lo ms usado, y que da muy buenos resultados es hacer grupos de trabajo en los cuales se informen los fines, objetivos y ganancias de establecer medidas de seguridad.
1.6
Impacto en la Organizacin:
La implementacin de polticas de seguridad, trae consigo varios tipos de problemas que afectan el funcionamiento de la organizacin. Cmo pueden impactar si se implementan para hacer ms seguro el sistema? En realidad, la implementacin de REDES DE COMUNICACIONES Pgina 14
un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativa. Por ejemplo, la disminucin de la funcionalidad o el decremento de la operatividad tal vez sea uno de los mayores problemas. Esto se puede aclarar de la siguiente manera: en un primer momento, el usuario, para acceder a tal recurso, deba realizar un solo login. Ahora, con la implementacin del nuevo esquema de seguridad, debe realizar dos logines: uno para ingresar al sistema y otro para acceder al recurso. El usuario visualiza esto como un nuevo impedimento en su tarea, en lugar de verlo como una razn de seguridad para l, pues de esta manera, se puede controlar ms el uso del recurso y, ante algn problema, ser mucho ms fcil establecer responsabilidades. Por otro lado, al poner en funcionamiento una nueva norma de seguridad, sta traer una nueva tarea para la parte tcnica (por ejemplo, cambiar los derechos a algo de algunos usuarios) y administrativamente, se les deber avisar por medio de una nota de los cambios realizados y en qu les afectar.
1.7
Implementacin:
La implementacin de medidas de seguridad, es un proceso tcnico administrativo. Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria. Hay que tener muy en cuenta la complejidad de la implementacin de estas medidas (ver Impacto en la Organizacin). Ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen. Tambin, como hemos mencionado anteriormente, es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin. De todo lo expuesto anteriormente, resulta claro que proponer o identificar una poltica de seguridad requiere de un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas. REDES DE COMUNICACIONES Pgina 15
2.POLTICAS GENERALES DE SEGURIDAD:

2.1 Qu son las polticas de seguridad informtica (PSI)?
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuacin del personal, en relacin con los recursos y servicios informticos, importantes de la organizacin. No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el porqu de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos crticos de la compaa.
2.2 Elementos de una poltica de seguridad informtica:

Como mencionbamos en el apartado anterior, una PSI debe orientar las decisiones que se toman en relacin con la seguridad. Por tanto, requiere de una disposicin por parte de cada uno de los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Las PSI deben considerar entre otros, los siguientes elementos: REDES DE COMUNICACIONES Pgina 16
Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitacin de la organizacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin.
Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica. Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica. Responsabilidades de los usuarios con respecto a la informacin a la que ella tiene acceso.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qu deben tomarse ciertas decisiones, transmitir por qu son importantes estos u otros recursos o servicios. De igual forma, las PSI establecen las expectativas de la organizacin en relacin con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compaa. Deben mantener un lenguaje comn libre de tecnicismos y trminos legales que impidan una comprensin clara de las mismas, sin sacrificar su precisin y formalidad dentro de la empresa. Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios entre otros.
Pgina 17
2.3 Proposicin de una forma de realizar el anlisis para llevar a cabo un sistema de seguridad informtica:
Tal como puede visualizarse, en el grfico estn plasmados todos los elementos que intervienen para el estudio de una poltica de seguridad. Se comienza realizando una evaluacin del factor humano interviniente, teniendo en cuenta que ste es el punto ms vulnerable en toda la cadena de seguridad , de los mecanismos con que se cuentan para llevar a cabo los procesos necesarios ( mecanismos tcnicos, fsicos REDES DE COMUNICACIONES Pgina 18
lgicos), luego, el medio ambiente en que se desempea el sistema, las consecuencias que puede traer aparejado defectos en la seguridad (prdidas fsicas, prdidas econmicas, en la imagen de la organizacin, etc.), y cules son las amenazas posibles. Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra los pasos a tomar para poder asegurar el umbral de seguridad que se desea. Luego, se pasa al plan de accin, que es cmo se va a llevar a cabo el programa de seguridad. Finalmente, se redactan los procedimientos y normas que permiten llegar a buen destino. Con el propsito de asegurar el cumplimiento de todo lo anterior, se realizan los controles y la vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Para asegurar un marco efectivo, se realizan auditoras a los controles y a los archivos logsticos que se generen en los procesos implementados (de nada vale tener archivos logsticos si nunca se los analizan o se los analizan cuando ya ha ocurrido un problema). Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simular eventos que atenten contra la seguridad del sistema. Como el proceso de seguridad es un proceso dinmico, es necesario realizar revisiones al programa de seguridad, al plan de accin y a los procedimientos y normas. Estas revisiones, tendrn efecto sobre los puntos tratados en el primer prrafo y, de esta manera, el proceso se vuelve a repetir. Es claro que el establecimiento de polticas de seguridad es un proceso dinmico sobre el que hay que estar actuando permanentemente, de manera tal que no quede desactualizado; que, cuando se le descubran debilidades, stas sean subsanadas y, finalmente, que su prctica por los integrantes de la organizacin no caiga en desuso.
Pgina 19
3.TIPOS DE ATAQUES Y VULNERABILIDADES:

3.1 Negacin de servicio (denial of service)
3.1.1 Qu es Denial of service? Descripcin de ataques.

Denial of service es un tipo de ataque cuya meta fundamental es la de negar el acceso del atacado a un recurso determinado o a sus propios recursos. Algunos ejemplos de este tipo de ataque son: o o o o tentativas de floodear (inundar) una red, evitando de esta manera el trfico legtimo de datos en la misma; tentativas de interrumpir las conexiones entre dos mquinas evitando, de esta manera, el acceso a un servicio; tentativas de evitar que una determinada persona tenga acceso a un servicio; tentativas de interrumpir un servicio especfico a un sistema o a un usuario. Cabra tener en cuenta que, el uso ilegtimo de recursos puede tambin dar lugar a la negacin de un servicio. Por ejemplo, un hacker puede utilizar un rea del FTP annimo como lugar para salvar archivos, consumiendo, de esta manera, espacio en el disco y generando trfico en la red. Como consecuencia, los ataques de negacin de servicio pueden esencialmente dejar inoperativa una computadora o una red. De esta forma, toda una organizacin puede quedar fuera de Internet durante un tiempo determinado.
Pgina 20
3.1.2
Modos de ataque:
Algunos ataques de negacin de servicio se pueden ejecutar con recursos muy limitados contra un sitio grande y sofisticado. Este tipo de ataque se denomina ataque asimtrico. Por ejemplo, un atacante con una vieja PC y un mdem puede poner fuera de combate a mquinas rpidas y sofisticadas. ltimamente, esto es comn con ataques de los denominados nukes en los cuales caen instalaciones grandes, por ejemplo, de clusters Windows NT. Hay tres tipos de ataques bsicos de negacin de servicios: a.- Consumo de recursos escasos, limitados, o no renovables b.- Destruccin o alteracin de informacin de configuracin c.- Destruccin o alteracin fsica de los componentes de la red
3.2
Cracking de passwords
El objetivo inicial consiste en entrar al server. Para ello, se procede como si se tratase de una mquina remota (telnet). Pero, debido a que se permite el acceso a mltiples usuarios, los sistemas UNIX nos solicitarn un nombre de identificacin acompaado de una clave. Dicho nombre darse de alta en el sistema para que se pueda acceder. Cuando un usuario desea entrar en una mquina, el sistema solicitar: Un login de acceso o nombre de usuario. Si el login es incorrecto, el sistema no lo notificar para impedirle conocer qu accesos se encuentran dados de alta. Una password o palabra clave. Si la password coincide con la que tiene asignada el login que se emplea, el sistema permitir el acceso.
3.3
E-mail bombing y spamming
El e-mail bombing consiste en enviar muchas veces un mensaje idntico a una misma direccin, saturando el mailbox del destinatario. El spamming,, que es una variante del e-mail bombing, se refiere a enviar el email a centenares o millares de REDES DE COMUNICACIONES Pgina 21
usuarios e, inclusive, a listas de inters. El Spamming puede resultar an ms perjudicial si los destinatarios contestan el mail, haciendo que todos reciban la respuesta. Puede, adems, ocurrir inocentemente como resultado de enviar un mensaje a la lista y no darse cuenta de que la lista lo distribuye a millares de usuarios, o como resultado de mala configuracin de un auto respondedor, por ejemplo el vacation. El e-mail bombing/spamming se puede combinar con el e-mail spoofing que altera la identidad de la cuenta que enva el mail -, logrando que sea ms difcil determinar quin est enviando realmente el mail.
Pgina 22
4.SISTEMAS DE DETECCIN DE INTRUSOS (IDS)

La DETECCION DE INTRUSOS es el proceso de monitoreo de eventos en un sistema o red para determinar si una intrusin est sucediendo. Una INTRUSION es cualquier actividad o accin que intenta comprometer la confidencialidad, integridad o disponibilidad de recursos. Un SISTEMA DE DETECCION DE INTRUSOS es una solucin que permite realizar las tareas relacionadas a la deteccin de intrusos. Firewall o Sistema de Deteccin de Intrusos? IDS o NIDS
Diseo basado en HUB Se desea enviar informacin de A a C Todos los puertos reciben la informacin Colisin de paquetes y congestin en ancho de banda Pgina 23
Diseo basado en SWITCH Se desea enviar informacin de A a C La informacin es enviada solo al puerto C Transmisin innecesaria descartada La informacin no llega al IDS!!!
Pgina 24
Diseo basado en SWITCH con port spanning o mirroring Se desea enviar informacin de A a C La informacin es forzada a ser enviada tambin al puerto spanning o mirroring Existe prdida de paquetes, no soporte a VLAN, no Full Duplex
Diseo basado en SWITCH con Network TAP (Test Access Port) Realiza un monitoreo pasivo Realiza un anlisis de los puertos del switch No compromete sobrecarga a la red
Pgina 25
Network TAP debe ser colocado en ubicacin requerida.
4.1
Firewalls.
Pgina 26
Durante mucho tiempo el mecanismo de seguridad en redes ms extendido ha sido nicamente el uso de un firewall. Este sistema nos permite de una manera simple y eficaz aplicar filtros tanto para el trfico de entrada como para el de salida en nuestra red. Podemos diferenciar entre dos polticas bsicas de configuracin de firewalls:
Permisividad mxima
(allow everything) dnde el uso de filtros es
mnimo o inexistente. Esta poltica permite prcticamente la circulacin de todo el trfico y se utiliza principalmente en Intranets/LAN, campus universitarios y organizaciones dnde la libertad de uso de aplicaciones (o la gran cantidad de ellas) es necesaria para el funcionamiento ordinario del sistema. Es una poltica que dificulta enormemente el uso de otros sistemas y deja a la red muy vulnerable a prcticamente cualquier tipo de ataque interno o externo. En estos casos se recomienda segmentar la red en dominios y acotar cada uno de estos dominios, ya que raramente todos los ordenadores tienen que acceder a todos los recursos disponibles de la red.
Permisividad mnima (deny everything) aplica la poltica contraria a la
anterior. En este caso se deniega acceso a todos los servicios de la red y se van permitiendo accesos a estos a medida que se necesiten. De esta forma es bastante improbable que recibamos un ataque a un servicio que desconocamos que tenamos en la red. Por otro lado, el trabajo de otros sistemas se facilita enormemente ya que pueden configurarse para que detecten fcilmente cualquier comportamiento anmalo en la red (simplemente se debe monitorizar los accesos a los servicios y comprobar si esos accesos estn permitido expresamente o no). Cabe notar que este tipo de poltica requiere un gran esfuerzo ya que es poco flexible y en organizaciones con gran cantidad de usuarios con diferentes requerimientos puede llevar a tener que permitir tantos accesos cruzados que deje de ser prctico. Destacar que el simple uso de un firewall puede crear una falsa sensacin de seguridad que de nada sirve si no son configurados y mantenidos al da (aplicacin de los parches/patches del fabricante, supervisin y adaptacin al trfico de la red...).
Pgina 27
Muchas organizaciones con cientos de ordenadores y decenas de firewalls no disponen de una sola persona cualificada asignada exclusivamente a su mantenimiento. Por otro lado, este tipo de sistemas son incapaces de detectar tipos de ataques ms sofisticados (DOS por ejemplo), lo que hace necesario la adopcin de otros sistemas de control para completar la seguridad en nuestra red.
4.1.1.Beneficios de un firewall en Internet. Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es nicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un "choke point" (embudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vndalos, y espas) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administracin, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada. El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algn problema en el trnsito de los datos. Esto se podr notar al acceder la organizacin al Internet, la pregunta general es "si" pero "cuando" ocurrir el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitcora del trafico significativo a travs del firewall. Tambin, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, desde que el administrador de red desconoce si ha sido exitosamente atacado. Concentra la seguridad Centraliza los accesos Pgina 28
Genera alarmas de seguridad Traduce direcciones (NAT) Monitorea y registra el uso de Servicios de WWW y FTP.
4.1.2.Limitaciones de un firewall. Un firewall no puede protegerse contra aquellos ataques que se efecten fuera de su punto de operacin. Por ejemplo, si existe una conexin dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una conexin SLIP o PPP al Internet. Los usuarios con sentido comn suelen "irritarse" cuando se requiere una autenticacin adicional requerida por un Firewall Proxy server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que est incluido en una conexin directa SLIP o PPP del ISP. Este tipo de conexiones derivan la seguridad provista por firewall construido cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la seguridad en la organizacin.
4.2
Historia de los IDS
La historia sobre los sistemas de deteccin de intrusos en ordenadores empieza en 1972 cuando James P. Anderson de las fuerzas areas norteamericanas (USAF) publica un texto sobre la seguridad en los ordenadores. Este tema empieza a cobrar fuerza paralelamente al desarrollo de la informtica, puesto que cada vez hay ms
Pgina 29
procesos "crticos" controlados por ordenadores y los militares temen cualquier cosa que no controlan. Algunos estudios se realizan durante los aos siguientes hasta que en 1980 James P. Anderson escribe "Computer Security Threat Monitoring and Surveillance", dnde se inician las bases de la deteccin de intrusos en sistemas de computadores principalmente mediante la consultas de ficheros de log. Entre 1984 y 1996, Dening y Neummann desarrollan el primer modelo de IDS denominado IDES (Intrusin Detection Expert System) basado en reglas. A partir de este momento, se han ido proponiendo y creando nuevos sistemas de deteccin de intrusos [MC01] hasta obtener una separacin clara entre los sistemas que efectan la deteccin dentro de los ordenadores y aquellos que la efectan en el trfico que circula por la red.
4.3
Definicin de IDS.
Podemos definir la deteccin de intrusos (Intrusin Detection o ID) como un modelo de seguridad aplicable tanto a ordenadores como a redes. Un sistema IDS recolecta y analiza informacin procedente de distintas reas de un ordenador o red de ordenadores con el objetivo de identificar posibles fallos de seguridad. Este anlisis en busca de intrusiones incluye tanto los posibles ataques externos (desde fuera de nuestra organizacin) como los internos (debidos a un uso abusivo o fraudulento de los recursos). Los sistemas IDS suelen utilizar examinan todos nuestros sistemas en bsqueda de alguna vulnerabilidad. Un sistema de deteccin de intrusos o IDS (Intrusin Detection System) es un paradigma que por su naturaleza intrnseca de supervisin de los recursos es aplicado tanto a ordenadores como a redes de computadores: En el caso de los ordenadores se realiza a nivel de sistema operativo para controlar los accesos de los usuarios, modificacin de ficheros del sistema, uso de recursos (CPU, memoria, red, disco...) con el objetivo de detectar cualquier comportamiento anmalo que pueda ser indicativo de un abuso del sistema. En la bibliografa la veces pueden encontrarse como HIDS (Host Intrusin Detection System). REDES DE COMUNICACIONES Pgina 30 tcnicas de anlisis de vulnerabilidades (a veces referenciado en bibliografa como scanning), es decir
Un ejemplo de aplicacin de este tipo de herramientas en sistemas operativos de ordenadores puede ser el conocido software TRIPWIRE. En el caso de redes de ordenadores pueden monitorizarse usos de anchos de banda, accesos a/desde direcciones no permitidas, uso de direcciones falsas... con el objetivo de encontrar un comportamiento anmalo o atpico en el trfico de la red supervisada que nos pueda indicar una posible anomala. Tambin pueden referenciarse en la bibliografa como NIDS (Network Intrusin Detection System). Nos centraremos en los sistemas de deteccin de intrusos (IDS) aplicados a redes de ordenadores (NIDS). Ubicacin del IDS
4.3.1
Monitorizacin de redes en tiempo real.
Realizar la supervisin de una red de comunicaciones implica necesariamente realizar un estudio detallado y pormenorizado de todo el trfico que circula por esta. Si hacemos unos simples clculos podemos observar que resulta del todo inviable (por no escribir imposible) filtrar toda la informacin que circula por nuestra red en tiempo real. Para demostrar esta afirmacin, realizaremos un sencillo pero grfico estudio sobre los estndares de las redes ms populares actualmente (tanto LAN como WAN) y el trfico que generan en un da completo.
Pgina 31
Para poder realizar este clculo de forma completa, necesitamos tambin conocer el tamao de los datagramas IP que circularn por la red. Como este tamao es imposible de calcular debido a que un datagrama IP tiene un tamao mximo de 64K, realizamos una estimacin real a partir del trfico de Internet. Segn el estudio de Kc Claffy y Sean McCreary podemos asumir un tamao medio tpico para los datagramas IP que circulan por Internet es de 1500 Bytes (ver figura a continuacin).
Porcentaje acumulativo de datagramas IP en INTERNET en el ao 2000.

En este anlisis consideraremos que todo el trfico generado en estas redes es trfico IP a monitorizar, cosa que no es cierta puesto que los datagramas IP van encapsulados en frames (capa 2 del modelo OSI) que dependen de la tecnologa que use la red. Sin embargo, esta asuncin nos dar una cota superior de la capacidad necesaria para procesar todos los paquetes IP, ya que tambin asumimos como inexistente el tiempo de anlisis de cada paquete (nuestro objetivo es saber que potencia necesitamos para el proceso en tiempo real). De esta forma la asuncin de que todo el trfico es IP queda nivelada con la asuncin de que el tiempo de proceso de cada paquete que circule por la red es cero (ver la figura). REDES DE COMUNICACIONES Pgina 32
Anchos de banda y tamao diario de las redes ms comunes

Por otro lado, los procesadores ms potentes en el momento de realizar este trabajo funcionan a 3GHz. Con lo que necesitaramos procesar cada paquete en un ciclo de reloj (cosa totalmente imposible) ya que necesitaramos un ciclo de reloj para recibir el paquete, uno para procesarlo y otro para retransmitirlo si fuera necesario y no quisiramos eliminarlo. Los ordenadores actuales acceden a memoria externa y disco cuyas velocidades distan mucho de los 3GHz del procesador. Por otro lado, con las tecnologas superiores al Gigabit (que ya existen actualmente) como la fibra OC48 (2.48Gbits/s), esto queda an ms lejos. Como se ha demostrado anteriormente, el filtrado de todo el trfico generado por una red es imposible en tiempo real (tanto en potencia de proceso CPU como en espacio de almacenamiento), lo que implica que en caso de realizarse este proceso debera ser a posteriori (off-line) con lo que su utilidad baja mucho. Si bien es cierto que es muy importante conocer que se ha recibido un intento de ataque, conocerlo das o semanas despus no sirve como argumento ante los consejos de direccin o superiores. Cabe notar que el almacenamiento de esta informacin es bsico para realizar anlisis forense (computer forense), sin embargo nuestro objetivo (y por lo tanto el de este estudio) no debe ser el de examinar los REDES DE COMUNICACIONES Pgina 33
registros y logs cuando nuestro sistema ya ha sido comprometido, seducido y abandonado por el hacker de turno.
4.3.2
Signatures (Firmas).
Sin embargo, en cualquiera de los paquetes que circulan por la red puede encontrarse un intento de ataque, un ataque en toda regla o incluso el paseo triunfal de un hacker que ya ha conseguido entrar en algn sistema. Qu podemos hacer? Definiremos una firma (signature) como aquello que define o describe un patrn de inters en el trfico de nuestra red. Anlogamente, diremos que un filtro (filter) es la trascripcin de una firma (signature) a un lenguaje compresible por los sensores que monitorizan nuestra red. Las firmas (signatures) nos permiten diferenciar entre todo el trfico generado por la redes y obtener un subconjunto de este lo suficientemente pequeo como para que sea tratable computacionalmente y lo suficientemente amplio como para poder detectar comportamientos anmalos en tiempo real (o casi). Las firmas utilizadas en IDS usualmente son simples patrones que permiten detectar ataques ya conocidos (Smurf, Land...). Su funcionamiento es el mismo que el de los antivirus, se basan en encontrar coincidencias de ataques ya conocidos en el trfico actual de la red. Algunos productos IDS permiten la creacin de filtros por el usuario (ver figura 3-3), lo que facilita la adaptacin del sistema a nuestras necesidades. Sin embargo, realizar filtros tiles necesita al menos de:
Que el administrador de seguridad est cualificado (conozca perfectamente

el protocolo IP y su propia red). Que el IDS proporcione un lenguaje suficientemente potente como para poder expresar nuestras necesidades. Que los filtros (tanto los creados por defecto como los personalizados) sean revisados/modificados/ampliados frecuentemente.
Pgina 34
Ejemplo de un filtro para el ataque Land
La capacidad de crear filtros permite una gran flexibilidad y potencia en la deteccin de trfico anmalo. Un ejemplo de esto podran ser los filtros que se realizan sobre un protocolo en concreto (por ejemplo en HTTP) y que permiten incluso guardar log de las conexiones que envan/reciben determinada informacin (como por ejemplo los filtros contra pornografa). Hay que tener en cuenta que este tipo de filtros pueden atentar contra la intimidad de las personas y que deben ser conformes a la ley vigente (LORTAD en Espaa). Obviamente, como pasa en los antivirus, la actualizacin de las firmas debe ser constante ya que usualmente un nuevo tipo de ataque no ser detectado por el sistema IDS que simplemente se dedique a buscar patrones en el trfico de la red. El uso de un firewall bien configurado (nos limitar la cantidad de trfico a procesar) as como la personalizacin adecuada de los filtros aplicados en la red, nos dotarn de un sistema seguro y til en el que podemos confiar.
4.3.3
Ubicacin de los NIDS.
Una vez explicados los componentes bsicos de un sistema IDS, se ha de decidir de qu tipo han de ser los distintos sensores que utilizar el NIDS (pull o push), y finalmente se ha de concretar en que lugar o lugares de la red deben colocarse:
Pgina 35
A) Antes del firewall (ver figura): Esta arquitectura se basa en detectar todos los paquetes que llegan a nuestra red antes de ser filtradas por el firewall. De esta forma, realizamos una bsqueda de eventos de inters en todo el trfico recibido sin interferencias de filtros del firewall.
Sensores antes del firewall
B) En el firewall o adyacente (ver figura 3-10): Consiste en situar el sensor en el propio firewall. De esta forma se evitan ataques de intrusos a los sensores externos y se eliminan muchos falsos positivos, ya que procesamos nicamente el trfico que el firewall deja pasar.
Sensores en elfirewall C) Antes del firewall y en el firewall o adyacente (ver figura 3-11): Es la opcin es ms costosa pero que ofrece mayor seguridad, ya que permite obtener lecturas
Pgina 36
del trfico total y del trfico filtrado por el firewall. Permite examinar la configuracin del firewall y comprobar si filtra correctamente o no.
Sensores antes y en el firewall
4.4 Anlisis de los datos obtenidos por los sistemas NIDS.

Una vez comentadas las distintas arquitecturas de sistemas de deteccin de intrusos y sus protocolos de comunicacin as como sus diferentes elementos, pasamos a profundizar en el anlisis de los datos obtenidos por nuestros sistemas de seguridad. Tal como se demostr anteriormente el tamao de disco necesario para almacenar el trfico de un solo da es totalmente desorbitado (ver figura). Con los filtros aplicados al trfico supervisado y los eventos de inters disminuimos substancialmente esta cantidad, sin embargo, no solamente nos interesa el trfico registrado en un solo da, sino que nos interesan histricos de la semana, mes o incluso de aos. Toda esta cantidad de informacin debe ser almacenada de forma ptima para poder ser consultada gilmente. De otra forma, dejar de ser utilizada y por lo tanto de ser til. El problema de almacenar/recuperar informacin es un tema muy amplio que no trataremos en este documento. Sin embargo s comentaremos que ltimamente muchos productos IDS empiezan a incorporar soporte de bases de datos relacionales como elementos importantes de soporte para sus sistemas de informacin (Oracle, SQL Server, MySQL, PostgreSQL...). REDES DE COMUNICACIONES Pgina 37
Sea cual sea el formato usado para el almacenamiento de la informacin debe cumplir las siguientes caractersticas: 1. Debe realizar una reduccin importante del volumen de datos pero conservando la informacin importante. 2. Debe poseer un formato compacto, fcil de consultar, escribir y actualizar. 3. Debe permitir la interrelacin (cruce) de todos los datos entre s. El formato TCP QUAD es una reduccin compacta de la informacin contenida en los paquetes IP que se basa en almacenar una cudruple tupla que contiene los siguientes campos:
(Fecha, Direccin origen, Direccin de destino, Tipo de protocolo)
El objetivo de almacenar histricos de trficos de red es doble, por un lado poder realizar informes y estadsticas sobre incidentes en nuestra red. Por otro lado nos debe permitir conocer cuando un ataque presenta caractersticas similares (o iguales) a otro recibido anteriormente, ya que podemos obtener informacin de cmo reaccionar ante l de forma proactiva (en tiempo real), evitando ser sujetos pasivos y lamentarnos posteriormente. Definiremos la correlacin como la relacin mutua entre dos o ms elementos de un conjunto dado. De esta forma, gran parte de las consultas a las bases de datos se basarn nicamente en buscar correlaciones entre los eventos de inters detectados y los datos histricos almacenados. Correlaciones por direccin de origen: Se basan en encontrar similitudes entre conexiones provenientes de la misma fuente (por ejemplo un escner de puertos a nuestra red detectar que desde el mismo origen se realizan miles de peticiones a distintos puertos). Correlaciones por direccin de destino: Considera las conexiones que tienen como destino la misma direccin IP (por ejemplo un DOS. Tenemos miles de peticiones hacia un mismo destino). Correlaciones de firmas (crafted packed signatures): Se basan en buscar conexiones desde/hacia un puerto determinado (muchos virus y programas de backdoor basan su REDES DE COMUNICACIONES Pgina 38
comunicacin en puertos no standards). Tambin se buscan configuraciones no estandards de los distintos campos del paquete IP, como por ejemplo las banderas o flags (hay varios ataques de DOS que se basan en activar todas las opciones de los datagramas IP para ver si el sistema operativo no sabe cmo reaccionar ante ellos y queda inutilizado). Correlaciones de contenidos: Estas correlaciones hacen referencia al contenido (datos) de los distintos paquetes de informacin que circulan por la red. Buscar patrones como /etc/passwd en conexiones TELNET o FTP, inspeccionar conexiones HTTP en busca de EXEC C:\WINNT\COMMAND\FORMAT. Otras posibilidades que nos brinda la correlacin es la de poder evaluar la importancia (criticidad) de un posible incidente (ver figura). Por ejemplo podemos observar la periodicidad de los paquetes recibidos, lo que nos permite por ejemplo saber de qu ancho de banda dispone el atacante a priori. Si es una simple prueba rutinaria de un hacker a ver qu pesca enviando peticiones muy espaciadas en tiempo a distintos servicios y direcciones IP, o un ataque en toda regla a un servidor concreto.
Ejemplo de trazas para evaluar la criticidad El sistema IDS debe permitir realizar estas consultas interactivamente al operador de la consola para investigar libremente en las bases de datos. Adems deben realizarse de forma automtica slo para los eventos de inters de extrema criticidad, ya que el proceso de correlacin es muy lento y colapsara el sistema, de forma que cuando detectsemos el ataque ya sera demasiado tarde para actuar. Existe una gran controversia sobre la cantidad de tiempo (semanas, meses, aos?) que debemos tener almacenada en la base de datos del IDS para poder realizar consultas REDES DE COMUNICACIONES Pgina 39
tanto el operador como el propio sistema automticamente. Obviamente, lo deseable sera tener todo el histrico de la red, sin embargo debemos tener en cuenta que: Ms tiempo implica ms espacio de disco (crecimiento exponencial). Ms tiempo implica una ralentizacin de las bsquedas (prdida de eficiencia). Ms tiempo no implica necesariamente ms seguridad. En caso de necesitar la informtica forense (computer forense) nuestro histrico debe permitir la reconstruccin total los actos sucedidos en la red. Tambin debemos tener en cuenta las leyes vigentes de proteccin de datos y almacenamiento de logs (LORTAD).
4.5 Tipos de deteccin en los que est basado un IDS:

IDS basado en deteccin de anomalas (est basado en deteccin de comportamiento inusual del trfico o fuera de lo ordinario). Se puede basar en patrones o histricos.
IDS basado en deteccin de firmas (est basado en las firmas de los ataques y rastros de auditora) Pgina 40
Pgina 41
IDS de HOST (HIDS) o o o Software en computadoras de deteccin de intrusos Se ejecuta como un servicio Examina al equipo a travs de logs, eventos del sistema e interaccin con aplicaciones,
IDS de HOST (HIDS) o Puede manejar diversos tipos de reglas:
Firewall Uso de aplicaciones Modificacin de archivos Control de USBs Etc. Lo malo: Consumo de recursos elevado Se requiere tener en todos los equipos instalados (no es agentless)
Pgina 42
Otras tecnologas: NIPS o IPS (Intrusion PREVENTION Systems) o Orientados a bloquear (cortando) paquetes que sean considerados como ataques en la red. Toma una accin sobre la situacin.
Honeypots o Seuelo para los atacantes, para poder obtener informacin detallada del ataque y los mtodos utilizados Sistemas no seguros dejados a propsito para pescar un atacante.
4.6
Limitaciones de los IDS.
Despus de analizar los distintos tipos, arquitecturas y caractersticas de los sistemas de deteccin de intrusos, comentaremos brevemente que aspectos dejan ms abiertos o no resueltos totalmente en la actualidad. Los sistemas NIDS se basan en la observacin del trfico que circula por la red, esta nica fuente de informacin le confiere una serie de limitaciones: Si alguien crea una puerta trasera (back-door) o crea una red paralela en la intranet, probablemente los IDS no lo detectarn puesto que estn pensados y configurados para el rango IP sealado. Si alguien se apropia de una cuenta y se autentica con el login y password correcto, tampoco. Si los sensores que alimentan al IDS o el propio IDS no funciona (la mquina, el sistema operativo o el programa no se encuentra operativo) no observaremos nada. Es importante realizar un seguimiento peridico de la actividad de estos programas, ya que el hecho de tenerlos instalados o hacer un simple ping a la mquina para ver si est operativa no es una poltica de seguridad aceptable. Muchos IDS simplemente soportan protocolos muy extendidos (usualmente basados en IP como FTP, HTTP...) pero no protocolos de usos minoritarios como es el IPX/SPX o REDES DE COMUNICACIONES Pgina 43
SNA. Existen muchos exploits disponibles para estos protocolos que pasarn inadvertidos en nuestra red. Si utilizamos Novell, NetBIOS, SNA... debemos tener en cuenta este punto. Los IDS tienen un mximo de capacidad de proceso, por lo que en momentos de mucho trfico suelen descartar los paquetes que no pueden procesar. Raramente un IDS avisa de este punto, con lo que es conveniente calibrar peridicamente si nuestro IDS es capaz de soportar realmente toda la carga de la red (accesos a discos, swap, filtros muy complicados.). No hay que olvidar que usualmente un IDS no es ms que un programa que funciona en un ordenador.
5.Qu ES UN PROXY?
Omos hablar mucho acerca de servidores proxy en relacin a redes informticas, pero Qu es un Proxy? Para qu sirve? Cmo funciona? REDES DE COMUNICACIONES Pgina 44
5.1
Definicin.
Un servidor Proxy es un ordenador que sirve de intermediario entre un navegador Web e Internet. El Proxy contribuye a la seguridad de la red. Por lo general est situada en la DMZ (zona desmilitarizada).
5.2
Principio de funcionamiento.
Los servidores Proxy permiten dar seguridad y mejorar el acceso a pginas Web, conservndolas en la cach. De este modo, cuando un usuario enva una peticin para acceder a una pgina Web que est almacenada en la cach, la respuesta y el tiempo de visualizacin es ms rpido. Los servidores Proxy aumentan tambin la seguridad ya que pueden filtrar cierto contenido Web y programas maliciosos.
5.2.1
El filtrado.
Este permite bloquear sitios considerados maliciosos o sitios
El filtrado se aplica en funcin de la poltica de seguridad implementada en la red. etc.) considerados intiles en relacin a la actividad de la empresa (pornografa,
5.2.2
Autenticacin.
A fin de limitar el acceso a la red exterior, y aumentar de este modo la seguridad de la red local, se puede implementar un sistema de autenticacin para acceder a recursos externos. Esto es bastante disuasivo para los usuarios que desean visitar sitios que estn en contra de las reglas de uso de Internet en la empresa.
5.2.3
Almacenamiento de Logs.
El almacenamiento de logs de los sitios visitados y pginas vistas, permite al administrador de la red redefinir la poltica de seguridad de la red y/o detectar a un usuario que visita frecuentemente sitios maliciosos o sin relacin con la actividad de la empresa.
5.2.4
Los proxys annimos
Adems de ocultar la direccin IP, un Proxy annimo puede eliminar:
Cookies Pgina 45
Pop-ups Banners Scripts Informacin confidencial en los campos de texto (nombre de usuario y contrasea)
6.SISTEMAS DE ENCRIPTAMIENTO
La encriptacin en ordenadores, est basada en la ciencia de la criptologa, que ha sido usada a travs de la historia con frecuencia. Antes de la era digital, los que ms hacan uso de la criptologa, eran los gobiernos, particularmente para propsitos militares. La existencia de mensajes codificados han sido verificados desde los tiempos del imperio romano. Hoy en da, la mayora de los sistemas de criptografa son aplicables a ordenadores, simplemente porque la complejidad de los algoritmos es demasiada para ser calculada por seres humanos. Muchos de los sistemas de encriptacin pertenecen a dos categoras: REDES DE COMUNICACIONES Pgina 46
- Encriptacin de clave simtrica. - Encriptacin de clave pblica.
6.1
Clave simtrica
En este tipo de encriptacin, cada ordenador tiene una clave secrete (como si fuera una llave) que puede utilizar para encriptar un paquete de informacin antes de ser enviada sobre la red a otro ordenador. Las claves simtricas requieren que sepas los ordenadores que van a estar hablando entre s para poder instalar la clave en cada uno de ellos. Podemos entender una clave simtrica, como un cdigo secreto que deben saber los ordenadores que se estn comunicando para poder decodificar la informacin a su llegada. Como ejemplo sencillo, imagina que envas un mensaje otra persona pero sustituyes ciertas letras por signos como asteriscos o interrogaciones. La persona que recibe el mensaje sabe de antemano que letras en particular han sido sustituidas con esos signos por lo que volviendo a ponerlas en su sitio, podr leer el mensaje. Para los dems, la informacin no tendr ningn sentido.
6.2
Clave pblica
Este mtodo usa una combinacin de una clave privada y una clave pblica. La clave privada solo la sabe tu ordenador, mientras que la clave pblica es entregada por tu ordenador a cualquier otros ordenador que quiere realizar una comunicacin con el. Para decodificar un mensaje encriptado, un ordenador debe hacer uso de la clave pblica, entregada por el ordenador original, y su propia clave privada. Una clave pblica de encriptacin muy popular es PGP (Pretty good Privacy) que permite encriptar casi todo. Para implementar la encriptacin de clave pblica a gran escala, como puede ser un servidor Web, se necesita realizar otra aproximacin. Aqu es donde entran los certificados digitales. La autoridad certificada acta como un intermediario en el que ambos ordenadores confan. Confirma que cada ordenador es en realidad quin dice que es, y entonces provee las claves pblicas de un ordenador a otro.
Pgina 47
6.2.1. Clave pblica: SSL

Una implementacin de la encriptacin de clave pblica es SSL (Secure Sockets Layer). Originalmente desarrollada por Netscape, SSL es un protocolo de seguridad para Internet usado por navegadores y servidores Web para transmitir informacin sensitiva. SSL se ha convertido en parte de un protocolo de seguridad general llamado TLS (Transport Layer Security). En tu navegador, puedes saber si ests usando un protocolo de seguridad, como TLS por ejemplo, de varias formas. Podrs ver que en la barra de direcciones, las primeras letras http, sern reemplazadas con https, y podrs ver un pequeo cerrojo en la barra de estado en la parte inferior del navegador. La encriptacin de clave pblica conlleva mucha computacin, por lo que muchos sistemas usan una combinacin de clave pblica y simetra. Cuando dos ordenadores inician una sesin segura, un ordenador crea una clave simtrica y la enva al otro ordenador usando encriptacin de clave pblica. Los dos ordenadores pueden entonces comunicarse entre ellos usando una encriptacin de clave simtrica. Una vez que la sesin ha finalizado, cada ordenador descarta la clave simtrica usada para esa sesin. Cualquier sesin adicional requiere que una nueva clave simtrica sea creada, y el proceso es repetido. Algoritmos de encriptacin hashing La clave en una encriptacin de clave pblica est basada en un valor llamado hash. Este valor est computado a partir de un nmero usando un algoritmo llamado hashing. En esencia, este valor es una modificacin del valor original. Lo ms importante de un valor hash es que es casi imposible conocer el valor original sin saber los datos que se utilizaron para crear el valor hash. Autenticacin. Este proceso, es otro mtodo para mantener una comunicacin seguro entre ordenadores. La autenticacin es usada para verificar que la informacin viene de una fuente de confianza. Bsicamente, si la informacin es autentica, sabes quin la
Pgina 48
ha creado y que no ha sido alterada. La encriptacin y la autenticacin, trabajan mano a mano para desarrollar un entorno seguro. Hay varias maneras para autenticar a una persona o informacin en un ordenador:
- Contraseas El uso de un nombre de usuario y una contrasea provee el modo ms comn de autenticacin. Esta informacin se introduce al arrancar el ordenador o acceder a una aplicacin. Se hace una comprobacin contra un fichero seguro para confirmar que coinciden, y si es as, se permite el acceso.
- Tarjetas de acceso Estas tarjetas pueden ser sencillas como si de una tarjeta de crdito se tratara, poseyendo una banda magntica con la informacin de autenticacin. Las hay ms sofisticadas en las que se incluye un chip digital con esta informacin.
- Firma digital Bsicamente, es una manera de asegurar que un elemento electrnico (email, archivo de texto, etc.) es autentico. Una de las formas ms conocidas es DSS (Digital Signature Standard) la cual est basada en un tipo de encriptacin de clave pblica la cual usa DSA (Digital Signature Algorithm). El algoritmo DSA consiste en una clave privada, solo conocida por el que enva el documento (el firmante), y una clave pblica. Si algo es cambiado en el documento despus de haber puesto la firma digital, cambia el valor contra lo que la firma digital hace la comparacin, invalidando la firma. Recientemente, otros mtodos de autenticacin se estn haciendo populares en varios medios que deben mantenerse seguros, como son el escaneo por huellas, de retina, autenticacin facial o identificacin de voz.
6.3
Criptografa: Definicin
Es el mtodo de almacenar y transmitir la informacin en una forma que solo los

que deban leer el mensaje puedan hacerlo.
Ideal para proteger informacin sensitiva.
Pgina 49
6.3.1
Inicios de Criptografa.
Jeroglficos
Pgina 50
Mtodo Hebreo Criptogrfico
Espartanos!!: Mtodo Scytale
Cifrado Cesar C3 de Substitucin
Pgina 51
Siglo 16- Francia-Blaise de Vigenere: Cifrado Vigenere
Pgina 52
6.3.2
6.3.2.1
Mensajes Encriptados.
Clases de Cifrado:
Cifrado por Substitucin
Tipo de sistema de cifrado que cambia un carcter o smbolo por otro
Ejemplo: El da de maana la clase ser en un laboratorio en este edificio
Gl dk dg mkknk lk clksg sgrk gn un lkborktorio gn gstg gdificio REDES DE COMUNICACIONES Pgina 53
Cifrado por Transposicin Cifrado que involucra revolver las letras de alguna manera y agruparlas en patrones similares.
Cifrado Esteganogrfico Permite esconder un mensaje dentro de otro Ejemplo:
7. RSA enVISION
7.1. Qu es un Log?
Especficamente la definicin de log es: Registro oficial de eventos durante un periodo de tiempo en particular. Para los profesionales en seguridad informtica un log es usado para registrar datos o informacin sobre quin, qu, cundo, dnde y por qu un evento ocurre para un dispositivo en particular o aplicacin. La gestin centralizada de registros de eventos, en nuestro caso de seguridad, brinda al administrador un ambiente centralizado para la manipulacin de logs, entendiendo por manipulacin todo lo que implique la consulta, modificacin, almacenamiento y labores de mantenimiento de los logs. Aparte de permitir REDES DE COMUNICACIONES Pgina 54
manipularlos permite el aseguramiento de estos logs para que en un futuro puedan ser utilizados como evidencia digital. Normalmente el anlisis de los logs se hace de manera independiente por cada equipo y se convierte en una labor dispendiosa, por la gran cantidad de equipos que puede haber en la red. El administrador debe ingresar a cada equipo a ser analizado, buscar y abrir el log. A parte de ser dispendiosa esta labor, en la mayora de ocasiones se trata las alertas generadas por los dispositivos de manera independiente.
7.2. Sistema de Gestin de Logs

Es una plataforma de recoleccin, almacenamiento, y audicin de eventos informticos en su formato nativo, comnmente llamados logs. El objetivo del sistema es poder resumir la inmensa informacin contenida en los registros, ahorrando de esta manera espacio de almacenamiento en los discos y presentar los resultados de una forma clara y concisa al usuario, dotando al log de algo que por su naturaleza no tiene: brevedad y entendimiento.
Fig. Ejemplo de archivo log
Los logs son archivos de texto llano, en los cuales se registran los eventos de cualquier sistema o servicio, entendiendo como evento todo suceso que el creador de la plataforma haya considerado oportuno registrar como entradas y salidas de informacin, errores de la aplicacin, valores de rendimiento, etc. La gran mayora de herramientas informticas genera su propio log para el control de su funcionamiento. Cada sistema de gestin de logs tiene una arquitectura propia y una manera distinta de realizar su tarea, aun as podemos discernir una serie de caractersticas comunes:
Pgina 55
Fig. Arquitectura de recopilacin de datos
7.3. Plataforma RSA enVISION

El primer paso para identificar problemas de seguridad consiste en crear un panorama o una base sobre cmo debera ser la infraestructura que incluya qu usuarios acceden a las aplicaciones, cules son los patrones de trfico comunes y qu tipo de dispositivos residen en la red. La plataforma RSA enVision combina una base de conocimientos de decenas de miles de mensajes de logs conocidos con un diccionario abierto de clasificacin (taxonoma). Con el transcurso del tiempo puede incorporar patrones de red y definir automticamente bases apropiadas para detectar anomalas y patrones inusuales, y controlar grupos de dispositivos y eventos especficos. La plataforma RSA enVision recopila, procesa y almacena datos no estructurados, sin filtraciones ni normalizaciones. Tambin mantiene la cadena digital de custodia para todos los datos de logs de eventos. Los datos se almacenan sin cambio, intactos y a prueba de manipulaciones, y se puede acceder a ellos y recuperarlos para cualquier propsito de cumplimiento de normas, ahora y en el futuro.
7.4. Qu es?
La plataforma RSA enVision es la solucin lder en el mercado para Informacin de Seguridad y Administracin de Eventos (SIEM). Puede capturar todos los datos de logs de su red, todo el tiempo. Registra y almacena continuamente cada log de evento generado por cualquier dispositivo de la red, lo que garantiza que cada log sea preciso, completo y verificable. Brinda a las organizaciones una solucin de administracin de logs nica e integrada 3 en 1 para simplificar el cumplimiento de normas, mejorar la seguridad y la mitigacin de riesgos, y optimizar TI y las operaciones en red mediante recopilacin, anlisis, alerta, auditora, reporting y seguridad del almacenamiento de informacin de todos los logs de manera automatizada.
7.5. Qu hace?
La plataforma RSA enVision recopila todos los logs de eventos generados por dispositivos IP dentro de su red, hace archiving de copias de los datos de manera REDES DE COMUNICACIONES Pgina 56
permanente, procesa los logs en tiempo real y genera alertas cuando observa patrones de comportamiento sospechosos. La consola intuitiva permite que los administradores consulten el volumen completo de datos almacenados, y el software analtico avanzado convierte el complejo conjunto de datos raw no estructurado en informacin estructurada, lo que proporciona datos tiles a los administradores con el fin de brindarles ayuda en tres reas principales: Simplificacin del Cumplimiento de Normas. Los administradores pueden recopilar automticamente datos de log sobre la actividad de usuario, aplicacin, archivo y red que pueden ayudar a simplificar considerablemente los procesos de cumplimiento de normas. Ms de 1.100 informes incluidos se adaptan a los actuales requerimientos especficos de cumplimiento de normas. Asimismo, la solucin simplifica el cumplimiento de normas con cualquier legislacin futura, dado que almacena todos los datos de log sin filtracin ni normalizacin y los protege contra alteraciones, lo que proporciona una fuente de datos archivados autnticos y verificables. Seguridad Mejorada y Mitigacin de Riesgos. Con alertas de seguridad de eventos en tiempo real, monitoreo y desglose de la funcionalidad forense, la plataforma brinda a los administradores una visin clara de la informacin relevante. Dado que los administradores pueden ver y comprender las amenazas y riesgos, permite tomar medidas ms efectivas para mitigar dichos riesgos. Optimizacin de TI y Operaciones de Red. Los datos de log administrados constituyen la mejor fuente de informacin sobre el performance de la infraestructura y el comportamiento del usuario. El personal de soporte de TI puede aprovechar la plataforma RSA enVision para controlar y administrar los logs de actividades para servidores, equipos de red y plataformas de almacenamiento de informacin e incluso monitorear los activos de red, la disponibilidad y el estado de las personas, el hardware y las aplicaciones de negocio. Brinda una herramienta forense inteligente para la resolucin de problemas de infraestructura y la proteccin de recursos de infraestructura, asiste a los administradores de TI en operaciones de mesa de ayuda y ofrece visibilidad granular de comportamientos especficos de usuarios finales. Esta plataforma ayuda al logro de estas tres tareas principales por medio de: recopilacin, anlisis, alerta, auditora, reporting y seguridad del almacenamiento de informacin de todos los logs de manera automatizada. a. Recopilacin y Administracin Registra y almacena todo lo que sucede en la red, en el momento que sucede. Pgina 57
Es fcil de configurar, sin instalar agentes en su red. Se integra con cientos de dispositivos de red diferentes, listos para usar. b. Anlisis y Alerta La base de conocimientos de la plataforma aprende, crece y se adapta para reflejar un entorno de seguridad y cumplimiento de normas en constante cambio. Aplica inteligencia, anlisis forense y reporting tiles para identificar eventos y tendencias crticos para acciones y resoluciones inmediatas. Brinda una visin clara e integral de la actividad de red general con monitoreo, alertas y comprensin de eventos inusuales en tiempo real, controlados con una base revisada. c. Auditora y Reporting Escala para administrar decenas de miles de dispositivos de red, seguridad, host, aplicaciones y/o bases de datos y almacenamiento de informacin en geografas mltiples. Incluye ms de 1.100 informes incorporados y fciles de personalizar que cubren una amplia gama de problemas definidos por el usuario, polticas de seguridad interna y reglamentaciones para el cumplimiento de normas. d. Almacenamiento de Informacin Almacena sus datos de manera ms eficaz y optimiza el acceso cada vez que se necesita informacin. Brinda un almacenamiento de informacin completo, preciso y verificable para cumplir con los estndares de normas.
7.6. Cmo funciona?

La plataforma RSA enVision permite obtener logs de decenas de miles de dispositivos al mismo tiempo: incluyendo servidores Windows, firewalls Check Point y routers Cisco sin necesidad de agentes de software de cliente. Esto garantiza que All the Data se recopile continuamente, todo el tiempo. La funcionalidad de reporting, tendencias y bases de RSA enVision proporciona a TI y los administradores de red una visin general grfica a largo plazo de los eventos de seguridad y performance, lo que mejora la efectividad de planificacin y reduce la carga de trabajo. La plataforma se puede implementar como una solucin plug and play independiente o como parte de una arquitectura distribuida escalable de alta disponibilidad para enfrentar las demandas de las redes empresariales ms grandes. Cualquiera sea la opcin que elija, incluimos todos el software que necesitar sin costo adicional. La administracin basada en Web y la tecnologa RSA enVision Event Explorer, nuestra herramienta analtica de alta inteligencia, proporcionan un control intuitivo y un anlisis forense mejorado, profundo y detallado. Cuando se implementa como una solucin independiente (con la gama ES) permite que una aplicacin autnoma de seguridad consolidada haga todo, incluso recopilacin de datos, administracin, anlisis y almacenamiento de informacin. REDES DE COMUNICACIONES Pgina 58
Cuando se implementa en una arquitectura distribuida (con la gama LS), permite implementar mltiples aplicaciones dedicadas cuando se requieren realizar funciones clave. Los recopiladores locales y remotos renen datos. Los servidores de datos administran los datos. Los servidores de aplicaciones realizan anlisis y reporting. Los datos mismos se pueden almacenar mediante almacenamiento de informacin de conexin directa, en lnea, near-line u offline de la cartera completa de almacenamiento de informacin de EMC.
7.7. La Plataforma RSA enVision permite:

Ver eventos en tiempo real y correlacionar eventos en todos los tipos de dispositivos. Notificar anomalas de lneas de base. Notificar actividades inusuales de usuarios con privilegios. Mantener la cadena de custodia digital con los datos de registros inalterados para la retencin de datos y los requerimientos forenses. Automatizar los informes de cumplimiento de normas. Proporcionar resmenes de trfico IP entrante y saliente.
7.8. Ventajas
Brinda una arquitectura distribuida y escalable para recopilar, almacenar, proteger y analizar datos de logs de eventos sin prdidas ni daos, de manera local y remota. Elimina los costos y la complejidad del cumplimiento de normas y seguridad. Elimina los costos, tiempos y estrs de la administracin de logs y brinda la visibilidad de red completa y las herramientas necesarias para el monitoreo y cumplimiento de normas y polticas de seguridad.
Pgina 59
7.9. Visibilidad Total. Control Total.

En cualquier red IP, casi todos los dispositivos, desde firewalls a servidores, generan logs del trfico que transportan, de las transacciones que realizan y de las actividades que conducen. Estos datos son vitales para asegurar el uso exitoso de la red. Lo ayuda a optimizar la seguridad, la continuidad de negocio y el performance de la red y proporciona un registro esencial de todos los eventos de red y actividad de usuario, ayudando a que su organizacin cumpla con las reglamentaciones gubernamentales, industriales e internas. Sin embargo, el monitoreo de miles de dispositivos y el manejo y la proteccin posterior de los datos de logs de eventos que produce cada dispositivo abarcando miles de eventos por segundo, todos los das, pueden ser un enorme desafo. La plataforma RSA enVision facilita a los profesionales de red, del cumplimiento de normas y de seguridad la identificacin, exploracin y resolucin de tendencias y eventos crticos mediante la creacin de un cuadro claro e integral de la actividad de su red.
7.10.
Un Registro Completo de Actividad
La plataforma RSA enVision proporciona un informe completo de la actividad de la red y los medios para cumplir con las demandas de control de acceso y configuracin, deteccin de malware, aplicacin de polticas, administracin y monitoreo de usuarios, y seguridad de transmisin y en el entorno. Esto lo logra mediante: REDES DE COMUNICACIONES Pgina 60
Recopilacin, proteccin y almacenamiento de datos de manera segura y eficiente, tal como los registraron los dispositivos de red. Establecimiento de bases de actividad para todo el entorno de red a fin de definir qu constituye una actividad normal y detectar desviaciones de la base. Envo de alertas a las partes que se desvan de las actividades de base y deteccin de patrones complejos de actividad maliciosa en mltiples dispositivos de red, seguridad y almacenamiento de informacin y en mltiples aplicaciones de host. Generacin de resmenes e informes detallados para los periodos exigidos, mediante datos histricos y en tiempo real. Realizacin de anlisis forenses para corregir polticas y configuraciones de sistemas y para proporcionar una visin de nivel de depuracin de todos los cambios y del efecto que tiene en el entorno. Establecimiento de herramientas de administracin de incidentes para monitorear infracciones en detalle y corregirlas, y asegurarse de que se registren, escalen y corrijan de manera oportuna y profunda.
GLOSARIO
Acnowledgement (ACK): (acuse de recibo) Un tipo de mensaje que se enva para indicar que un bloque de datos ha llegado a su destino sin errores.
Pgina 61
Active X: Un lenguaje de programacin apoyado en controles OLE, Visual Basic y Libreras del entorno Windows (OCX) de Microsoft Active X permite que interacten aplicaciones Windows con el World Wide Web. Actualmente solo es soportado por el Internet Explorer, aunque existen planes para integrarlo a plataformas Macintosh y UNIX. Algoritmo de Encriptacin o Cifrado: Sistema de encriptacin (con mayor grado de sofisticacin cada da) que permite mover informacin por las redes con seguridad. Existen varios algoritmos, a cual ms complejo y eficaz, destacando entre todos MD5, DES, DES2, RC3, RC4 y, sobre todo, el SSL (Secure Sockets Layer) de Netscape que, posiblemente, se convierta en el algoritmo que adopte definitivamente 'Internet'. Estos sofisticados algoritmos se caracterizan por sus claves de encriptacin que oscilan entre 40 y 120 bits. Las claves de encriptacin superiores a 40 bits no son legalmente exportables fuera de los EE.UU. por razones de seguridad. Application Program Interface (API): Conjunto de convenciones de programacin que definen cmo se invoca un servicio desde un programa. ARP: Address resolution protocol. Protocolo utilizado en las redes de difusin para resolver la direccin de IP en base a la direccin de trama de capa 2. Backbone: Nivel ms alto en una red jerrquica. Se garantiza que las redes aisladas (stub) y de trnsito (transit) conectadas al mismo eje central estn interconectadas. BOOTP: Protocolo de bajo nivel para la asignacin de direcciones IP a mquinas simples desde un servidor en una red fsica. Bridge (puente): Un bridge se utiliza cuando tenemos que conectar dos redes a nivel de capa de enlace. El dispositivo conecta dos o ms segmentos de la misma LAN. Las dos LANs a ser conectadas pueden ser similares o no, por ejemplo, el bridge puede conectar dos Ethernets entre s o una ethernet y una Token Ring. A diferencia de los routers, los bridges son independientes del protocolo y tansparentes para la capa de red (capa 3). Los Bridges realizan funciones de forwarding y filtrado de paquetes sin rerutear mensajes, en consecuencia pueden ser ms rpidos que los routers, pero son mucho menos verstiles.
Pgina 62
Certificado: consiste en una pareja clave privada-clave pblica. Fsicamente son dos archivos que unidos, permiten definir un conjunto de claves de encriptacin y una identidad certificada. La clave privada nunca abandona el servidor, por lo que NADIE obtiene esta informacin, por lo que NADIE podr suplantar la identidad del servidor certificado. CGI: (Common Gateway Interface). Una interfaz escrita en un lenguaje de programacin (perl, c, c++,visual basic, etc) y posteriormente ejecutada o interpretada por una computadora servidor para contestar pedidos del usuario desde una computadora con una aplicacin cliente casi siempre desde el World Wide Web. Esta interfaz permite obtener los resultados pedidos, como los que resultan al consultar una base de datos. Cookie: Procedimiento ejecutado por el servidor que consiste en guardar informacin acerca del cliente para sus posterior recuperacin. En la prctica la informacin es proporcionada desde el visualizador al servidor del Word Wide Web va una forma o un mtodo interactivo que puede ser recuperado nuevamente cuando se acede al servidor en el futuro. Es utilizado por ejemplo para el registro a un servicio. Clave privada: Es la clave que tan slo nosotros conocemos y que utilizamos para desencriptar el mensaje que nos envan encriptado con nuestra clave pblica. Este sistema de clave pblica y clave privada se conoce como sistema asimtrico. Clave pblica: Es la clave que hacemos que est al alcance de todo el mundo para que nos puedan enviar un mensaje encriptado. Tambin con ella pueden desencriptar lo que les enviemos encriptado con nuestra clave privada. Clave secreta: Es el cdigo bsico utilizado para encriptar y desencriptar un mensaje. Cuando se utiliza la misma para las dos funciones, estamos ante un sistema simtrico. Cliente: Un sistema o proceso que solicita a otro sistema o proceso que le preste un servicio. Una estacin de trabajo que solicita el contenido de un archivo a un servidor es un cliente de este servidor. Ver tambin: "client-server model", "server". Client-server model: (modelo cliente-servidor) Forma comn de describir el paradigma de muchos protocolos de red. Computer Emergency Response Team (CERT): (Equipo de Respuesta para Emergencias Informticas) El CERT creado por DARPA en Noviembre de 1988 como respuesta a las carencias mostradas durante el incidente del gusano ("worm") de Internet. Los objetivos del CERT son trabajar junto a la comunidad Pgina 63
Internet para facilitar su respuesta a problemas de seguridad informtica que afecten a los sistemas centrales de Internet, dar pasos proactivos para elevar la conciencia colectiva sobre temas de seguridad informtica y llevar a cabo tareas de investigacin que tengan como finalidad mejorar la seguridad de los sistemas existentes. Los productos y servicios del CERT incluyen asistencia tcnica 24 horas al da para responder a incidencias sobre seguridad informtica, asistencia sobre vulnerabilidad de productos, documentos tcnicos y cursos de formacin. Adicionalmente, el CERT mantiene numerosas listas de correo (incluyendo una sobre Avisos CERT) y ofrece un servidor de FTP annimo, en "cert.org" donde se archivan documentos y herramientas sobre temas de seguridad informtica. Al CERT puede llegarse mediante correo electrnico en "cert@cert.org" y por telfono en el +1-412-268-7090 (asistencia 24 horas al da). Cracker (intruso): Un "cracker" es una persona que intenta acceder a un sistema informtico sin autorizacin. Estas personas tienen a menudo malas intenciones, en contraste con los "hackers", y suelen disponer de muchos medios para introducirse en un sistema. Criptoanlisis: La rama del conocimiento que se encarga de descifrar los mensajes encriptados sin conocer sus llaves. Se dice que determinada clave ha sido rota cuando alguien logra descifrar un mensaje sin conocer la clave que le dio origen. Criptografa: La rama del conocimiento que se encarga de la escritura secreta, originada en el deseo humano por mantener confidenciales ciertos temas. DES: abreviatura de Data Encryption Standard, un sistema desarrollado a fines de los aos 70 y que se basa en el sistema de la llave nica. DNS (Domain Name Service): Base de Datos distribuida que mapea nombres de sistemas con direcciones IP y viceversa. Dominio: Conjunto de computadoras que comparten una caracterstica comn, como el estar en el mismo pas, en la misma organizacin o en el mismo departamento. Cadadominio es administrado por un servidor de dominios. Finger (dedo): Programa que muestra informacin acerca de un usuario especfico, o acerca de todos los usuarios, conectado a un sistema o remoto. Habitualmente se muestra el nombre y apellidos, hora de la ltima conexin, tiempo de conexin sin actividad, lnea del terminal y situacin de ste. Puede tambin mostrar archivos de planificacin y de proyecto del usuario. Filtro de Paquetes: Programa que intercepta paquetes de datos, los lee y rechaza los que no estn en un formato predefinido. Firewall: un sistema diseado para evitar accesos no autorizados desde o hacia una red privada. Los Firewalls pueden estar implementados en hardware o software, o una combinacin de ambos. Los firewalls son frecuentemente utilizados para evitar el acceso no autorizado de usuarios de internet a redes privadas conectadas a la misma, especialmente intranets. Todos los mensajes que dejan o entran a la red pasan a travs del firewall, el cual examina cada mensaje y bloquea aquellos que no cumplan con determinado criterio de seguridad. Existen varias tcnicas de firewall: Filtrado de paquetes: Examinar a cada paquete que deje o entre a la red, y aceptarlo o rechazarlo basado en reglas definidas por el usuario. El filtrado de Pgina 64
paquetes es efectivo y transparente a los usuarios, pero es difcil de configurar. Adicionalmente, es susceptible a IP spoofing. Gateway de aplicacin: Aplica mecanismos de seguridad a aplicaciones especficas como FTP y Telnet. Es muy efectivo, pero puede provocar degradaciones de perfomance. Gateway a nivel de circuito: Aplica mecanismos de seguridad cuando una conexin TCP es establecida. Una vez establecida los paquetes circulan sin ms inspeccin. Proxy server: Intercepta todos los mensajes que entran y dejan la red. Un proxy server oculta en forma efectiva las direcciones reales de red. Ver proxy, proxy server. En la prctica, un firewall utiliza alguna o varias de estas tcnicas en conjunto. Firewall Router: Filtro de paquetes que filtra el trfico en base a la direccin destino y fuente. FTP (File Transfer Protocol): Protocolo parte de la arquitectura TCP/IP utilizado para la transferencia de archivos. Fully Qualified Domain Name (FQDN) (Nombre de Dominio Totalmente Cualificado): El FQDN es el nombre completo de un sistema y no slo el nombre del sistema. Por ejemplo, "venus" es un nombre de sistema y "venus.sfp.gov.ar" es un FQDN. Gateway a Nivel de Aplicacin: Programas escritos especialmente que proveen una barrera de seguridad interpretando los datos producidos por aplicaciones tal como pasan por el firewall. (Ver firewall) Gateway a Nivel de Circuito: Barrera que intercepta sesiones TCP interponiendo aplicaciones especialmente escritas que leen y copian los datos a travs del Firewall. (Ver firewall) Gopher: Un servicio de distribucin de informacin que ofrece colecciones jerarquizadas de informacin en Internet. Gopher utiliza un protocolo simple que permite a un cliente Gopher acceder a informacin desde cualquier servidor Gopher que est accesible, proporcionndole un nico "espacio Gopher" (Gopher space) de informacin. Hacker: Persona que tiene un conocimiento profundo acerca del funcionamiento de redes y que puede advertir los errores y fallas de seguridad del mismo. Al igual que un cracker busca acceder por diversas vas a los sistemas informticos pero con fines de protagonismo. Header (cabecera): Parte inicial de un paquete, que precede a los datos propiamente dichos y que contiene las direcciones de origen y destino, control de errores y otros campos. Una cabecera es tambin la porcin de un mensaje de correo electrnico que precede al mensaje propiamente dicho y contiene, entre otras cosas, el emisor del mensaje, la fecha y la hora. Host (sistema central): Computador que permite a los usuarios comunicarse con otros sistemas centrales de una red. Los usuarios se comunican utilizando programas de aplicacin, tales como el correo electrnico, Telnet y FTP. HTML Lenguaje de marcado de hipertexto, (Hiper-Text Markup Languaje) es el lenguaje con que se escriben los documentos en el World Wide Web. A la fecha Pgina 65
existen tres versiones de HTML. HTML 1, se sientan las bases para la disposicin del texto y las grficas, HTML 2 donde se agregan formas y HTML 3 (llamado tambin extensiones Netscape) donde se aaden tablas, mapas, etc. HTTP. Protocolo de Transferencia de Hipertextos (Hiper-Text Transfer Protocol). Es el protocolo usado por el Word Wide Web para transmitir pginas HTML. Hub Un punto comn de conexin de dispositivos en una red. Los hubs son usados comnmente para conectar segmentos de una LAN. Un hub contiene mltiples ports. Cuando un paquete llega al port, es copiado a los otros ports, de esta manera los otros segmentos de la LAN pueden ver todos los paquetes. Un hub pasivo simplemente sirve de conductor de datos entre los diferentes ports. Los llamados hubs inteligentes incluyen servicios adicionales como permitir a un administrador monitorear el trfico y configurar cada port del hub. Estos hubs se conocen generalmente como hubs administrables (manageable hubs). Un tercer tipo de hub, llamado switching hub, lee la direccin de destino en cada paquete y lo enva al port correcto. Vase tambin repeater, switching hubs. IMAP. Protocolo de Acceso a Mensajes de Internet (Internet Message Access Protocol). Protocolo diseado para permitir la manipulacin de mailboxes remotos como si fueran locales. IMAP requiere de un servidor que haga las funciones de oficina de correos pero en lugar de leer todo el mailbox y borrarlo, solicita slo los encabezados de cada mensaje. Se pueden marcar mensajes como borrados sin suprimirlos completamente, pues estos permanecen en el mailbox hasta que el usuario confirma su eliminacin. Integrated Services Digital Network (ISDN): Red Digital de Servicios Integrados. Tecnologa en plena evolucin. ISDN combina servicios de voz y digitales a travs de la red en un solo medio, haciendo posible ofrecer a los clientes servicios digitales de datos as como conexiones de voz a travs de un solo cable". Intranet. Una red privada dentro de una compaa u organizacin que utiliza el mismo software que se encuentra en Internet, pero que es solo para uso interno. IP address (Direccin IP) Direccin de 32 bits definida por el Protocolo Internet en STD 5, RFC 791. Se representa usualmente mediante notacin decimal separada por puntos. Java: Un lenguaje de programacin que permite ejecutar programas escritos en un lenguaje muy parecido al C++, llamados applets, a travs del World Wide Web. La diferencia contra un CGI es que la ejecucin se realiza totalmente en la computadora cliente, en lugar del servidor. Java fue originalmente desarrollado por Sun Microsystems. El principal objetivo de JAVA fue hacer un lenguaje que fuera capaz de ser ejecutado de una forma segura a travs de Internet. Esta caracterstica requiere la eliminacin de muchas construcciones y usos de C y C+ +. El ms importante es que no existen punteros. Java no puede acceder arbitrariamente a direcciones de memoria. Java es un lenguaje compilado en un cdigo llamado "codigo-byte" (byte-code). Este cdigo es interpretado "en vuelo" por el intrprete Java. Local Area Network (LAN) (Red de rea Local) Red de datos para dar servicio a un rea geogrfica pequea, un edificio por ejemplo, por lo cual mejorar los protocolos de seal de la red para llegar a velocidades de transmisin de hasta 100 Mbps (100 millones de bits por segundo). Pgina 66
Mail gateway (pasarela de correo) Mquina que conecta entre s a dos o ms sistemas (incluso diferentes) de correo electrnico y transfiere mensajes entre ellos. A veces, la transformacin y traduccin pueden ser muy complejas. MAN: Metropolitan Area Network. Red de rea Metropolitana. MIME. Extensiones de Correo de Internet de Mltiples propsitos (Multipurpose Internet Mail Extensions) Tcnica para codificar archivos y anexarlos a un mensaje de correo electrnico. Permite principalmente enviar archivos binarios como parte de un mensaje. MTA. Agente para el transporte de correo electrnico (Mail Transport Agent) son programas que se encargan de distribuir los mensajes generados en el sistema. El ms popular es el llamado sendmail, distribuido con sistemas UNIX. MTU: Maximum Transmission Unit. Unidad Mxima de Transmisin. Tamao mximo de paquete en protocolos TCP/IP como el PPP. NSA: National Security Agency. Agencia Nacional de Seguridad. Organismo americano para la seguridad, entre otras cosas, informtica. Navegador: Aplicado normalmente a programas usados para conectarse al servicio WWW. Nodo: Por definicin punto donde convergen mas de dos lneas. A veces se refiere a una nica mquina en Internet. Normalmente se refiere a un punto de confluencia en una red. PAP: Password Authentication Protocol. Protocolo de Autentificacin por Password. Protocolo que permite al sistema verificar la identidad del otro punto de la conexin mediante password. PEM: Private Enhanced Mail. Correo Privado Mejorado. Sistema de correo con encriptacin. PGP: Pretty Good Privacity. Paquete de encriptacin basado en clave pblica escrito por Phil Zimmerman. Packet internet Groper (PING) (Bsqueda de Direcciones de Internet) Programa que se utiliza para comprobar si un destino est disponible. POP. Protocolo de Oficina de Correos (Post Office Protocol) Programa cliente que se comunica con el servidor, identifica la presencia de nuevos mensajes, solicita la entre de los mismos. PPP Protocolo Punto a Punto (Point to Point Protocol). Implementacin de TCP/IP por lneas seriales (como en el caso del mdem). Es ms reciente y complejo que SLIP. Protocolo Descripcin formal de formatos de mensaje y de reglas que dos computadores deben seguir para intercambiar dichos mensajes. Proxy Una substitucin de direcciones, usado para limitar la informacin de direcciones disponibles externamente. Proxy Server: Un server que se sita entre la aplicacin cliente, como por ejemplo un web browser, y un server real. Intercepta todos los requerimientos al server real para ver si las puede resolver l. Si no, enva el requerimiento al server real. Los proxy servers tienen dos propsitos principales: Mejorar la perfomance: Los proxy server mejoran la perfomance de un grupo de usuarios, ya que guardan los resultados de los requerimientos de los mismo una determinada cantidad de tiempo. Considrese el caso en que los Pgina 67
usuarios A y B acceden a WWW a travs de un proxy server. El usuario A accede una determinada pgina web, que llamaremos por ejemplo pgina 1. Algn tiempo despus, el usuario B accede a la misma pgina. En vez de enviar el requerimiento al server en donde reside la pgina 1, lo cual puede ser una operacin lenta, el proxy server retorna la pgina 1 que haba buscado para el usuario A, la cual fue convenientemente guardada en cach. Como el proxy server est usualmente en la misma red que el usuario, esta operacin es mucho ms rpida. Filtrar requerimientos y/o registrarlos: Los proxy servers pueden adems evitar que se accedan a determinados web sites, y registrar en un log los lugares accedidos. Permitir el acceso seguro de intranets a internet: En este caso los usuarios de la intranet acceden a internet a travs del proxy, el cual tiene direcciones reales de internet mientras que los usuarios de la intranet estn en direcciones privadas, aislados y seguros de la internet. RARP: Reverse Address Resolution Protocol. Protocolo de Resolucin de Direccin de Retorno. Protocolo de bajo nivel para la asignacin de direcciones IP a mquinas simples desde un servidor en una red fsica. Repeater (repetidor) Un repetidor simplemente reexpide bits de una red hacia otra, haciendo que las dos se vean lgicamente como una sola red. A menudo las redes se dividen en dos o ms piezas, como consecuencias de las restricciones de mxima longitud de cable de cada pieza individual. Los repetidores son poco inteligentes (no hay software), slo copian bits ciegamente. Request For Comments (RFC) (Peticin de comentarios) Serie de documentos iniciada en 1969 que describe el conjunto de protocolos de Internet. No todos los rfcs (en realidad muy pocos de ellos) describen estndares de Internet pero todos los estndares Internet estn escritos en forma de rfcs. La serie de documentos RFC es inusual en cuanto los protocolos que describen son emitidos por la comunidad Internet que desarrolla e investiga, en contraste con los protocolos revisados y estandarizados formalmente que son promovidos por organizaciones como la ITU. Router (direccionador) Dispositivo que distribuye trfico entre redes. La decisin sobre a dnde enviar se realiza en base a informacin de nivel de red y tablas de direccionamiento. El router se necesita cuando las dos redes utilizan la misma capa de transporte y tienen diferentes capas de red. Por ejemplo, para una conexin entre una red local ethernet y una red pblica X.25, se necesitara un router para convertir las tramas ethernet a la forma que exige la red X.25.
Pgina 68
De esta manera la definicin terica del router es la de un dispositivo que cubre hasta la capa 3 del modelo OSI, aunque en la prctica, cubren hasta la 4 (transporte) ya que inspeccionan las sesiones y los ports utilizados, para filtrar trfico mediante access-lists, por ejemplo. Los Routers tienen amplio soporte para protocolos LAN y WAN, y adems cuentan con diferentes interfaces de esos tipos. Son equipos con un tiempo medio de falla muy alto, confiables, y que una vez configurados requieren muy poco mantenimiento. Poseen caractersticas que hacen que rara vez deban ser detenidos, por ejemplo, mantenimiento del software y actualizacin del mismo sin disrupcin del servicio, y desde el punto de vista del hardware, los modelos high end poseen caractersticas tales como placas hot swap, esto es, pueden ser cambiadas sin detener el equipo, y fuentes de alimentacin redundantes. RSA: Rivest, Shamir, Adelman [public key encryption algorithm]. Algoritmo de encriptacin de clave pblica desarrollado por Rivest, Shamir y Adelman. SATAN: Security Analysis Tool for Auditing Networks. Herramienta de Anlisis de Seguridad para la Auditoria de Redes. Conjunto de programas escritos por Dan Farmer junto con Wietse Venema para la deteccin de problemas relacionados con la seguridad. SEPP: Secure Electronic Payment Protocol. Protocolo de Pago Electrnico Seguro. Sistema de pago a travs de Internet desarrollado por Netscape y Mastercard. S-HTTP: Secure HTTP. HTTP seguro. Protocolo HTTP mejorado con funciones de seguridad con clave simtrica. SMTP: Simple Mail Transfer Protocol. Protocolo de Transferencia Simple de correo. Es el protocolo usado para transportar el correo a travs de Internet. SSL: Secure Sockets Layer. Capa de Socket Segura. Protocolo que ofrece funciones de seguridad a nivel de la capa de transporte para TCP. Pgina 69
STT: Secure Transaction Technology. Tecnologa de Transaccin Segura. Sistema desarrollado por Microsoft y Visa para el comercio electrnico en Internet. Switching Hub: Tambin llamado port-switching hub o simplemente switch es un tipo especial de hub que enva los paquetes al port apropiado basado en la direccin del paquete. Los hubs convencionales simplemente difunden cada paquete a cada port. Como los switching hubs envan cada paquete solo a los ports requeridos, proveen mucha mejor perfomance. Muchos switching hubs soportan adems load balancing, de esta manera los ports son reasignados dinmicamente a diferentes segmentos de LAN basados en el trfico. Adems, varios modelos soportan ethernet a 10 Mbps. y Fast Ethernet (100 Mbps), esto permite al administrador establecer un canal dedicado de Fast ethernet a dispositivos como por ejemplo servers. NOTA Ntese la implicancia en seguridad que tiene usar switching hubs, un sniffer colocado en un port solo vera las tramas dirigidas a ese port, con lo cual no podra inspeccionar tramas que no le correspondan. Por ende, es esencial utilizar switches en vez de hubs comunes. TCP: Transmission Control Protocol. Protocolo de control de Transmision. Uno de los protocolos ms usados en Internet. Es un protocolo de capa de transporte. TCP/IP (Transmission Control Protocol/Internet Protocol) Arquitectura de red desarrollada por la "Defense Advanced Research Projects Agency" en USA, es el conjunto de protocolos bsicos de Internet o de una Intranet. Telnet Telnet es el protocolo estndar de Internet para realizar un servicio de conexin desde un terminal remoto. Est definido en STD 8, RFC 854 y tiene opciones adicionales descritas en muchos otros RFCs Texto plano: se llama as al documento antes de ser encriptado. ( Plain Text ) Token Dispositivo de autentificacin que genera contraseas de una-vez. Los usuarios que los utilizan son llamados "usuarios autenticados". Trojan Horse (Caballo de Troya) programa informtico que lleva en su interior la lgica necesaria para que el creador del programa pueda acceder al interior del sistema que lo procesa. UDP. Protocolo de Datagramas de usuario (User Datagram Protocol). Protocolo que no pide confirmacin de la validez de los paquetes enviados por la computadora emisora. Este protocolo es actualmente usado para la transmisin de sonido y vdeo a travs de Internet. El UDP est diseado para satisfacer necesidades concretas de ancho de banda, como no reenva los datos perdidos, es ideal para el trfico de voz digitalizada, pues un paquete perdido no afecta la calidad del sonido. URL. Localizador Uniforme de recursos (Uniform Resorce Locator). Sistema de direccionamiento estndar para archivos y funciones de Internet, especialmente en el Word Wide Web. El url est conformado por el servicio (p. e. http://) ms el nombre de la computadora (p. e. www.sfp.gov.ar) ms el directorio y el archivo referido. WAN: Wide Area Network. Red de Area Extensa. WWW, WEB o W3: World Wide Web. Estrictamente que la WEB es la parte de Internet a la que accedemos a travs del protocolo HTTP y en consecuencia gracias a Browsers normalmente grficos como Netscape.
Pgina 70
CONCLUSIONES
El objetivo de este trabajo de investigacin ha sido el de presentar toda una serie de elementos complementarios a los mecanismos de seguridad tradicionales. Estos elementos no deben ser vistos como una alternativa, sino como un complemento necesario para poder garantizar la seguridad de una red TCP/IP. La gran cantidad de formas de abordar el problema de la deteccin de ataques e intrusiones ha dado lugar a numerosas y variadas propuestas y soluciones. La mayor parte de estas propuestas basan su capacidad de deteccin en la recogida de REDES DE COMUNICACIONES Pgina 71
informacin desde una gran variedad de fuentes de auditora de sistema, analizando posteriormente estos datos de distintas formas. Algunas consisten en comparar los datos recogidos con grandes bases de datos de firmas de ataques ya conocidos, otros tratan de encontrar problemas relacionados con usuarios autorizados que sobrepasan sus acciones permitidas en el sistema, o incluso mediante el anlisis estadstico, buscando patrones que indiquen actividad anormal y que no se hayan tenido en cuenta en los pasos anteriores. Existen tambin mecanismos de seguridad que tratan de mejorar el problema de la seguridad de una red desde un punto de vista mucho ms activo. Tanto los mecanismos de proteccin de la informacin como los mecanismos de prevencin y deteccin tradicionales son utilizados para proteger los recursos de la red, detectando deficiencias en la seguridad y reaccionando ms tarde para solventar estos inconvenientes. Como novedad, estos nuevos elementos cambian las reglas del juego, ofreciendo la posibilidad de tomar la iniciativa utilizando tcnicas de monitorizacin para registrar y analizar las acciones de los atacantes para aprender de sus conocimientos. Una tercera categora de elementos de deteccin que hemos visto trata de unir la capacidad de bloqueo de los mecanismos de prevencin con las capacidades de anlisis de los sistemas de deteccin. Conocidos como sistemas de prevencin de intrusos, estos nuevos elementos son considerados como la evolucin lgica de los sistemas de deteccin de intrusos tradicionales. Por ultimo, un caso de especial inters para los sistemas de deteccin son los ataques distribuidos. Estos ataques no se pueden detectar de forma aislada, sino que es necesario poner en correlacin mltiples indicios encontrados en diferentes equipos de una red. Dos de las propuestas ms utilizadas para poder construir sistemas capaces de detectar este tipo de ataques son la utilizacin de nodos dedicados (mediante una arquitectura centralizada o jerrquica) y la utilizacin de nodos distribuidos (mediante una arquitectura basada en cdigo mvil o mediante la cooperacin de nodos mediante un paso de mensajes).
Pgina 72
RECOMENDACIONES DE SEGURIDAD
Se debe de tener en cuenta que las medidas que se recomiendan para empresas con bajo/medio nivel de dependencia son tambin vlidas para los niveles de dependencia superiores. Se han detallado las recomendaciones de seguridad en tres partes segn afecten tcnicamente al puesto de trabajo, al sistema y servidores o redes. 1. Recomendaciones de seguridad para Puesto de trabajo Realizar la actualizacin del SO e instalacin de los service packs. Tomar medidas para la gestin de archivos compartidos: Cortafuegos. Manual de configuracin segura del navegador. Eliminar los servicios/aplicaciones innecesarios. Utilizar puntos de anti-malware, anti-spyware, anti-spam y filtros de contenidos personales. Llevar a cabo la operacin y administracin de un sistema de gestin de parches. REDES DE COMUNICACIONES Pgina 73
Implementar la operacin y administracin de un sistema de gestin de seguridad integrado (polticas, normas).
2. Recomendaciones de seguridad para Sistemas y Servidores Automatizar/activar el parcheo de seguridad del SO de servidores. Tomar medidas para la gestin de archivos compartidos. Activar las reglas de seguridad en el sistema de ficheros. Eliminar los servicios innecesarios. Instalar productos de control de acceso. Establecer permisos. Perfiles de usuarios. Activar opciones de seguridad y tunning de TCP/IP (Transmission Control Protocol/Internet Protocol). Llevar a cabo la Operacin de la seguridad del SO y de servidores Web, Mail, Base de Datos, DNS (Servidor de Nombres de Dominio). Instalar, configurar y administrar un sistema de gestin de parches y vulnerabilidades. Llevar a cabo una Auditora de vulnerabilidades. En caso de empleados con acceso desde el exterior asegurar que este se realiza mediante canales seguros. 3. Recomendaciones de seguridad para Redes Construir una red privada utilizando las funciones bsicas del SO y de los dispositivos de red. Activar la seguridad en routers y switches (enrutadores y conmutadores). Instalar, configurar y gestionar cortafuegos y productos de prevencin de fraude y malware a nivel de red. Instalar, configurar y gestionar IDS/IPS y VPN. Instalar, configurar y gestionar herramientas de gestin de sistemas empresariales y de sistemas de gestin de redes. Contratar un outsourcing o externalizacin de servicios de operacin de seguridad. En caso de que se disponga de instalaciones en ubicaciones separadas de la organizacin se debe establecer mecanismos de comunicacin seguros (VPN). 4. Otras recomendaciones Las redes de rea local, los accesos a Internet, las redes inalmbricas (wi-fi), los enlaces de radio, microondas, telfono (modem), debern estar convenientemente identificados y vigilados. Realizar una documentacin detallada de la arquitectura de red. Esto permitir identificar exactamente cules son los puntos de conexin, donde estn localizados y como se puede ingresar al sistema de la organizacin por cada uno de ellos.
Pgina 74
Una documentacin exhaustiva de todos los elementos de red y de sus funciones y configuraciones permitir identificar los elementos ms delicados dentro de la estructura. Gracias a esta documentacin se podrn establecer niveles de seguridad adecuados, planes de contingencia o acciones de mejora continua que permitan mantener un nivel de seguridad integral. Es necesario proveer a la red de todos los medios posibles de proteccin ante accesos, tantos internos como externos: routers que fijen el trfico entre dispositivos, firewalls que impidan accesos desde el exterior de la red de planta, sistemas de deteccin de intrusos que alerten de intentos de conexin, etc. Herramientas especiales pueden ayudar a analizar la actividad del sistema y determinar si ocurren comportamientos irregulares (transferencia de archivos fuera de horas de trabajo por ejemplo).
BIBLIOGRAFA
Ttulo: Seguridad en redes IP. Autor: Gabriel Septiembre del 2003. Ttulo: Seguridad en Unix y redes. Versin 2.1. Autor: Antonio Villaln Huerta. Julio, 2002. Ttulo: Fundamento en Seguridad y Redes. Autor: William Stallings. 2da edicin. 2004. http://www.monografias.com/trabajos30/seguridad-redes/seguridad-redes.shtml Verdejo lvarez. Bellaterra.
Pgina 75
Artculo: Protocolos de seguridad en redes inalmbricas. Autor: Saulo Barajas. Ttulo: Protocolos Criptogrficos y Seguridad en Redes. Autor: Jaime Gutirrez y Juan Tena. 1 edicin. 2003. http://biblioteca.pucp.edu.pe/docs/elibros_pucp/alcocer_carlos/24_Alcocer_2000_ Redes_Cap_24.pdf Material de estudio del curso de Seguridad Informtica de la USMP - FIA.
Pgina 76

Trabajo Final de Redes 2011 2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Trabajo Final de Redes 2011 2

Uploaded by

Copyright:

Available Formats

REDES DE COMUNICACIONES

La Molina, 07 de noviembre de 2011

De qu nos queremos proteger?

Las amenazas a la seguridad de un sistema provenientes del

Generalmente, se trata de personas descontentas con la

Los entornos de seguridad media son un objetivo tpico de los

Este es el grupo de atacantes de un

A estos errores de programacin se les denomina

Herramientas de seguridad, Cualquier

Durante el desarrollo de aplicaciones grandes o de

Las bombas lgicas son partes de cdigo de ciertos

son canales de comunicacin que permiten a un

Un virus es una secuencia de cdigo que se inserta en un _chero

Gusanos, Un gusano es un programa capaz de ejecutarse y propagarse por

Los troyanos o caballos de Troya son instrucciones

Cmo nos podemos proteger?

Visin global de la seguridad informtica

Mecanismos de autenticacin e identificacin:

Mecanismos de control de acceso:

Mecanismos de seguridad en las comunicaciones:

2.POLTICAS GENERALES DE SEGURIDAD:

2.2 Elementos de una poltica de seguridad informtica:

3.TIPOS DE ATAQUES Y VULNERABILIDADES:

3.1.1 Qu es Denial of service? Descripcin de ataques.

E-mail bombing y spamming

4.SISTEMAS DE DETECCIN DE INTRUSOS (IDS)

Network TAP debe ser colocado en ubicacin requerida.

(allow everything) dnde el uso de filtros es

Permisividad mnima (deny everything) aplica la poltica contraria a la

Historia de los IDS

Monitorizacin de redes en tiempo real.

Porcentaje acumulativo de datagramas IP en INTERNET en el ao 2000.

Anchos de banda y tamao diario de las redes ms comunes

Que el administrador de seguridad est cualificado (conozca perfectamente

Ejemplo de un filtro para el ataque Land

Ubicacin de los NIDS.

Sensores antes del firewall

Sensores antes y en el firewall

4.4 Anlisis de los datos obtenidos por los sistemas NIDS.

(Fecha, Direccin origen, Direccin de destino, Tipo de protocolo)

4.5 Tipos de deteccin en los que est basado un IDS:

IDS de HOST (HIDS) o Puede manejar diversos tipos de reglas:

Limitaciones de los IDS.

Los proxys annimos

Adems de ocultar la direccin IP, un Proxy annimo puede eliminar:

- Encriptacin de clave simtrica. - Encriptacin de clave pblica.

6.2.1. Clave pblica: SSL

Es el mtodo de almacenar y transmitir la informacin en una forma que solo los

Ideal para proteger informacin sensitiva.

Mtodo Hebreo Criptogrfico

Espartanos!!: Mtodo Scytale

Cifrado Cesar C3 de Substitucin

Siglo 16- Francia-Blaise de Vigenere: Cifrado Vigenere

Cifrado por Substitucin

Tipo de sistema de cifrado que cambia un carcter o smbolo por otro

Ejemplo: El da de maana la clase ser en un laboratorio en este edificio

Gl dk dg mkknk lk clksg sgrk gn un lkborktorio gn gstg gdificio REDES DE COMUNICACIONES Pgina 53

Cifrado Esteganogrfico Permite esconder un mensaje dentro de otro Ejemplo:

7.2. Sistema de Gestin de Logs

Fig. Ejemplo de archivo log

Fig. Arquitectura de recopilacin de datos

7.3. Plataforma RSA enVISION

7.6. Cmo funciona?