UNIVERSIDAD TÉCNICA DE MANABÍ FACULTAD DE CIENCIAS INFORMÁTICAS CARRERA DE INGENIERÍA EN SISTEMAS

ADMINISTRACIÓN DE REDES

TEMA:

Seguridad básica para la Administración de Redes

MATERIA:

Administración de Redes

DOCENTE:

Ing. Michell Zambrano

INTEGRANTES:

Garófalo Vélez Carolina

Santana Arteaga Gema

Sornoza Henríquez José

Vera Gómez Damián

Zambrano Cedeño Jorge

NIVEL:

6° “A”

SEMESTRE MAYO-SEPTIEMBRE DEL 2014

UNIVERSIDAD TÉCNICA DE MANABÍ FACULTAD DE CIENCIAS INFORMÁTICAS

CARRERA DE INGENIERÍA EN SISTEMAS INFORMÁTICOS

"Forma Profesionales innovadores en el campo de las Ciencias Informáticas, que den respuestas a las

necesidades de la sociedad, con eficiencia, honestidad, equidad y solidaridad, y que contribuyan al buen vivir"

UNIVERSIDAD TÉCNICA DE MANABÍ

VISIÓN:

Ser institución universitaria, líder y referente de la educación superior en el Ecuador,

promoviendo la creación, desarrollo, transmisión y difusión de la ciencia, la técnica y

la cultura, con reconocimiento social y proyección regional y mundial.

MISIÓN:

Formar académicos, científicos y profesionales responsables, humanistas, éticos y

solidarios, comprometidos con los objetivos del desarrollo nacional, que contribuyan

a la solución de los problemas del país como universidad de docencia con

investigación, capaces de generar y aplicar nuevos conocimientos, fomentando la

promoción y difusión de los saberes y las culturas, previstos en la Constitución de la

República del Ecuador.

FACULTAD DE CIENCIAS INFORMÁTICAS

VISIÓN: Ser una facultad líder que con integridad, transparencia y equidad forme

profesionales capaces de desarrollar soluciones informáticas innovadoras,

generadores de conocimientos e investigación permanente.

MISIÓN:

Formar profesionales investigadores en el campo de las Ciencias Informáticas, al

servicio de la sociedad, que aporten con soluciones innovadoras al desarrollo

tecnológico del país.

SEGURIDAD EN REDES

La rápida expansión y popularización de Internet ha convertido a la seguridad en

redes en uno de los tópicos más importantes dentro de la Informática moderna. Con

tal nivel de interconexión, los virus y los hackers acampan a sus anchas,

aprovechando las deficientes medidas de seguridad tomadas por administradores y

usuarios. Es por ello de suma importancia que el profesional sea capaz de enfrentar

de forma eficiente el reto que implica mantener la seguridad de una red.

Las ventajas de las redes en Informática son evidentes, pero muchas veces se

minusvaloran ciertos riesgos, circunstancia que a menudo pone en peligro la

seguridad de los sistemas. Nos encontramos ante una realidad en la cual, la inmensa

mayoría de las empresas operan a través de la Red, lo cual pone de manifiesto, la

necesidad apremiante de contar con profesionales que aporten soluciones que

garanticen la seguridad de la información.

La Informática es la ciencia del tratamiento automático de la información, pero tanto

o más importante que su procesamiento y almacenamiento es la posibilidad de poder

transmitirla de forma eficiente. La información tiene un tiempo de vida cada vez

menor y la rapidez con la que pueda viajar es algo crucial. Los últimos avances en

compresión y transmisión de datos digitales permiten hoy por hoy transferir

cantidades enormes de información a velocidades que hace tan solo unos años eran

impensables. En este sentido las redes de computadoras desempeñan un papel

fundamental en la Informática moderna.

Pero se debe tener en cuenta que la complejidad de las grandes redes y su carácter

público convierten la protección física de los canales de comunicación en algo

tremendamente difícil. Uno de los mayores obstáculos que han tenido que ser

superados para que las redes pudieran desarrollarse, ha sido encontrar lenguajes

comunes para que computadoras de diferentes tipos pudieran entenderse.

En función del tipo de red con el que se trabaja, existirán diferentes clases de riesgos,

lo cual conducirá inevitablemente a medidas de diferente naturaleza para garantizar

la seguridad en las comunicaciones. Por tanto se hace importante señalar que no

existe una solución universal para proteger una red, en la mayoría de los casos la

mejor estrategia suele consistir en tratar de colarnos nosotros mismos para poner de

manifiesto y corregir posteriormente los agujeros de seguridad que siempre

encontraremos.

Sin importar si están conectadas por cable o de manera inalámbrica, las redes de

computadoras cada vez se tornan más esenciales para las actividades diarias. Tanto

las personas como las organizaciones dependen de sus computadores y de las redes

para funciones como correo electrónico, contabilidad, organización y administración

de archivos.

Las intrusiones de personas no autorizadas pueden causar interrupciones costosas

en la red y pérdidas de trabajo. Los ataques a una red pueden ser devastadores y

pueden causar pérdida de tiempo y de dinero debido a los daños o robos de

información o de activos importantes. Los intrusos pueden obtener acceso a la red a

través de vulnerabilidades del software, ataques al hardware o incluso a través de

métodos menos tecnológicos, como el de adivinar el nombre de usuario y la

contraseña de una persona. Por lo general, a los intrusos que obtienen acceso

mediante la modificación del software o la explotación de las vulnerabilidades del

software se los denomina piratas informáticos.

Una vez que el pirata informático obtiene acceso a la red, pueden surgir cuatro tipos

de amenazas:

Robo de información

Robo de identidad

Pérdida y manipulación de datos

Interrupción del servicio

¿Qué es la seguridad en redes?

De acuerdo con Roberto de la Mora, gerente de comunicaciones IP, para

Latinoamérica de Cisco Systems, la seguridad de una red significa tener ese firewall,

con ese antivirus, con ese control de intrusión, con esa red inteligente que entiende

que hay cosas que suceden en la red, todas coordinadas y funcionando al mismo

tiempo.

"Cuando hablamos de una red que se autodefiende, hablamos de una red con todos

estos elementos coordinados para que, de acuerdo con las políticas de uso, la red

entienda lo que está pasando, se adapte al cambio, reaccione con la acción que el

administrador definió y efectúe todos los cambios de manera automática".

Elementos a considerar para mejorar la seguridad dentro de la infraestructura de la Red

La confidencialidad intenta que la información solo sea utilizada por las personas o

máquinas debidamente autorizadas. Para garantizar la confidencialidad necesitamos

disponer de tres tipos de mecanismos:

Autenticación. La autenticación intenta confirmar que una persona o

máquina es quien dice ser, que no estamos hablando con un impostor.

Autorización. Una vez autenticado, los distintos usuarios de la información

tendrán distintos privilegios sobre ella. Básicamente dos: solo lectura, o

lectura y modificación.

Cifrado. La información estará cifrada para que sea inútil para cualquiera que

no supere la autenticación

La disponibilidad intenta que los usuarios puedan acceder a los servicios con

normalidad en el horario establecido.

El objetivo de la integridad es que los datos queden almacenados tal y como espera

el usuario: que no sean alterados sin su consentimiento. Los sistemas se deben poder

checar en cuanto a su integridad, esto con el fin de detectar modificaciones que

puedan afectar la seguridad. Si el sistema se corrompe o es modificado, sería

deseable detectar el origen del problema (quien lo modificó) y restituir la integridad

(en muchos casos hay que reinstalar el sistema).

Con el control de acceso los recursos del sistema son proporcionados o negados de

acuerdo al tipo de usuario que los solicite, y dependiendo desde donde haga la

solicitud. Algunas veces sólo se permite uso parcial de los recursos, esto es común en

sistemas de archivos, donde algunos usuarios solamente pueden leer, algunos otros

leer y escribir, etc.

Falla en posición segura.-Los sistemas deben estar diseñados para que en caso de

falla queden en un estado seguro. Por ejemplo en redes, en caso de falla se debe

suspender el acceso a Internet.

Check Point.- Se hace pasar todo el tráfico de la red por un solo punto y se enfocan

los esfuerzos de seguridad en ese punto. Puede disminuir el rendimiento.

Defensa en profundidad.-Consiste en usar tantos mecanismos de seguridad como

sea posible, colocándolos uno tras otro. Puede hacer muy compleja la utilización del

sistema.

Simplicidad.-Los sistemas muy complejos tienden a tener fallas y huecos de

seguridad. La idea es mantener los sistemas tan simples como sea posible, eliminando

funcionalidad innecesaria. Sistemas simples que tienen mucho tiempo, han sido tan

depurados que prácticamente no tienen huecos de seguridad.

Seguridad por Obscuridad.-La estrategia es mantener un bajo perfil y tratar de pasar

desapercibido, de modo que los atacantes no lo detecten.

Seguridad básica de hosts de red.-Bloqueo de puertos y reducción de servicios

activos muchos hosts informáticos y dispositivos de red inician servicios de red de

forma predeterminada. Cada uno de estos servicios representa una oportunidad para

atacantes, gusanos y troyanos. A menudo, todos estos servicios predeterminados no

son necesarios. Al bloquear los puertos desactivando servicios se reduce la

exposición a riesgos. Como ya hemos mencionado antes, al igual que los cortafuegos

de red, los ordenadores de sobremesa y los servidores pueden utilizar programas

cortafuegos básicos para bloquear el acceso a puertos IP innecesarios del host o para

restringir el acceso a determinados hosts. Esta práctica es fundamental para la

protección interna cuando se produce un fallo de seguridad en las defensas externas

o cuando existen amenazas internas. Hay disponibles muchos paquetes software

cortafuegos para ordenadores de sobremesa que son muy eficaces para la protección

de hosts, por ejemplo, Microsoft incluye un cortafuegos básico en Windows XP

Service Pack 2.

Seguridad basada en la red.-La seguridad se basa en controlar los accesos a los

hosts desde la red. El método más común es la implementación de firewalls.

El objetivo de la administración de redes es buscar mantener la integridad,

disponibilidad y confidencialidad de la información dentro de la red, para que la

organización mantenga la continuidad en sus procesos.

Cuando hablamos de integridad queremos decir que los objetos del sistema sólo

pueden ser modificados por personas autorizadas y en forma controladas. Por otro

lado disponibilidad significa que los objetos del sistema deben permanecer accesibles

a las personas autorizadas. Por último, podemos definir confidencialidad en el

sistema cuando la información contenida en el mismo no es brindada hacia entidades

externas.

Para alcanzar dicho objetivo debemos plantearnos y definir:

¿Qué recursos se quieren proteger dentro de una red?

¿De qué deberíamos protegernos?

¿En qué grado se necesita proteger?

¿Qué medidas y herramientas implantar para alcanzar un óptimo nivel de seguridad?

Definidos estos puntos podremos diseñar las políticas de seguridad adecuadas a

implementar y crear un perímetro de defensa que permita proteger las fuentes de

información.

Las normas de control interno que conforman las medidas de seguridad para

sistemas interactivos y procesos en redes privadas, se dividen en seguridad lógica y

física.

¿Qué elementos de la red se deben proteger?

Los recursos que se deben proteger no están estandarizados, los mismos dependen

de cada organización y de los productos o servicios a los que la misma se dedique.

Básicamente los recursos que se han de proteger son:

Hardware, que es el conjunto formado por todos los elementos físicos de un

sistema informático, entre los cuales están los medios de almacenamiento.

Software, que es el conjunto de programas lógicos que hacen funcional al

hardware

Datos, que es el conjunto de información lógica que maneja el software y el

hardware.

La infraestructura necesaria es amplia y compleja porque los niveles de

seguridad son elevados:

o Todos los equipos deben estar especialmente protegidos contra

software malicioso que pueda robar datos o alterarlos.

o El almacenamiento debe ser redundante: grabamos el mismo dato en

más de un dispositivo. En caso de que ocurra un fallo de hardware en

cualquier dispositivo, no hemos perdido la información.

o El almacenamiento debe ser cifrado. Las empresas manejan

información muy sensible, tanto los datos personales de clientes o

proveedores como sus propios informes, que pueden ser interesantes

para la competencia. Si, por cualquier circunstancia, perdemos un

dispositivo de almacenamiento (disco duro, pendrive USB, cinta de

backup), os datos que contenga deben ser inútiles para cualquiera

que no pueda descifrarlos.

Comunicaciones.-Los datos no suelen estar recluidos siempre en la misma

máquina: en muchos casos salen con destino a otro usuario que los necesita.

Esa transferencia (correo electrónico, mensajería instantánea, disco en red,

servidor web) también hay que protegerla. Debemos utilizar canales cifrados,

incluso aunque el fichero de datos que estamos transfiriendo ya esté cifrado

(doble cifrado es doble obstáculo para el atacante). Además de proteger las

comunicaciones de datos, también es tarea de la seguridad informática

controlar las conexiones a la red

En qué grado se necesita proteger

De los pasos a seguir éste es el más difícil de comprender, pues en él se debe

determinar cuál es el grado de seguridad que requiere cada parte del sistema. El

concepto es que el grado de seguridad esté acorde con la importancia del elemento

dentro del funcionamiento del sistema, o sea que el costo no supere al del reemplazo

o recuperación del elemento u disminuya a valores inaceptables la operatividad.

¿Qué medidas y herramientas hay que implementar para alcanzar un óptimo nivel

de seguridad sin perder de vista la relación costo/beneficio?

Para proteger nuestro sistema hay que realizar un análisis de las amenazas

potenciales que puede sufrir, las pérdidas que podrían generar, y la probabilidad de

su ocurrencia; a partir de ese momento se comienza a diseñar una política de

seguridad que defina responsabilidades y reglas a seguir para evitar tales amenazas

o minimizar sus efectos en caso de que se produzcan. A los mecanismos utilizados

para implementarla los llamamos mecanismos de seguridad, los cuales son la parte

más visible del sistema de seguridad, y se convierten en la herramienta básica para

garantizar la protección de los sistemas o de la propia red.

Hay tres tipos de mecanismos de seguridad:

De prevención: son aquellos que aumentan la seguridad de un sistema

durante el funcionamiento normal de éste, previniendo los acosos a la

seguridad.

De detección: son aquellos que se utilizan para detectar violaciones de

seguridad o intentos de ello.

De recuperación: son aquellos que se aplican cuando una violación del

sistema se ha detectado y se quiere ponerlo en funcionamiento

nuevamente.

Dentro de los mecanismos de prevención encontramos los siguientes:

Mecanismos de autenticación e identificación

Mecanismos de control de acceso

Mecanismos de separación

Mecanismos de seguridad en las comunicaciones

Tipos de riesgos

Una vez que alguien está decidido a atacarnos, puede elegir alguna de estas formas:

Interrupción. El ataque consigue provocar un corte en la prestación de un servicio: el

servidor web no está disponible, el disco en red no aparece o solo podemos leer (no

escribir), etc.

Interceptación. El atacante ha logrado acceder a nuestras comunicaciones y ha

copiado la información que estábamos transmitiendo.

Modificación. Ha conseguido acceder, pero, en lugar de copiar la información, la está

modificando para que llegue alterada hasta el destino y provoque algun a reacción

anormal. Por ejemplo, cambia las cifras de una transacción bancaria.

Fabricación. El atacante se hace pasar por el destino de la transmisión, por lo que

puede tranquilamente conocer el objeto de nuestra comunicación, engañarnos para

obtener información valiosa, etc.

Para conseguir su objetivo puede aplicar una o varias de estas técnicas:

Ingeniería social. A la hora de poner una contraseña, los usuarios no suelen utilizar

combinaciones aleatorias de caracteres. En cambio, recurren a palabras conocidas

para ellos: el mes de su cumpleaños, el nombre de su calle, su mascota, su futbolista

favorito, etc. Si conocemos bien a esa persona, podemos intentar adivinar su

contraseña. También constituye ingeniería social pedir por favor a un compañero de

trabajo que introduzca su usuario y contraseña, que el nuestro parece que no

funciona. En esa sesión podemos aprovechar para introducir un troyano, por

ejemplo.

Phishing. El atacante se pone en contacto con la víctima (generalmente, un correo

electrónico) haciéndose pasar por una empresa con la que tenga alguna relación (su

banco, su empresa de telefonía, etc.). En el contenido del mensaje intenta

convencerle para que pulse un enlace que le llevará a una (falsa) web de la empresa.

En esa web le solicitarán su identificación habitual y desde ese momento el atacante

podrá utilizarla.

Keyloggers. Un troyano en nuestra máquina puede tomar nota de todas las teclas

que pulsamos, buscando el momento en que introducimos un usuario y contraseña.

Si lo consigue, los envía al atacante.

Fuerza bruta. Las contraseñas son un número limitado de caracteres (letras, números

y signos de puntuación). Una aplicación malware puede ir generando todas las

combinaciones posibles y probarlas una a una; tarde o temprano, acertará. Incluso

puede ahorrar tiempo si utiliza un diccionario de palabras comunes y aplica

combinaciones de esas palabras con números y signos de puntuación. Contra los

ataques de fuerza bruta hay varias medidas:

Utilizar contraseñas no triviales. No utilizar nada personal e insertar en medio de

la palabra o al final un número o un signo de puntuación. En algunos sistemas nos

avisan de la fortaleza de la contraseña elegida (Fig. 1.8).

Cambiar la contraseña con frecuencia (un mes, una semana). Dependiendo del

hardware utilizado, los ataques pueden tardar bastante; si antes hemos cambiado

la clave, se lo ponemos difícil.

Impedir ráfagas de intentos repetidos. Nuestro software de autenticación que

solicita usuario y contraseña fácilmente puede detectar varios intentos

consecutivos en muy poco tiempo. No puede ser un humano: debemos responder

introduciendo una espera. En Windows se hace: tras cuatro intentos fallidos, el

sistema deja pasar varios minutos antes de dejarnos repetir. Esta demora alarga

muchísimo el tiempo necesario para completar el ataque de fuerza bruta.

Establecer un máximo de fallos y después bloquear el acceso. Es el caso de las

tarjetas SIM que llevan los móviles GSM/UMTS: al tercer intento fallido de

introducir el PIN para desbloquear la SIM, ya no permite ninguno más. Como el

PIN es un número de cuatro cifras, la probabilidad de acertar un número entre 10

000 en tres intentos es muy baja.

Spoofing. Alteramos algún elemento de la máquina para hacernos pasar por otra

máquina. Por ejemplo, generamos mensajes con la misma dirección que la máquina

auténtica.

Sniffing. El atacante consigue conectarse en el mismo tramo de red que el equipo

atacado. De esta manera tiene acceso directo a todas sus conversaciones.

DoS (Denial of Service, denegación de servicio). Consiste en tumbar un servidor

saturándolo con falsas peticiones de conexión. Es decir, intenta simular el efecto de

una carga de trabajo varias veces superior a la normal.

DDoS (Distributed Denial of Service, denegación de servicio distribuida). Es el mismo

ataque DoS, pero ahora no es una única máquina la que genera las peticiones falsas

(que es fácilmente localizable y permite actuar contra ella), sino muchas máquinas

repartidas por distintos puntos del planeta. Esto es posible porque todas esas

máquinas han sido infectadas por un troyano que las ha convertido en ordenadores

zombis (obedecen las órdenes del atacante).

Vulnerabilidad por malware,- Una vulnerabilidad es un defecto de una aplicación que

puede ser aprovechado por un atacante. Si lo descubre, el atacante programará un

software (llamado malware) que utiliza esa vulnerabilidad para tomar el control de la

máquina (exploit) o realizar cualquier operación no autorizada.

Hay muchos tipos de malware:

o Virus. Intentan dejar inservible el ordenador infectado. Pueden actuar

aleatoriamente o esperar una fecha concreta (por ejemplo, Viernes 13).

o Gusanos. Van acaparando todos los recursos del ordenador: disco,

memoria, red. El usuario nota que el sistema va cada vez más lento,

hasta que no hay forma de trabajar.

o Troyanos. Suelen habilitar puertas traseras en los equipos: desde otro

ordenador podemos conectar con el troyano para ejecutar programas

en el ordenador infectado

Tipos de atacantes

Se suele hablar de hacker de manera genérica para referirse a un individuo que se

salta las protecciones de un sistema. A partir de ahí podemos distinguir entre:

Hacker. Ataca la defensa informática de un sistema solo por el reto que supone

hacerlo. Si tiene éxito, moralmente debería avisar a los administradores sobre los

agujeros de seguridad que ha utilizado, porque están disponibles para cualquiera.

Cracker. También ataca la defensa, pero esta vez sí quiere hacer daño: robar datos,

desactivar servicios, alterar información, etc.

Script kiddie. Son aprendices de hacker y cracker que encuentran en Internet

cualquier ataque y lo lanzan sin conocer muy bien qué están haciendo y, sobre todo,

las consecuencias derivadas de su actuación (esto les hace especialmente

peligrosos).

Programadores de malware. Expertos en programación de sistemas operativos y

aplicaciones capaces de aprovechar las vulnerabilidades de alguna versión concreta

de un software conocido para generar un programa que les permita atacar.

Sniffers. Expertos en protocolos de comunicaciones capaces de procesar una

captura de tráfico de red para localizar la información interesante.

Ciberterrorista. Cracker con intereses políticos y económicos a gran escala.

Orígenes de las intrusiones en la red

Las amenazas de seguridad causadas por intrusos en la red pueden originarse tanto

en forma interna como externa.

Amenazas externas

Las amenazas externas provienen de personas que trabajan fuera de una

organización. Estas personas no tienen autorización para acceder al sistema o a la red

de la computadora. Los atacantes externos logran ingresar a la red principalmente

desde Internet, enlaces inalámbricos o servidores de acceso dial‐up.

Amenazas internas

Las amenazas internas se originan cuando una persona cuenta con acceso autorizado

a la red a través de una cuenta de usuario o tiene acceso físico al equipo de la red. Un

atacante interno conoce la política interna y las personas. Por lo general, conocen

información valiosa y vulnerable y saben cómo acceder a ésta.

MECANISMOS DE SEGURIDAD FÍSICA Y LÓGICA

La seguridad física cubre todo lo referido a los equipos informáticos: ordenadores de

propósito general, servidores especializados y equipamiento de red. La seguridad

lógica se refiere a las distintas aplicaciones que ejecutan en cada uno de estos

equipos.

Sin embargo, no todos los ataques internos son intencionales. En algunos casos la

amenaza interna puede provenir de un empleado confiable que capta un virus o una

amenaza de seguridad mientras se encuentra fuera de la compañía y, sin saberlo, lo

lleva a la red interna.

La mayor parte de las compañías invierte recursos considerables para defenderse

contra los ataques externos; sin embargo, la mayor parte de las amenazas son de

origen interno. De acuerdo con el FBI, el acceso interno y la mala utilización de los

sistemas de computación representan aproximadamente el 70% de los incidentes de

violación de seguridad notificados.

No se pueden eliminar o evitar completamente los riesgos de seguridad. Sin

embargo, tanto la administración como la evaluación efectiva de riesgos pueden

minimizar significativamente los riesgos de seguridad existentes. Para minimizar los

riesgos es importante comprender que no existe un único producto que pueda

asegurar una organización. La verdadera seguridad de redes provien e de una

combinación de productos y servicios junto con una política de seguridad exhaustiva

y un compromiso de respetar esa política.

Una política de seguridad es una declaración formal de las normas que los usuarios

deben respetar a fin de acceder a los bienes de tecnología e información. Puede ser

tan simple como una política de uso aceptable o contener muchas páginas y detallar

cada aspecto de conectividad de los usuarios, así como los procedimientos de uso de

redes. La política de seguridad debe ser el punto central acerca de la forma en la que

se protege, se supervisa, se evalúa y se mejora una red. Mientras que la mayoría de

los usuarios domésticos no tiene una política de seguridad formal por escrito, a

medida que una red crece en tamaño y en alcance, la importancia de una política de

seguridad definida para todos los usuarios aumenta drásticamente. Algunos de los

puntos que deben incluirse en una política de seguridad son: políticas de

identificación y autenticación, políticas de contraseñas, políticas de uso aceptable,

políticas de acceso remoto y procedimientos para el manejo de incidentes.

Cuando se desarrolla una política de seguridad es necesario que todos los usuarios

de la red la cumplan y la sigan para que sea efectiva.

Políticas de identificación y autentificación

Políticas de contraseña

Políticas de usos aceptables

Políticas de acceso remoto

Procedimiento de mantenimiento de red

Procedimientos de administración de incidentes

La política de seguridad debe ser el punto central acerca de la forma en la que se

protege, se supervisa, se evalúa y se mejora una red. Los procedimientos de

seguridad implementan políticas de seguridad. Los procedimientos definen la

configuración, el inicio de sesión, la auditoría y los procesos de mantenimiento de los

hosts y dispositivos de red. Incluyen la utilización tanto de medidas preventivas para

reducir el riesgo como de medidas activas acerca de la forma de manejar las

amenazas de seguridad conocidas. Los procedimientos de seguridad abarcan desde

tareas simples y poco costosas, como el mantenimiento de las versiones actualizadas

de software, hasta implementaciones complejas de firewalls y sistemas de detección

de intrusiones.

Seguridad física, protección desde el interior

La mayoría de los expertos coincide en que toda seguridad comienza con la seguridad

física. El control del acceso físico a los equipos y a los puntos de conexión de red es

posiblemente el aspecto más determinante de toda la seguridad. Cualquier tipo de

acceso físico a un sitio interno deja expuesto el sitio a grandes riesgos. Si el acceso

físico es posible, normalmente se pueden obtener archivos protegidos, contraseñas,

certificados y todo tipo de datos. Por suerte, existen armarios seguros y dispositivos

de control de acceso de muchas clases que pueden ayudar a combatir este problema.

Para obtener más información sobre la seguridad física de los centros de datos y salas

de red, consulte el Documento técnico de APC nº82, “Physical Security in Mission

Critical Facilities” (“Seguridad física en instalaciones de misión crítica”).

Entre los mecanismos de seguridad lógica tenemos:

El Control de Acceso a la Red, también conocido por las siglas NAC (Network Access

Control ) / 802.1x tiene como objetivo asegurar que todos los dispositivos que se

conectan a las redes corporativas de una organización cumplen con las políticas de

seguridad establecidas para evitar amenazas como la entrada de virus, salida de

información, etc.

El fenómeno BYOD (Bring Your Own Device) en el que los empleados utilizan sus

propios dispositivos (tabletas, portátiles, smartphones) para acceder a los recursos

corporativos está acelerando la adopción de las tecnologías NAC para autenticar al

dispositivo y al usuario.

Existen una serie de fases como:

Detección: es la detección del intento de conexión física o inalámbrica a los

recursos de red reconociendo si el mismo es un dispositivo autorizado o no.

Cumplimiento: es la verificación de que el dispositivo cumple con los

requisitos de seguridad establecidos como por ejemplo dispositivo

autorizado, ubicación, usuario, antivirus actualizado.

Cuando un dispositivo no cumple los requerimientos se puede rechazar la

conexión o bien mandarlo a un portal cautivo “Cuarentena”.

Remediación: es la modificación lógica de dichos requisitos en el dispositivo

que intenta conectarse a la red corporativa.

Aceptación: es la entrada del dispositivo a los recursos de red en función del

perfil del usuario y los permisos correspondientes a su perfil que residen en un

servicio de directorio.

Persistencia: es la vigilancia durante toda la conexión para evitar la

vulneración de las políticas asignadas.

Autentificación

Por autentificación entenderemos cualquier método que nos permita comprobar de

manera segura alguna característica sobre un objeto. Dicha característica puede ser

su origen, su integridad, su identidad, etc. Consideraremos tres grandes tipos dentro

de los métodos de autentificación:

Autentificación de mensaje. Queremos garantizar la procedencia de un

mensaje conocido, de forma que podamos asegurarnos de que no es una

falsificación. Este mecanismo se conoce habitualmente como firma digital.

Autentificación de usuario mediante contraseña. En este caso se trata de

garantizar la presencia de un usuario legal en el sistema. El usuario deberá

poseer una contraseña secreta que le permita identificarse.

Autentificación de dispositivo. Se trata de garantizar la presencia de un

dispositivo válido.Este dispositivo puede estar solo o tratarse de una llave

electrónica que sustituye a la contraseña para identificar a un usuario.

Elementos de la seguridad perimetral

La seguridad perimetral es un concepto emergente asume la integración de

elementos y sistemas, tanto electrónicos como mecánicos, para la protección de

perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en

instalaciones especialmente sensibles. Entre estos sistemas cabe destacar los radares

tácticos, videosensores, vallas sensorizadas, cables sensores, barreras de microondas

e infrarrojos, concertinas, etc.

Los sistemas de seguridad perimetral pueden clasificarse según la geometría de su

cobertura (volumétricos, superficiales, lineales, etc.), según el principio físico de

actuación (cable de fibra óptica, cable de radiofrecuencia, cable de presión, cable

microfónico, etc.) o bien por el sistema de soportación (autosoportados, soportados,

enterrados, detección visual, etc.).

También cabe destacar la clasificación dependiendo del medio de detección. En

esta se clasificarían en:

- Sistemas Perimetrales Abiertos: Los que dependen de las condiciones ambientales

para detectar. Como ejemplo de estos son la video vigilancia, las barreras infrarrojas,

las barreras de microondas. Esta característica provoca falsas alarmas o falta de

sensibilidad en condiciones ambientales adversas.

- Sistemas Perimetrales Cerrados: Los que no dependen del medio ambiente y

controlan exclusivamente el parámetro de control. Como ejemplo de estos son los

antiguos cables microfónicos, la fibra óptica y los piezo-sensores. Este tipo de

sensores suelen ser de un coste mas elevado.

Ejemplos de cometidos de la seguridad perimetral:

Rechazar conexiones a servicios comprometidos

Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre

ciertos nodos.

Proporcionar un único punto de interconexión con el exterior

Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet

Ocultar sistemas o servicios vulnerables que no son fáciles de proteger

desde Internet

Auditar el tráfico entre el exterior y el interior

Ocultar información: nombres de sistemas, topología de la red, tipos de

dispositivos de red, cuentas de usuarios internos...

HERRAMIENTAS DE SEGURIDAD

Los firewalls o cortafuegos son una de las herramientas básicas de la seguridad

informática. Permiten controlar las conexiones de red que acepta o emite un

dispositivo, ya sean conexiones a través de Internet o de otro sistema.

Existen infinidad de variantes de cortafuegos (dedicados, de tipo appliance,

gestionados, etc.). Los cortafuegos personales son habitualmente programas que, o

bien están integrados en el sistema operativo, o bien son aplicaciones de terceros

que pueden ser instaladas en ellos.

El cortafuegos se encarga de controlar puertos y conexiones, es decir, de permitir el

paso y el flujo de datos entre los puertos, ya sean clientes o servidores. Es como un

semáforo que, en función de la dirección IP y el puerto (entre otras opciones), dejará

establecer la conexión o no siguiendo unas reglas establecidas.

Básicamente, el cortafuegos personal es un programa que se interpone entre el

sistema operativo y las aplicaciones en la red, y comprueba una serie de parámetros

antes de permitir que se establezca una conexión. Cuando se instala un firewall, el

sistema operativo le cede el control de la gestión de esos puertos virtuales y de las

conexiones de red en general, y hará lo que tenga definido como reglas. Las

comprobaciones del cortafuegos están asociadas a unas reglas (que le indican qué

debe hacer con esas conexiones). Estas reglas son normalmente "bloquear",

"permitir" o "ignorar". Básicamente, cuando un programa quiere establecer una

conexión o reservar un puerto para volcar datos en la red.

Tipos de cortafuegos

Aunque existen sistemas o máquinas específicamente diseñadas para hacer de

cortafuegos, nos centramos en este caso en los cortafuegos personales,

habitualmente integrados en los sistemas operativos.

Entrante

El cortafuegos de tipo entrante es el que controla las conexiones que "entran" en

el sistema. Esto quiere decir que está pensado en mayor medida para servidores, para

comprobar desde qué direcciones IP se quieren establecer conexiones a sus servicios.

Este tipo de cortafuegos es muy usado tanto en servidores como en sistemas que

habitualmente actúan como clientes.

Saliente

El cortafuegos de tipo saliente controla las conexiones que "salen" del sistema,

esto es, las que acuden a un servidor. Está pensado en mayor medida para clientes,

para comprobar hacia qué direcciones IP o qué puertos se conecta nuestro

ordenador.

Este tipo de cortafuegos es mucho menos usado que el entrante, aunque es más

seguro, puesto que nos permite tener control total de hacia dónde intentan

conectarse los programas y, por tanto, nuestros datos

Sistema de detección de intrusos

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection

System) es una aplicación usada para detectar accesos no autorizados a un

ordenador/servidor o a una red. Estos accesos pueden ser ataques realizados por

usuarios malintencionados con conocimientos de seguridad o a través de

herramientas automáticas.

Las funciones de un IDS se pueden resumir de la siguiente forma:

Detección de ataques en el momento que están ocurriendo o poco después.

Automatización de la búsqueda de nuevos patrones de ataque, gracias a

herramientas estadísticas de búsqueda, y al análisis de tráfico anómalo.

Monitorización y análisis de las actividades de los usuarios. De este modo se

pueden conocer los servicios que usan los usuarios, y estudiar el contenido del

tráfico, en busca de elementos anómalos.

Auditoría de configuraciones y vulnerabilidades de determinados sistemas.

Descubrir sistemas con servicios habilitados que no deberían de tener,

mediante el análisis del tráfico y de los logs.

Análisis de comportamiento anormal. Si se detecta una conexión fuera de

hora, reintentos de conexión fallidos y otros, existe la posibilidad de que se

esté en presencia de una intrusión. Un análisis detallado del tráfico y los logs

puede revelar una máquina comprometida o un usuario con su contraseña al

descubierto.

Automatizar tareas como la actualización de reglas, la obtención y análisis de

logs, la configuración de cortafuegos y otros.

Básicamente hay tres tipos de IDS:

Network Intrusion Detection System (NIDS): Es el más común. Su misión

principal es vigilar la red (en realidad,el segmento de red que es capaz de ver).

Básicamente, pone el interfaz en modopromiscuo y absorbe todo el tráfico,

analizándolo posteriormente o en tiempo real.

Network Node Intrusion Detection System (NNIDS): Este es un IDS destinado

a vigilar el tráfico destinado a un único Host, y no a una subred entera. Por

ejemplo, puede servir como vigilante externo de un HoneyPot o para vigilar la

actividad de una VPN (Virtual Private Network). Dado que solo analiza un host,

se puede permitir un análisis mucho más exhaustivo de los paquetes.

Host Intrusion Detection System(HIDS): Permiten tomar una instantánea del

sistema, para comprobar más adelante la integridad de la maquina. Entre las

técnicas más comunes están las firmas MD5 de los archivos críticos y las copias

del registro.

SERVICIOS DE SEGURIDAD EN REDES

NAT.- El proceso de la traducción de direcciones de red (NAT, por sus siglas en inglés)

se desarrolló en respuesta a la falta de direcciones de IP con el protocolo IPv4 (el

protocolo IPv6 propondrá una solución a este problema).

En efecto: en la asignación de direcciones IPv4, no hay suficientes direcciones IP

enrutables (es decir, únicas en el mundo) para permitir que todas las máquinas que

necesiten conectarse a internet puedan hacerlo.

El concepto de NAT consiste en utilizar una dirección IP enrutable (o un número

limitado de direcciones IP) para conectar todas las máquinas a través de la

traducción, en la pasarela de internet, entre la dirección interna (no enrutable) de la

máquina que se desea conectar y la dirección IP de la pasarela.

Además, el proceso de traducción de direcciones permite a las compañías asegurar

la red interna siempre y cuando oculte la asignación de direcciones internas. Para un

observador que se ubica fuera de la red, todos los pedidos parecen provenir de la

misma dirección IP.

Traducción estática

El concepto de NAT estática consiste en hacer coincidir una dirección IP pública con

una dirección IP de red privada interna. Un router (o, más precisamente, la pasarela)

hace coincidir una dirección IP privada (por ejemplo, 192.168.0.1) con una dirección IP

pública enrutable en internet y, en cierto sentido, realiza la traducción mediante la

modificación de la dirección en el paquete IP.

La traducción de las direcciones estáticas permite conectar máquinas de red interna

a internet de manera transparente, aunque no resuelve el problema de escasez de

direcciones debido a que se necesitan n direcciones IP enrutables para conectar n

máquinas de la red interna.

Traducción dinámica

La NAT dinámica permite compartir una dirección IP enrutable (o una cantidad

reducida de direcciones IP enrutables) entre varias máquinas con direcciones

privadas. Así, todas las máquinas de la red interna poseen la misma dirección IP virtual

en forma externa. Por esta razón, el término "enmascaramiento de IP" se usa en

ciertos casos para procesar la NAT dinámica.

Para poder "multiplexar" (compartir) diferentes direcciones IP con una o más

direcciones IP enrutables, la NAT dinámica utiliza la traducción de direcciones de

puerto, es decir, la asignación de un puerto de origen diferente para cada solicitud,

de modo que se pueda mantener una correspondencia entre los pedidos que

provienen de la red interna y las respuestas de las máquinas en internet, las cu ales

están dirigidas a la dirección IP del router.

VPN.- Las redes de área local (LAN) son las redes internas de las organizaciones, es

decir las conexiones entre los equipos de una organización particular. Estas redes se

conectan cada vez con más frecuencia a Internet mediante un equipo de

interconexión.

Sin embargo, los datos transmitidos a través de Internet son mucho más vulnerables

que cuando viajan por una red interna de la organización, ya que la ruta tomada no

está definida por anticipado, lo que significa que los datos deben atravesar una

infraestructura de red pública que pertenece a distintas entidades.

La primera solución para satisfacer esta necesidad de comunicación segura implica

conectar redes remotas mediante líneas dedicadas. Sin embargo, como la mayoría de

las compañías no pueden conectar dos redes de área local remotas con una línea

dedicada, a veces es necesario usar Internet como medio de transmisión.

Por lo tanto, el sistema VPN brinda una conexión segura a un bajo costo, ya que todo

lo que se necesita es el hardware de ambos lados. Sin embargo, no garantiza una

calidad de servicio comparable con una línea dedicada, ya que la red física es pública

y por lo tanto no está garantizada.

Una red privada virtual se basa en un protocolo denominado protocolo de túnel, es

decir, un protocolo que cifra los datos que se transmiten desde un lado de la VPN

hacia el otro.

La palabra "túnel" se usa para simbolizar el hecho que los datos estén cifrados desde

el momento que entran a la VPN hasta que salen de ella y, por lo tanto, son

incomprensibles para cualquiera que no se encuentre en uno de los extremos de la

VPN, como si los datos viajaran a través de un túnel. En una VPN de dos equipos, el

cliente de VPN es la parte que cifra y descifra los datos del lado del usuario y el

servidor VPN (comúnmente llamado servidor de acceso remoto) es el elemento que

descifra los datos del lado de la organización.

La gestión consiste en:

Autentificar al cliente VPN. No podemos dejar que entre cualquiera, por lo

que se utiliza el típico usuario/contraseña, tarjetas inteligentes, etc.

Establecer un túnel a través de Internet. El driver de la VPN en el cliente le

ofrece una dirección privada de la LAN de la empresa (la 10.0.1.45, por

ejemplo), pero cualquier paquete que intente salir por esa tarjeta es

encapsulado dentro de otro paquete. Este segundo paquete viaja por Internet

desde la IP pública del empleado hasta la IP pública del servidor VPN en la

empresa. Una vez allí, se extrae el paquete y se inyecta en la

LAN. Para que alguien de la LAN envíe un paquete a la 10.0.1.45 el proceso es

similar.

Proteger el túnel. Como estamos atravesando Internet, hay que encriptar las

comunicaciones (sobre todo si somos una empresa). Los paquetes

encapsulados irán cifrados.

Liberar el túnel. El cliente o el servidor pueden interrumpir la conexión cuando

lo consideren necesario.

SSL.- El SSL (Security Socket Layer) es el protocolo de seguridad de uso común que

establecen un canal seguro entre dos ordenadores conectados a través de Internet o

de una red interna. En nuestra vida cotidiana, tan dependiente de Internet, solemos

comprobar que las conexiones entre un navegador web y un servidor web realizadas

a través de una conexión de Internet no segura emplean tecnología SSL.

Técnicamente, el protocolo SSL es un método transparente para establecer una

sesión segura que requiere una mínima intervención por parte del usuario final. Por

ejemplo, el navegador alerta al usuario de la presencia de un certificado SSL cuando

se muestra un candado o cuando la barra de dirección aparece en verde cuando se

trata de un certificado EV SSL con validación ampliada. En este hecho reside el éxito

del protocolo SSL: es una experiencia sorprendentemente sencilla para los usuarios

finales.

A diferencia de las URL HTTP que comienzan con el protocolo "http://" y emplean el

puerto 80 por defecto, las URL HTTPS comienzan con el protocolo "https://" y

emplean el puerto 443 por defecto.

El protocolo HTTP es inseguro y susceptible de ataques por parte de intrusos. Si los

datos confidenciales transmitidos (por ejemplo los datos de una tarjeta de crédito o

la información de usuario de una cuenta) cayesen en manos de la persona

equivocada, los intrusos podrían acceder a cuentas online y consultar información

confidencial. Cuando se emplea un protocolo HTTPS para enviar información a través

de un navegador, tal información aparece encriptada y protegida.

¿Cómo se emplea la tecnología SSL en la práctica en las transacciones de comercio

electrónico, los procesos de trabajo online y los servicios por Internet?

Para proteger transacciones realizadas con tarjetas de banco.

Para ofrecer protección online a los accesos al sistema, la información

confidencial transmitida a través de formularios web o determinadas áreas

protegidas de páginas web.

Para proteger el correo web y las aplicaciones como el acceso web a

Outlook o los servidores Exchange y Office Communications.

Para proteger los procesos de trabajo y la virtualización de aplicaciones

como plataformas Citrix Delivery o las plataformas de cloud computing.

Para proteger la conexión entre un cliente de correo como Microsoft

Outlook y un servidor de correo como Microsoft Exchange.

Para proteger la transferencia de archivos sobre HTTPS y servicios de FTP,

como podrían ser las actualizaciones de nuevas páginas por parte de un

propietario de una página web o la transmisión de archivos pesados.

Para proteger los accesos y la actividad en paneles de control como

Parallels o cPanel entre otros.

Para proteger el tráfico en una intranet como es el caso de las redes

internas, la función compartir archivos, las extranets o las conexiones a

bases de datos.

Para proteger los accesos a redes y cualquier otro tráfico de red con VPNs

de SSL como podrían ser los servidores de acceso VPN o las aplicaciones

como Citrix Access Gateway.

Todas estas aplicaciones tienen algunos puntos en común:

Es necesario proteger la confidencialidad de los datos transmitidos a través de

Internet o de cualquier otra red, ya que nadie desea que la información de su

tarjeta de crédito, su cuenta, sus contraseñas o sus datos personales queden

expuestos en la Red.

Es necesario garantizar la integridad de estos datos para evitar que una vez se

han enviado los datos de la tarjeta de crédito y se ha confirmado el importe,

un hacker que haya podido interceptar la información no pueda cambiar la

cantidad cobrada y desviar el dinero.

Su empresa debe garantizar a sus clientes o a los usuarios de su extranet la

autenticidad de su identidad y eliminar cualquier sombra de duda de que un

tercero está suplantándole.

Su organización debe cumplir las normativas regionales, nacionales e

internacionales en materia de privacidad, seguridad e integridad de los datos.

IPSec.-El IPSec es un protocolo de comunicaciones (Internet Protocol Security) que

provee de opciones avanzadas de seguridad tales como unos algoritmos de

encriptación de la información más avanzados y una autentificación de usuarios más

exhaustiva.

Modos de encriptación IPSec

El IPSec tiene dos modos de encriptación:

El Tunnel

El "Tunnel" encripta la cabecera de cada "paquete" de información y el

transporte

El Transporte

En modo Transporte el IPSec solo encripta el transporte de los

"paquetes"

Para qué sirve el IPSec

El IPSec da un margen suplementario de seguridad a las comunicaciones de:

Router a router

Firewall a router

PC a router

PC a servidor

Solo los dispositivos con certificado "IPSec" son capaces de utilizar este protocolo

seguro.

BIBLIOGRAFÍA

biblioteca.pucp.edu.pe/docs/.../24_Alcocer_2000_Redes_Cap_24.pdf

http://www.etp.com.co/etp/images/media/regulacion/ELEMENTOS_DE_SEGURIDAD

_EN_LA_RED_Abril_2012.pdf

http://laurel.datsi.fi.upm.es/proyectos/teldatsi/teldatsi/protocolos_de_comunicacio

nes/protocolo_ipsec

https://www.globalsign.es/centro-informacion-ssl/que-es-ssl.html

http://es.wikipedia.org/wiki/Network_Address_Translation

http://www.secutatis.com/?page_id=62

http://www.econ.uba.ar/www/departamentos/sistemas/plan97/tecn_informac/brian

o/seoane/tp/rivoira/seguridad.htm

ORDEN A EXPONER:

ARUN JOSE CAROLINA GEMA DAMIÁN