Idiomas
Páginas
Jurídico
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
INTRODUCCIÓN.
La seguridad ha sido el principal concerniente a tratar cuando una organización desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el Internet.
Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organización privada de sus datos así como la infraestructura de sus red a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de protección requerida, la organización necesita seguir una política de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportación privada de información. Todavía, aun si una organización no esta conectada al Internet, esta debería establecer una política de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la información secreta.
1
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
1. SEGURIDAD PERIMETRAL EN REDES IP (FIREWALLS Y DISPOSITIVOS L3 Y L4)
1.1.SEGURIDAD INFORMÁTICA
La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades de acceso y conectividad con:
Internet. Conectividad mundial. Red corporativa. Acceso Remoto. Proveedores.
Objetivos de la seguridad informática
Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.
Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.
La seguridad informática se resume, por lo general, en cinco objetivos principales:
Integridad: garantizar que los datos sean los que se supone que son Confidencialidad: asegurar que sólo los individuos autorizados tengan
acceso a los recursos que se intercambian
Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
2
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos
Integridad
La verificación de la integridad de los datos consiste en determinar si se han alterado los datos durante la transmisión (accidental o intencionalmente).
Confidencialidad
La confidencialidad consiste en hacer que la información sea ininteligible para aquellos individuos que no estén involucrados en la operación.
Disponibilidad
El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.
No repudio
Evitar el repudio de información constituye la garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada.
Autenticación
La autenticación consiste en la confirmación de la identidad de un usuario; es decir, la garantía para cada una de las partes de que su interlocutor es realmente quien dice ser. Un control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el acceso a recursos únicamente a las personas autorizadas.
CÓMO IMPLEMENTAR UNA POLÍTICA DE SEGURIDAD
Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificación y control que aseguran que los usuarios de estos recursos sólo posean los derechos que se les han otorgado.
Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a medida que la red crece. Por consiguiente, la seguridad informática debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y así puedan utilizar los sistemas de información en forma segura.
3
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política de seguridad que pueda implementar en función a las siguientes cuatro etapas:
Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias
Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización
Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan
Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente
Un plan de recuperación luego de un incidente
Un sistema documentado actualizado
4
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
1.2.SEGURIDAD PERIMETRAL
Al conectar la red de la empresa a Internet, los recursos internos de IT podrían ser accesibles desde cualquier parte del mundo. Como consecuencia de lo anterior, la empresa puede ser el blanco de piratas informáticos que aprovechan los puntos vulnerables de las redes, de códigos maliciosos y de infección involuntaria por parte de empleados que se desplazan con frecuencia.
La seguridad perimetral la componen los equipos que regulan los accesos a la red desde redes externas, y que básicamente deben satisfacer tres necesidades fundamentales.
La seguridad perimetral es la correcta implementación de los equipos de seguridad que controlan y protegen todo el tráfico y contenido de entrada y salida entre todos los puntos de conexión o el perímetro de la red a través de una correcta definición de las políticas de seguridad y una robusta configuración de los dispositivos de protección, no limitándose sólo al filtrado de tráfico a bajo nivel, sino también a nivel de aplicación, como a través de pasarelas de correo o proxis web.
La seguridad perimetral basa su filosofía en la protección de todo el sistema informático de una empresa desde "fuera", es decir, establecer una coraza que proteja todos los elementos sensibles frente amenazas diversas como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, hackeo de páginas web corporativas, etcétera.
Toda esta tipología de amenazas posibles ha fomentado una división de la protección perimetral en dos vertientes: a nivel de red, en el que podemos encontrar los riesgos que representan los ataques de hackers, las intrusiones o el robo de información en las conexiones remotas; y a nivel de contenidos, en donde se engloban las amenazas que constituyen los virus, gusanos, troyanos, spyware, phishing y demás clases de malware, el spam o correo basura y los contenidos web no apropiados para las compañías. Esta clara división unida al modo de evolución
5
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
de las amenazas en los últimos años ha propiciado que el mercado de seguridad perimetral se centrase en la creación de dispositivos dedicados a uno u otro fin
2. SEGURIDAD PERIMETRAL EN REDES EXTERNAS
Agregado de hardware, software y políticas para proteger una red en la que se tiene confianza (intranet) de otras redes en las que no se tiene confianza(extranet, internet)
Su objetivo es centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente.
La seguridad perimetral:
No es un componente aislado : es una estrategia para poder proteger los recursos de una organización conectada a la red
Es la realizacin practica de la política de seguridad de una organización. Sin una política de seguridad, la seguridad perimetral no sirve de nada.
2.1.Condiciona la credibilidad de una organización en internet
2.2. FILTRADO DE PAQUETES(FIREWALLS, PROXYS, PASARELAS)
Cualquier router IP utiliza reglas de filtrado para reducir la carga de la red; por ejemplo, se descartan paquetes cuyo TTL ha llegado a cero, paquetes con un control de errores erróneos, o simplemente tramas de broadcast. Además de estas aplicaciones, el filtrado de paquetes se puede utilizar para implementar diferentes políticas de seguridad en una red; el objetivo principal de todas ellas suele ser evitar el acceso no autorizado entre dos redes, pero manteniendo intactos los accesos autorizados. Su funcionamiento es habitualmente muy simple: se analiza la cabecera de cada paquete, y en función de una serie de reglas establecidas de
6
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
antemano la trama es bloqueada o se le permite seguir su camino; estas reglas suelen contemplar campos como el protocolo utilizado (TCP, UDP, ICMP...), las direcciones fuente y destino, y el puerto destino, lo cual ya nos dice que el firewall ha de ser capaz de trabajar en los niveles de red (para discriminar en función de las direcciones origen y destino) y de transporte (para hacerlo en función de los puertos usados). Además de la información de cabecera de las tramas, algunas implementaciones de filtrado permiten especificar reglas basadas en la interfaz del router por donde se ha de reenviar el paquete, y también en la interfaz por donde ha llegado hasta nosotros
Cómo se especifican tales reglas: Generalmente se expresan como una simple tabla de condiciones y acciones que se consulta en orden hasta encontrar una regla que permita tomar una decisión sobre el bloqueo o el reenvío de la trama; adicionalmente, ciertas implementaciones permiten indicar si el bloqueo de un paquete se notificará a la máquina origen mediante un mensaje ICMP Siempre hemos de tener presente el orden de análisis de las tablas para poder implementar la política de seguridad de una forma correcta; cuanto más complejas sean las reglas y su orden de análisis, más difícil será para el administrador comprenderlas. Independientemente del formato, la forma de generar las tablas dependerá obviamente del sistema sobre el que trabajemos, por lo que es indispensable consultar su documentación
Por ejemplo, imaginemos una hipotética tabla de reglas de filtrado de la siguiente forma:
Origen Destino Tipo Puerto Accion----------------------------------------------------------------------158.43.0.0 * * * Deny * 195.53.22.0 * * Deny158.42.0.0 * * * Allow * 193.22.34.0 * * Deny
Si al cortafuegos donde está definida la política anterior llegara un paquete proveniente de una máquina de la red 158.43.0.0 se bloquearía su paso, sin importar el destino de la trama; de la misma forma, todo el tráfico hacia la red 195.53.22.0 también se detendría. Pero, >qué sucedería si llega un paquete de un sistema de la red 158.42.0.0 hacia 193.22.34.0? Una de las reglas nos indica que dejemos pasar todo el tráfico proveniente de 158.42.0.0, pero la siguiente nos dice que si el destino es 193.22.34.0 lo bloqueemos sin importar el origen. En este caso depende de nuestra implementación particular y el orden de análisis que siga: si se comprueban las reglas desde el principio, el paquete atravesaría el cortafuegos, ya
7
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
que al analizar la tercera entrada se finalizarían las comprobaciones; si operamos al revés, el paquete se bloquearía porque leemos antes la última regla. Como podemos ver, ni siquiera en nuestra tabla - muy simple - las cosas son obvias, por lo que si extendemos el ejemplo a un firewall real podemos hacernos una idea de hasta que punto hemos de ser cuidadosos con el orden de las entradas de nuestra tabla. Qué sucedería si, con la tabla del ejemplo anterior, llega un paquete que no cumple ninguna de nuestras reglas? El sentido común nos dice que por seguridad se debería bloquear, pero esto no siempre sucede así; diferentes implementaciones ejecutan diferentes acciones en este caso. Algunas deniegan el paso por defecto, otras aplican el contario de la última regla especificada (es decir, si la última entrada era un Allow se niega el paso de la trama, y si era un Deny se permite), otras dejan pasar este tipo de tramas...De cualquier forma, para evitar problemas cuando uno de estos datagramas llega al cortafuegos, lo mejor es insertar siempre una regla por defecto al final de nuestra lista - recordemos una vez más la cuestión del orden - con la acción que deseemos realizar por defecto; si por ejemplo deseamos bloquear el resto del tráfico que llega al firewall con la tabla anterior, y suponiendo que las entradas se analizan en el orden habitual, podríamos añadir a nuestra tabla la siguiente regla:
Origen Destino Tipo Puerto Accion---------------------------------------------------------------------- * * * * Deny
La especificación incorrecta de estas reglas constituye uno de los problemas de seguridad habituales en los cortafuegos de filtrado de paquetes; no obstante, el mayor problema es que un sistema de filtrado de paquetes es incapaz de analizar (y por tanto verificar) datos situados por encima del nivel de red OSI. A esto se le añade el hecho de que si utilizamos un simple router como filtro, las capacidades de registro de información del mismo suelen ser bastante limitadas, por lo que en ocasiones es difícil la detección de un ataque; se puede considerar un mecanismo de prevención más que de detección. Para intentar solucionar estas - y otras vulnerabilidades - es recomendable utilizar aplicaciones software capaces de filtrar las conexiones a servicios; a dichas aplicaciones se les denomina proxies de aplicación, y las vamos a comentar en el punto siguiente.
2.2.1. FIREWALLS
Un Firewall en Internet es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados dentro de esta por los que están
8
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
fuera, es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organización. Para que un firewall sea efectivo, todo trafico de información a través del Internet deberá pasar a través del mismo donde podrá ser inspeccionada la información. El firewall podrá únicamente autorizar el paso del trafico, y el mismo podrá ser inmune a la penetracióndesafortunadamente, este sistema no puede ofrecer protección alguna una vez que el agresor lo traspasa o permanece entorno a este.
Un cortafuegos (o firewall en inglés) es una parte de un sistema o una red que está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
Beneficios de un firewall en Internet
Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red
9
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
privada depende de la "Dureza" con que cada uno de los servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad posible del sistema.
El firewall permite al administrador de la red definir un "choke point" (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vándalos, y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada.
El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa , este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algún problema en el transito de los datos. Esto se podrá notar al acceder la organización al Internet, la pregunta general es "si" pero "cuando" ocurrirá el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitácora del trafico significativo a través del firewall. También, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, desde que el administrador de red desconoce si ha sido exitosamente atacado
Concentra la seguridad
Centraliza los accesos
Genera alarmas de seguridad
Traduce direcciones (NAT)
Monitorea y registra el uso de Servicios de WWW y FTP.
Internet.
Limitaciones de un firewall
Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación.
Por ejemplo, si existe una coneccion dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una coneccion SLIP o PPP al Internet. Los usuarios con sentido común suelen "irritarse" cuando se requiere una
10
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
autenticación adicional requerida por un Firewall Proxy server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que esta incluido en una conexión directa SLIP o PPP del ISP.
Este tipo de conexiones derivan la seguridad provista por firewall construido cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la seguridad en la organización.
Ilustración -3 Conexión Circunvecina Al Firewall De Internet.
El firewall no puede protegerse de las amenazas a que esta sometido por traidores o usuarios inconscientes. El firewall no puede prohibir que los traidores o espías corporativos copien datos sensitivos en disquettes o tarjetas PCMCIA y substraigan estas del edificio.
El firewall no puede proteger contra los ataques de la "Ingeniería Social", por ejemplo un Hacker que pretende ser un supervisor o un nuevo empleado despistado, persuade al menos sofisticado de los usuarios a que le permita usar su contraseña al servidor del corporativo o que le permita el acceso "temporal" a la red.
Para controlar estas situaciones, los empleados deberían ser educados acerca de los varios tipos de ataque social que pueden suceder, y a cambiar sus contraseñas si es necesario periódicamente.
El firewall no puede protegerse contra los ataques posibles a la red interna por virus informativos a través de archivos y software. Obtenidos del Internet por sistemas operativos al momento de comprimir o descomprimir archivos binarios, el firewall de Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a través de el.
11
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
La solución real esta en que la organización debe ser consciente en instalar software anti-viral en cada despacho para protegerse de los virus que llegan por medio de disquettes o cualquier otra fuente.
Finalmente, el firewall de Internet no puede protegerse contra los ataques posibles en la transferencia de datos, estos ocurren cuando aparéntente datos inocuos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.
2.2.2. PROXYS
En el contexto de las redes informáticas, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.
Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una página web) en una caché que permita acelerar sucesivas consultas coincidentes. Con esta denominación general de proxy se agrupan diversas técnicas.
Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en lugar de otro ordenador. Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo. Cuando navegamos a través de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es éste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud.
Cuando nos conectamos con un proxy, el servidor al que accedemos en realidad recibe la solicitud del proxy, en vez de recibirla directamente desde nuestro ordenador. Puede haber sistemas proxy que interceptan diversos servicios de Internet. Lo más habitual es el proxy web, que sirve para interceptar las conexiones con la web y puede ser útil para incrementar la seguridad, rapidez de navegación o anonimato.
El proxy web es un dispositivo que suele estar más cerca de nuestro ordenador que el servidor al que estamos accediendo. Este suele tener lo que denominamos una
12
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
caché, con una copia de las páginas web que se van visitando. Entonces, si varias personas que acceden a Internet a través del mismo proxy acceden al primer sitio web, el proxy la primera vez accede físicamente al servidor destino, solicita la página y la guarda en la caché, además de enviarla al usuario que la ha solicitado.
En sucesivos accesos a la misma información por distintos usuarios, el proxy sólo comprueba si la página solicitada se encuentra en la caché y no ha sido modificada desde la última solicitud. En ese caso, en lugar de solicitar de nuevo la página al servidor, envía al usuario la copia que tiene en la caché. Esto mejora el rendimiento o velocidad de la conexión a Internet de los equipos que están detrás del proxy.
Otro caso típico de uso de un proxy es para navegar anónimamente. Al ser el proxy el que accede al servidor web, el proxy puede o no decir quién es el usuario que lo está utilizando. El servidor web puede entonces tener constancia de que lo están accediendo, pero puede que piense que el usuario que lo accede es el propio proxy, en lugar del usuario real que hay detrás del proxy. Hay proxies anónimos y los hay que sí informan del usuario real que está conectado a través del él.
Utilizar un proxy también tiene sus desventajas, como posibilidad de recibir contenidos que no están actualizados, tener que gestionar muchas conexiones y resultar un cuello de botella, o el abuso por personas que deseen navegar anónimamente. También el proxy puede ser un limitador, por no dejar acceder a través suyo a ciertos protocolos o puertos.
2.2.3. PASARELAS
Una pasarela de aplicación (gateway) es un sistema de hardware/software para conectar dos redes entre sí y para que funcionen como una interfaz entre diferentes protocolos de red.
Cuando un usuario remoto contacta la pasarela, ésta examina su solicitud. Si dicha solicitud coincide con las reglas que el administrador de red ha configurado, la pasarela crea una conexión entre las dos redes. Por lo tanto, la información no se transmite directamente, sino que se traduce para garantizar una continuidad entre los dos protocolos.
El sistema ofrece (además de una interfaz entre dos tipos de redes diferentes), seguridad adicional, dado que toda la información se inspecciona minuciosamente (lo cual puede generar demora) y en ocasiones se guarda en un registro de eventos.
Estos dispositivos están pensados para facilitar el acceso entre sistemas o entornos soportando diferentes protocolos. Operan en los niveles más altos del modelo de referencia OSI (Nivel de Transporte, Sesión, Presentación y Aplicación) y realizan
13
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
conversión de protocolos para la interconexión de redes con protocolos de alto nivel diferentes.
Los gateways incluyen los 7 niveles del modelo de referencia OSI, y aunque son más caros que un bridge o un router, se pueden utilizar como dispositivos universales en una red corporativa compuesta por un gran número de redes de diferentes tipos.
Los gateways tienen mayores capacidades que los routers y los bridges porque no sólo conectan redes de diferentes tipos, sino que también aseguran que los datos de una red que transportan son compatibles con los de la otra red. Conectan redes de diferentes arquitecturas procesando sus protocolos y permitiendo que los dispositivos de un tipo de red puedan comunicarse con otros dispositivos de otro tipo de red.
A continuación se describen algunos tipos de gateways:
Gateway asíncrono Sistema que permite a los usuarios de ordenadores personales acceder a grandes ordenadores (mainframes) asíncronos a través de un servidor de comunicaciones, utilizando líneas telefónicas conmutadas o punto a punto. Generalmente están diseñados para una infraestructura de transporte muy concreta, por lo que son dependientes de la red.
Gateway SNA Permite la conexión a grandes ordenadores con arquitectura de comunicaciones SNA (System Network Architecture, Arquitectura de Sistemas de Red), actuando como terminales y pudiendo transferir ficheros o listados de impresión.
Gateway TCP/IP Estos gateways proporcionan servicios de comunicaciones con el exterior vía RAL o WAN y también funcionan como interfaz de cliente proporcionando los servicios de aplicación estándares de TCP/IP.
Gateway PAD X.25 Son similares a los asíncronos; la diferencia está en que se accede a los servicios a través de redes de conmutación de paquetes X.25.
Gateway FAX Los servidores de Fax proporcionan la posibilidad de enviar y recibir documentos de fax.
Ventajas:
Simplifican la gestión de red. Permiten la conversión de protocolos.
14
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
Desventajas:
Su gran capacidad se traduce en un alto precio de los equipos. La función de conversión de protocolos impone una sustancial sobrecarga en
el gateway, la cual se traduce en un relativo bajo rendimiento. Debido a esto, un gateway puede ser un cuello de botella potencial si la red no está optimizada para mitigar esta posibilidad.
2.3.SISTEMA DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES
Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación.
También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas.
El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.
El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si
15
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer).
Técnicas de detección
El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar intrusiones:
1. Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada.
16
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
2. Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc.
Esta técnica es rápida (el N-IDS no necesita examinar la base de datos de firmas en su totalidad para secuencias de bytes particulares) y es también más eficiente, ya que elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro).
3. Reconocimiento de ataques de "comparación de patrones": Esta técnica de reconocimiento de intrusión es el método más antiguo de análisis N-IDS y todavía es de uso frecuente.
Consiste en la identificación de una intrusión al examinar un paquete y reconocer, dentro de una serie de bytes, la secuencia que corresponde a una firma específica. Por ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar provecho de un defecto del script CGI "phf". Este método también se utiliza como complemento de los filtros en direcciones IP, en destinatarios utilizados por conexiones y puertos de origen y/o destino. Este método de reconocimiento también se puede refinar si se combina con una sucesión o combinación de indicadores TCP.
Esta táctica está difundida por los grupos N-IDS "Network Grep", que se basan en la captura de paquetes originales dentro de una conexión supervisada y en su posterior comparación al utilizar un analizador de "expresiones regulares". Éste intentará hacer coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete capturado.
2.4.REDES PRIVADAS VIRTUALES
Es una red privada que se extiende, mediante un proceso de encapsulación y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte.Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública. (ver figura siguiente)
17
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
En la figura anterior (figura 2) se muestra como viajan los datos a traves de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la función de una pared para engañar a los intrusos a la red, despues los datos llegan a nube de internet donde se genera un túnel dedicado unicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambien garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto.Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente.
Tecnología de túnel
Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulación además los paquetes van encriptados de forma que los datos son ilegibles para los extraños.
18
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
El servidor busca mediante un ruteador la dirección IP del cliente VPN y en la red de transito se envian los datos sin problemas.
5. Requerimientos básicos de una VPN
Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione:Identificación de usuario Administración de direcciones Codificación de datos Administración de claves Soporte a protocolos múltiples Identificación de usuarioLa VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren quien acceso, que información y cuando.
Administración de direcciones La VPN debe establecer una dirección del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven así.
Codificación de datos Los datos que se van a transmitir a traves de la red pública deben ser previamente encriptados para que no puedan ser leídos por clientes no autorizados de la red.
Administración de claves La VPN debe generar y renovar las claves de codificación para el cliente y el servidor.
Soporte a protocolos múltiples La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pública. Estos incluyen el protocolo de internet(IP), el intercambio de paquete de internet(IPX) entre otros.
7. Ventajas de una VPN
Dentro de las ventajas más significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos. Reducción de costos.Sencilla de usar. Sencilla instalación del cliente en cualquier PC Windows.Control de Acceso basado en políticas de la organización Herramientas de diagnostico remoto. Los algoritmos de compresión optimizan el tráfico del cliente.Evita el alto costo de las actualizaciones y mantenimiento a las PC´s remotas.
19
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
3. RED INTERNA
3.1.CORTAFUEGOS PERSONALES
"Se usa un cortafuegos personal para sellar canales de comunicación no usados y reducir el acceso concedido a los programas sólo para lo estrictamente necesario, como el envío y la recepción de mensajes y la navegación por Internet", explica el profesor Norbert Pohlmann, director del Instituto alemán de Seguridad en Internet, con sede en Gelsenkirchen. "Una computadora no asegurada es como un puñado de monedas sobre una mesa en medio de una pradera. Un firewall personal es como una casa construida en torno a esa mesa", continúa.
Los Cortafuegos personales son programas que se instalan de forma residente en nuestra computadora y que permiten filtrar y controlar la conexión a la red. En general necesitan un conocimiento adecuado de nuestra computadora, pues en la actualidad son muchos los programas que realizan conexiones a la red y que son necesarios. Es por ello que no son recomendables para usuarios inexpertos ya que podrían bloquear programas necesarios (incluso hasta la propia posibilidad de navegación por Internet), aunque siempre se tenga a mano la posibilidad de desactivarlos.
La instalación de un Cortafuegos requiere además un proceso de "entrenamiento para usarlo" ya que al principio deberemos ir elaborando las reglas de acceso en función del empleo que le damos a la red. Así lo normal es que nuestro FIREWALL Personal nos pregunte que si queremos dar permiso a distintos programas de red a medida que los usamos. Esto al principio puede resultar un poco complicado o incluso hasta molesto.
Un FIREWALL Personal no impide por sí solo que entren troyanos, virus y gusanos a nuestro sistema. Lo ideal es que también tengamos instalado un buen antivirus residente en memoria, actualizado y bien configurado. Adicionalmente es deseable tener al día todas las actualizaciones de Seguridad de Microsoft que se requieran. Ahora bien, no necesariamente nos servirá para evitar que ingresen a nuestro sistema contenidos no deseados.
En general, junto con un antivirus lo que debe esperar de un buen FIREWALL Personal son las siguientes características:
1.- Que proteja su sistema de acceso no autorizado a través de Internet.
2.- Capacidad de alertar de intentos de intrusión y mantener un registro para seguir sus pistas. Cierto grado de protección frente a virus a través del correo electrónico.
20
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
3.- Bloqueo de contenido peligroso en Internet: applets de Java, controles ActiveX, cookies, etc. Filtrado al nivel de aplicación para conexiones hacia el exterior (usadas por caballos de Troya). Cierta facilidad de instalación, configuración y uso.
ANTIVIRUS
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus informáticos, sino bloquearlo, desinfectar y prevenir una infección de los mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador.
Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el ordenador, con técnicas como Heurística, HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador está en uso.
Asimismo, cuentan con un componente de análisis bajo demando (los conocidos scanners, exploradores, etc), y módulos de protección de correo electrónico, Internet, etc.
El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección.
Actualmente hay una gran mayoria de antivirus pero no todos se asemejan al pretendido por todos, un antivirus eficaz en todos los sentidos.
21
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
Seguridad métodos de protección
Tener en cuenta este reto, es el primer paso para obtener seguridad. Existen múltiples medios de intentar combatir el problema. Sin embargo debemos ser realistas. Conforme nuevos programas y sistemas operativos se introduzcan en el mercado más difícil va a ser tener controlados a todos y más sencillo va a ser que a alguien se le ocurran nuevas formas de infectar el sistema.
Ante este tipo de problemas están los softwares llamados antivirus. Estos antivirus tratan de descubrir las trazas que ha dejado un software malicioso, para eliminarlo o detectarlo, y en algunos casos contener o parar la contaminación.
Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.
Antivirus (activo)
Estos programas como se ha mencionado tratan de encontrar la traza de los programas maliciosos mientras el sistema este funcionando.
Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad.
Como programa que esté continuamente funcionando, el antivirus tiene un efecto adverso sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al funcionamiento del mismo. Además dado que están continuamente comprobando la memoria de la maquina, dar más memoria al sistema no mejora las prestaciones del mismo.
Otro efecto adverso son los falsos positivos, es decir al notificar al usuario de posibles incidencias en la seguridad, éste que normalmente no es un experto de seguridad se acostumbra a dar al botón de autorizar a todas las acciones que le notifica el sistema. De esta forma el antivirus funcionando da una sensación de falsa seguridad.
Tipos de vacunas
CA:Sólo detección: Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.
CA:Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.
CA:Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus
22
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
CB:Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.
CB:Comparación de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo.
CB:Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos.
CC:Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario.
CC:Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema windows xp/vista
3.2.SISTEMA OPERATIVO Y GESTIÓN DE CONFIGURACIÓN
Todo el mundo desea que los Sistemas Operativos sean "seguros", pero en todos los sistemas operativos hay agujeros de seguridad, otra cosa es que no se conozcan. Aquí no voy a exponer una lista de algunos de estos agujeros, ya que para eso ya están las páginas de hacker o de seguimiento de fallos.
Cómo se consiguen evitar los agujeros de seguridad:
Evitando el contacto directo con la máquina: Ya que cuando se puede tener acceso a ésta, se puede modificar su configuración, tanto por programas (virus, programas servidores, craqueadores, desensambladores, buscadores de claves...), como por mecanismos físicos (destrozando la bios, cortocircuitando, creando sectores defectuosos...).
Si se accede por telnet o por otro servicio de red: Tener un buen sistema de claves, y que al fichero de claves no se pueda tener acceso de ninguna forma. Excepto claro el administrador o superusuario. Además si los usuarios son invitados o anónimos, restringirle al máximo sus derechos, y como caso extremo hasta la escritura. Aparte de que no puedan ejecutar los programas que ellos quieran en nuestro sistema. E incluso evitando que usen los compiladores que pueda haber en el sistema (virus, formateos, scripts...). Y es más, no poder entrar nadie ni cambiarse a superususario o administrador, para no tener acceso a toda la máquina jamás.Cerrar los servicios de red que no se necesiten o evitar el acceso a alguno de ellos a horas que no está el administrador del sistema.No olvidarse de un buen firewall.
23
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
Sistema de archivos: Hay que tener un buen sistema de archivos, que controle a través del sistema operativo, el acceso a un fichero. Nada de claves independientes de fichero, por que lo único que se consigue es olvidar las claves o poner la misma en todas, con lo cual es un gran fallo.
Criptografía: Es un método más para proteger partes de ficheros, o el fichero entero. En principio no lo veo necesario a menos que se traten de datos muy importantes. Ya que se puede perder la clave y no se podrá recuperar, como se puede recuperar las de los usuarios del sistema operativo.
Copias del sistema periodicas: Es necesario que se efectuen copias de seguridad periodicas, para que ante un posible ataque, y caida del sistema se pueda restaurar el sistema en un corto espacio de tiempo, no sin antes mirar los "logs", para intentar corregir el fallo, y atrapar a el/los culpable/s.
3.3. AUDITORIA
Una auditoría de seguridad consiste en apoyarse en un tercero de confianza (generalmente una compañía que se especializada en la seguridad informática) para validar las medidas de protección que se llevan a cabo, sobre la base de la política de seguridad.
El objetivo de la auditoría es verificar que cada regla de la política de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente.
Una auditoría de seguridad garantiza que el conjunto de disposiciones tomadas por la empresa se consideren seguras.
Desafortunadamente para muchas empresas la cuestión de la auditoría y seguridad informática es un asunto no prioritario. Por tratarse de "algo que no se ve" las empresas no destinan presupuesto para mantener niveles mínimos de seguridad en sus instalaciones informáticas. Para qué gastar dinero en algo que "no urge" . . .
Algunas empresas hacen "algo" sólo cuándo tienen el problema encima y hay que entregar ¡ya! resultados. Se dan cuenta que "algo" no funcionó o funcionó mal, que no lo previnieron. Actúan cuando supieron que alguien violó sus instalaciones y con ello la confidencialidad de su información por no hablar de la seguridad e integridad de la misma. No supieron prevenir el hecho que en ocasiones puede ser tan lamentable al resultar dañada su imagen y su información.
Evalúe sus sistemas periódicamente, revise qué tan eficiente y efectivo son los controles informáticos que tiene implantados, haga auditoría de sistemas y de la seguridad informática.
24
SEGURIDAD PERIMETRAL REDES DE COMPUTADORASPROF. ARMAS FISI - UNMSM
No espere a tener sorpresas que le ocasionen más gasto del que "cree" que implica la prevención que significa el invertir en una auditoría de sistemas y de la seguridad de su información.
25
Top Related