P. 1
Seguridad en La Intranet

Seguridad en La Intranet

|Views: 543|Likes:
Publicado porIvan Rojas

More info:

Published by: Ivan Rojas on Jul 11, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPTX, PDF, TXT or read online from Scribd
See more
See less

03/13/2014

pdf

text

original

ELEMENTOS FUNDAMENTALES
Los elementos fundamentales para un completo programa de seguridad son: ‡la protección de los datos de intranet, ‡sus aplicaciones y su hardware se incluye que los usuarios solo puedan realizar las tareas y solo puedan obtener la información para las que tienen autorización. ‡La palabra <<seguridad>> denota protegerse contra los ataques de piratas informáticos maliciosos, pero también debería de controlar los efectos debidos a errores o fallos en los equipos. La idea es disponer de un programa de seguridad completo. Cuando más detallado sea el programa más segura estará la intranet frente a peligros imprevistos.

CONCEPTOS BÁSICO DE SEGURIDAD
Antes de discutir las herramientas concretas que se pueden usar para la seguridad de la intranet es mejor entender los conceptos básicos esenciales en cualquier sistema de seguridad. ‡CONOCER AL ENEMIGO. ‡CONOCER LOS RIESGOS Y LOS COSTOS. ‡EXAMINAR LAS SUPOSICIONES. ‡RECUERDE QUE LAS PERSONAS SON PERSONAS. ‡IDENTIFICACIÓN DE LOS PUNTOS DE ACCESO. ‡TENGA EN CUENTA LA SEGURIDAD FÍSICA. ‡SEA CONSIENTE DE LOS EFECTOS DEL CAMBIO.

Dependiendo de cómo este configurada la intranet.AMENAZAS A LA SEGURIDAD DE LA INTRANET Cualquier intranet y cualquier dato que circula en ella es vulnerable a un ataque. Hay algunas más normales que otras. TIPOS DE AMENAZAS Las amenazas pueden provenir de dentro de la intranet o de cualquier red externa a la que se este conectado. incluyendo internet. En muchos estudios se indica que la mayor parte de las amenazas vienen de la red interna (en un 80% o 95%). Hay amenazas de todas las formas y tamaños. . No existe una intranet totalmente segura. Aun que se debe prestar mayor atención a las amenazas internas no hay que olvidar las amenazas que vienen de más allá del cortafuegos.

bases d dato y sistemas de archivos. La confidencialidad e integridad de dicha información puede estar en peligro ante individuos no autorizados. negar que ha participado en el dialogo.Vulnerabilidad Red corporativa Amenaza Se puede exponer la red corporativa a un ataque atreves de la conectividad que ofrece la intranet y los protocolos que utiliza. conectado directa o indirectamente a la intranet son potencialmente vulnerables. . Uno o más participes en un dialogo electrónico puede. La información que se transmite por la intranet puede ser objeto de ataques. Servidor de la intranet Transmisión de datos Servicios disponibles repudio Un ataque de ciertos individuos puede desactivar los sistemas de red o la misma red Puede repudiarse una comunicación electrónica. Los servidores que están conectados directamente la intranet pueden ser objetos de ataques y. mas tarde. por tanto. Cualquier sistema de red. se puede ver y alterar toda la información que contienen. las grandes computadoras.

‡Gusano. Es un programa que dice ser lo que no es. pegándose el mismo a otros programas en la memoria de la computadora o en el disco. Puede incluir código malicioso y una vez instalado en el sistema puede hacer cosas no esperadas (e indeseables). Es un programa que llega a una red y se reproduce. ‡Caballo de Troya. A diferencia de un virus un gusano es auto contenido y no necesita de otro programa que lo contenga. Desgraciadamente no es tarea fácil.CÓDIGO MALICIOSO El código malicioso se refiere al software imprevisto que puede realizar muchas acciones en la intranet y los sistemas conectados. . El código malicioso puede atacar a las computadoras personales y a sistemas sofisticados como los servidores de la intranet. Entre los tipos de código malicioso están: ‡Virus: es un segmento de código que se replica. La mejor defensa contra el código malicioso es mantenerlo completamente fuera de la intranet.

ESPIONAJE CORPORATIVO Según se van trasladando los secretos de los armarios a archivadores de internet puede crecer el espionaje electrónico. mientras que otros pueden querer robar la información o dañar la red y sus sistemas. . Hay que tener en cuenta que los competidores y enemigos se podrían beneficiar de cualquier secreto que pudiesen localizar en l intranet. Algunos tan solo quieren fisgonear un poco. El ataque físico o la destrucción de hardware también entran dentro de esta categoría AMENAZAS DE LOS PIRATAS INFORMÁTICOS Los piratas informáticos pueden acceder a la intranet por varias razones.AMENAZAS FÍSICAS Y A LA INFRAESTRUCTURA Entre los ejemplos de amenazas físicas y a la infraestructura están las sobretensiones y los desastres naturales como las inundaciones y los rayos. Hay que ser consientes del valor de la información que se pone en intranet.

FRAUDE Y ROBO La mayoría de las compañías usan algún tipo de computadoras para el sistema de contabilidad. . muchas compañías están empezando a comprar bienes y servicios por internet. En la siguiente sección se describen algunos de los puntos vulnerables mejor conocidos de una red intranet/internet entre los que están los sistemas de contraseñas y TCP/IP. VULNERABILIDAD EN LA SEGURIDAD Existen distintos puntos vulnerables que hay que tener en cuenta al implantar un programa de seguridad.EMPLEADOS DESCONTENTOS Los empleados descontentos pueden producir daños y sabotajes en un sistema de computadoras. La amenaza de fraude y robo crece según se va pasando a sistemas de comercio y contabilidad electrónicos. Además. autenticación de mensajes y políticas de seguridad blandas. Los empleados son el grupo más familiarizado con las computadoras y las aplicaciones por lo que saben como causar el mayor daño.

Los ataques por contraseña implican comprometer una contraseña de un sistema. Se estima que las contraseñas poco seguras ocasionan el 80% de los problemas de seguridad en una red. ‡Tanto letras minúsculas como mayúsculas. ‡Que tengan un mínimo de 8 caracteres. números y símbolos. Los usuarios deberían seleccionar las contraseñas teniendo en cuenta lo siguientes criterios. Asegúrese de que las contraseñas se cambian a menudo y asegúrese de ese compromiso.SISTEMA DE CONTRASEÑAS Los sistemas de contraseñas son con diferencia el método más explotado de vulnerar una red. ‡No deberían de estar en un diccionario . ‡Mezcla de letra.

la seguridad no era tema importante. es el lenguaje de la intranet y el internet. Más aun. Los ataques más habituales que explotan las habilidades del protocolo TCP/IP son probablemente el fisgonear la red y la suplantación de IP. Cuando se definió TCP/IP.LENGUAJE TCP/IP TCP/IP. . y muchos de los protocolos relacionados. La idea no era limitar el acceso sino expandirlo. las aplicaciones que utilizan TCP/IP como protocolo de transporte pueden ser vulnerables a un ataque. TCP/IP se creó con la idea de interconectar distintos lugares militares. Muchos de los protocolos de intranet/internet se han mejorado recientemente para contener funciones de seguridad. no es un lenguaje inherentemente seguro. de investigación y universidades.

Los paquetes pueden contener información de contraseñas o datos confidenciales. El software y hardware capturan los paquetes de TCP/IP según pasan de una computadora a otra por la red. La suplantación de IP es una práctica en la que una computadora atacante asume la identidad de una computadora valida de la red para conseguir acceder a una tercera computadora y a cualquiera de los servicios de información que proporciona. .Ataque por fisgoneo/análisis de red. Los intrusos pueden acceder fácilmente a archivos y contraseñas usando el hardware y el software de los analizadores de red y así pueden fisgonear en ella. Suplantación de IP.

.

Si alguien con una dirección como president@whitehouse. Una política de seguridad débil o pobremente implantada puede abrir agujeros de seguridad que convierta en vulnerable a la intranet. Autenticarse quien se es cuando se comunica con alguien puede ser un elemento de seguridad en la intranet y en la internet. Los certificados digitales identifican unívocamente a los individuos y a las organizaciones y son una solución relativamente nueva a estos problemas de autenticación de usurarios y sistemas. Se pude hacer de forma sencilla y barata para cerrar todos los agujeros de seguridad de la intranet.gov le envía un mensaje.gov. ¿Cómo se puede verificar que realmente se esta conectando al lugar cuyo URL pretendía? TCP/IP y HTTP por si solos permiten de manera relativamente sencilla suplantar a un host. Requiere algún tiempo y quizás una cierta vigilancia pero pude impedir algunos ataques a la red y a la intranet. a una persona o a una organización.AUTENTICACIÓN DE LOS MENSAJES. ¿cómo se puede verificar que el remitente es realmente la persona que se dice que es? De la misma forma cuando alguien se conecta a http://www.whitehouse. POLÍTICAS DE SEGURIDAD DÉBILES. Las compañías deberían de ofrecer una política de seguridad a todos los empleados con respecto a su sistema y redes. .

. El primer paso para crear una política de seguridad en la intranet es fijar los objetivos que se desean conseguir. Se deben determinar los objetivos y a partir de los objetivos determinar las prioridades. su objetivo principal es proteger el sistema de base de datos que ya se tenía de ataques externos. por ejemplo. Requiere algún tiempo y quizás una cierta vigilancia pero pude impedir algunos ataques a la red y a la intranet.IMPLANTACIÓN DE UNA POLÍTICA DE SEGURIDAD. Empiece respondiendo a las siguientes preguntas: ¿Qué hay que proteger? ¿Cuáles son las amenazas a lo que se quiere proteger? Si. Un completo programa de seguridad tiene como base una política comprensible y sólida. FIJACIÓN DE OBJETIVOS. la mayor prioridad del programa de seguridad y las políticas asociadas podría ser un cortafuegos y su administración.

Después de todo. Si el costo de las contramedidas es mayor que el eventual costo de la brecha de seguridad entonces puede que no valga la pena la contramedida. . solo un loco compraría un auto de 500 dólares y le pondría una alarma de 1000 dólares para protegerlo. Antes de asignar los objetivos y prioridades de seguridad se debe realizar un inventario de las posibles amenazas y vulnerabilidades que se han visto anteriormente y comparar el costo de las brechas en la seguridad frente al costo de implantar y administrar las medidas de seguridad contra esa brecha.COSTOS FRENTE A RIESGOS.

MODALIDADES DE SEGURIDAD EN UNA INTRANET CORTAFUEGOS El trabajo de un cortafuegos es definir y defender el perímetro de una red. SERVIDORES PROXY El servidor proxy proporcionara una puerta controlada a través del cortafuegos y hacia afuera de la red externa desprotegida. .

.

ESTABLECE LA CONEXIÓN Y TERMINA ESA MISMA CONEXIÓN. -SOLO CONTROLA EL TRAFICO DE PAQUETES Y REACCIONA DE ACUERDO CON LAS REGLAS QUE SE LE DAN. -RECIBE LAS PETICIONES DE CONEXIÓN DE LA COMPUTADORA FUENTE. -UN CORTAFUEGOS NO TIENE EN CUENTA EL CONTENIDO DE LOS PAQUETES SERVIDOR PROXY -SE CONECTA TANTO A LA FUENTE COMO AL DESTINO. AL MISMO TIEMPO EL SERVIDOR PROXY ESTABLECE UNA CONEXIÓN CON LA COMPUTADORA DESTINO Y DE IGUAL FORMA TERMINA ESA CONEXIÓN.DIFERENCIA ENTRE CORTAFUEGOS Y SERVIDORES PROXY CORTAFUEGOS -FUNCIONA CON CADA UNO DE LOS PAQUETES. -DE ESA FORMA SE CONSIGUE UNA SEGURIDAD SUPERIOR YA QUE LAS COMPUTADORAS FUENTE Y DESTINO NO ESTÁN NUNCA REALMENTE CONECTADAS. .

SERVIDORES PROXY SOCKS (CIRCUITO) El servidor proxy SOCKS funciona de la misma forma que muchos otros servidores proxy. La principal diferencia es que el servidor no tiene en cuenta los protocolos que pasan atraces de el. SOCKS es un protocolo en si mismo. . No es necesario administrar un servidor proxy para cada aplicación (por ejemplo ftp. Por ello. Las ventajas de un servidor SOCKS provienen de que un único servidor proxy puede manejar todo el trafico de aplicaciones diferentes. O bien el software TCP/IP o la propia aplicación deben de soportar el protocolo SOCKS. muchas aplicaciones que desean usar un servidor proxy SOCKS deberán de tener un mecanismo de comunicación con el servidor SOCKS. http y gopher) que se usan en la intranet.

) son mas apropiados los protocolos como la capa de conectores seguros (SSL) o la tecnología de comunicaciones privadas (PCT). La intranet puede usar tanto aplicaciones de tipo cliente/servidor como de almacenar y retrnsmitir que requieran distintos modos de seguridad. Para aplicaciones cliente/servidor interactivas (web. mientras que para aplicaciones de almacenar y retransmitir (correo. .) son mas utiles los protocolos como MIME seguro (S/MIME). el acceso seguro y control de las aplicaciones y la implantacion de protocolos de seguridad. discusiones. etc.COMO CONSEGUIR SEGURIDAD EN LAS APLICACIONES DE INTRANET existen distintos apectos sobre seguridad de las aplicaciones entre ellos las politicas de seguridad. búsqueda. etc. directorios.

Asegura que solo las personas autorizadas para ver o modificar los datos de un servidor corporativo pueden acceder a dichos datos. Cifrado y desifrado El cifrado trata los requisitos de confidencialidad y control de acceso consiguiendo que las personas no autorizadas no puedan acceder a los datos. Este proceso de Cifrado y decifrado se lleva a cabo con la ayuda de una o varias claves. ‡Confidencialidad.CIFRADO. Los elementos que trata la criptografía por claves son los siguientes. El cifrado modifica unos datos en forma legible a un formato ilegible. colaboren y accedan a información confidencial tanto en un entorno de intranet como de internet existen cierto requisitos que deben satisfacerse para asegurar que se protejan los recursos. ‡Control de acceso. . Asegura que los datos de una conexión cliente/servidor o en una conexión punto a punto no quede abierta a personas no autorizadas. DESCIFRADO Y FIRMA DIGITAL Para que las personas se comuniquen.

. Asegura que no se han alterado los datos desde que se crearon en origen. autenticación y aceptación.FIRMA DIGITAL Se trata de los requisitos de integridad. Los elementos que trata la firma digital son: ‡Integridad. ‡Autenticación. Cuando alguien rechaza estar involucrado en una situación con problemas o niega haber tenido ninguna intervención en un problema. Proporciona la prueba de quien es la fuente de los datos de manera que se puede verificar la autenticidad de quien inicio la conexión o quien envió el mensaje. Además. Una firma digital es análoga a la firma manual. en el hecho de que se puede usar para asegurar a un lector (quien lo acepta) cual es la fuente de la información. La firma digital viaja con los datos o asociada a un archivo de texto con los datos. la firma digital permite asegurar que se detecta cualquier cambio en los datos. ‡Aceptación.

al contrario. La criptografía de clave publica usa un par de claves relacionadas matemáticamente.CRIPTOGRAFÍA POR CLAVES Hay 2 métodos básicos en la criptografía por claves: ‡Criptografía simétrica o clave privada. los mensajes que se cifren con clave privada solo se pueden descifrar con la clave publica. Un mensaje se cifra usando una clave secreta y se de cifra usando la misma clave. . ‡Criptografía asimétrica o clave publica. Este tipo de criptografía no es practico para una intranet. este método no funciona bien en aquellas situaciones donde se intercambian datos cifrados entre mas de unas personas. una de las claves es publica y otra es privada los mensajes cifrados con la clave publica solo se pueden descifrar con la clave privada y. Con este método se resuelven muchos de los problemas que tenia la criptografía simétrica.

Si alguien quiere suplantar a otra persona lo único que necesita hacer es generar una clave publica/privada y publicar la clave publica con el nombre de otro. ‡Certificado de clave publica. ‡Autoridad de certificación (CA).CERTIFICADOS Y AUTORIDADES DE CERTIFICACIÓN Uno de los problemas con la criptografía de clave asimétrica es la confianza. Es una autoridad en quien se puede confiar que vigila por la identidad de personas o servidores para quien emite certificados. . Es un documento digital junto con la identidad de una persona o servidor a un conjunto de clave publica/privada.

Este proceso debería requerir que el servidor de intranet disponga de la capacidad de autentificar las aplicaciones cliente que establecen un canal seguro. . de manera de que se necesita integrar a ambos en la arquitectura del servidor de la intranet.AUTENTIFICACIÓN DE CLIENTES es el proceso por el cual un servidor identifica y autentifica un usuario/cliente. ya sea mediante contraseñas o con certificados de clave publica. Además los clientes de correo electrónico de la intranet puedan requerir la capacidad de identificar y autenticar a otros usuarios de correo electrónico mediante comunicación segura punto a punto.

AUTENTICACION MEDIANTE CERTIFICACION El acceso a la información almacenada a un servidor de intranet se puede controlar asignando certificados de usuarios a cuentas o grupos de usuarios y asignando permisos de control de acceso a la cuenta de usuarios o de grupo utilizando el mecanismo estándar de la lista de control de acceso (ACL) que debería formar parte de los servidores de intranet. solicitar y almacenar certificados personales y entregar un certificado personal al servidor cuando se le solicite. . ‡El servidor debe de ser capaz de solicitar un certificado al servidor. verificar los certificados del cliente y casar los certificados del cliente recibidos con la lista de control de acceso estándar usada en el servidor. ‡El cliente debe de ser capaz de verificar los certificados del cliente. El protocolo SSL3 soporta todos los requerimientos de la autenticación de cliente mediante certificación. Una ACL permite o limita el acceso a un recurso de la intranet basado en elementos como los nombres de los usuarios las contraseñas y los grupos. ‡La versión 3 de la capa de conectores seguros (SSL3) es un nuevo estándar para el protocolo de canal seguro que usan muchas clientes y servidores de una intranet. es decir tanto el cliente como el servidor deben de manejar certificados. La autenticación de clientes utilizando un canal seguro y certificados requiere: ‡El protocolo de canal seguro ha de ser capaz de autenticar bidireccionalmente.

El protocolo S/MIME soporta todos los requisitos de autenticación de cliente mediante certificados. S/MIME es un nuevo protocolo estándar para la comunicación segura punto a punto que usan muchas de las aplicaciones de una intranet.COMUNICACIÓN SEGURA PUNO A PUNTO Los requisitos para una comunicación segura punto a punto son los similares a un canal seguro. solicitar y almacenar certificados personales y usar la clave privada del usuario para firmar mensajes. El protocolo de seguridad de un canal seguro debe de ser capaz de proporcionar operaciones de firma y envoltorio (cifrado) de mensaje bidireccional. . La aplicación final (usada comúnmente en la comunicación punto a punto) debe de ser capaz de verificar los certificados recibidos.

La autenticación de clientes mediante certificación tiene las siguientes ventajas sobre otros tipos de autenticación de clientes mediante contraseñas como las direcciones IP. Cuando se utiliza la autenticación mediante certificado se puede simplificar la administración y reducir los costos. Como los certificados se basan en la tecnología de clave publica.VENTAJAS DE LA AUTENTICACIÓN MEDIANTE CERTIFICADOS. los nombres de DNS o las direcciones de correo electrónico: ‡No se envían contraseñas desde el cliente al servidor. ‡Mejora en la experiencia del usuario usando una única conexión. . ‡Mejor forma de identificar al usuario. Los certificados contienen información que se puede comprobar sobre la identidad del usuario en lugar de la autenticación basada en IP del usuario. ‡Mejor autenticación. ‡Administración más sencilla. se consigue una mejor autenticación. un nombre de dominio o la dirección de correo electrónico.

distribuida para cada conexión segura a servidores de la intranet. de forma que la contraseña no fluya por la red libremente. . aun hay una necesidad para la autentificación de clientes con autentificación por contraseñas. puede ser suficiente la autenticación mediante contraseñas en aquellos casos donde es aceptable la gestión de contraseñas distribuidas. El canal seguro autenticado por el servidor proporciona la posibilidad para el cliente de verificar la identidad del servidor y usar un canal cifrado entre el cliente y el servidor. cuando se usa un canal seguro autenticado por el servidor (autenticación de cliente no basada en certificados) entre el cliente y el servidor.AUTENTICACIÓN MEDIANTE CONTRASEÑA Aun que la seguridad de clave publica se esta extendiendo.

PROTOCOLOS PARA COMUNICACIONES SEGURAS Actualmente existen protocolos estándar que consiguen realizar comunicaciones seguras. Estos protocolos se clasifican de la forma en que se dividen las siguientes secciones. A esto se le conoce como canal seguro. Como resultado del proceso de autenticación se establece una conexión cifrada. Existen muchos protocolos que se pueden usar para establecer canales seguros los mas habituales son los siguientes: . CANALES SEGUROS Un canal seguro se crea en una relación cliente/servidor cuando una de las partes (normalmente el servidor) autentica a otro.

mientras que la relación de cliente y servidor se usa para negociar los parámetros de la seguridad. El protocolo TLS es un intento de combinar los 2 protocolos de canal seguro (SSL y PCT) en un único protocolo. El protocolo SHTTP firma y cifra los documentos.‡Capa de conectores seguros (SSL). en especial en autenticacion y eficiencia al protocolo. es similar al SSL pero añade una función al anterior. ‡Seguridad de la capa de transporte (TLS). ‡Tecnologías de comunicaciones privadas (PCT). . Las implementaciones de PCT son compatibles con SSL. El protocolo SHTTP fue el primer protocolo publicado que intentaba resolver los problemas de seguridad en el nivel de canal y del mensaje. ‡HTTP seguro (SHTTP). El protocolo SSL trata en si mismo de ofrecer un canal cifrado y firmado entre el cliente y el servidor. El protocolo ssl tiene 2 versiones usadas ampliamente: la versión 2 y la versión 3.

este protocolo usa criptografía de clave publica de manera imilar a S/MIME sin embargo se diferencia en sus métodos de gestión de certificados. ‡Servicios de seguridad de objetos MIME (MOSS). ‡Protocolo de seguridad de mensajes (MSP). El protocolo S/MIME es el protocolo mas reciente y el que mas utiliza en las implementaciones comerciales. Los mensajes y documentos se pueden firmar mediante firmas digitale y/o cifrar usando envoltorios digitales. .MENSAJES Y DOCUMENTOS SEGUROS Se crea una comunicación punto a punro segura en un entorno de almacenar y enviar donde las partes usan seguridad basada en documentos o mensajes para enviar datos de un lado a otro.los tipos mas habituales de comunicación punto a punto son los siguientes: ‡MIME seguro (S/MIME). El protocolo MSPforma parte del sitema de mensajería de mensajería de la defensa (DMS) del gobierno de los estados unidos. ‡Prety good privacy (PGP). El protocolo MOSS es una combinación de los estándares correo mejorado privado (PEM) (ya desaparecido) y MIME que pretendía aunar los estándares PEM yMIME para proporcionar un nuevo protocolo actualizado.

.COMERCIO ELECTRÓNICO SEGURO El comercio electrónico seguro lo usan los consumidores o empresas que necesitan realizar transacciones seguras financiera electrónicas. El protocolo de transacciones seguras (SET) es un nuevo estándar que resuelve los problemas del procedimiento de pagos en internet.

SERVICIO Ciente/servidor Punto a punto Canal seguro Documentos seguros SSL x SHTTP x S/MIME x x x x x x x El cliente/servidor firma con la clave personal del x usuario El servidor firma con la clave del servidor x .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->