SEGURIDAD PERIMETRAL PROF.

ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

INTRODUCCIN.

La seguridad ha sido el principal concerniente a tratar cuando una organizacin desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el Internet. Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organizacin privada de sus datos as como la infraestructura de sus red a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de proteccin requerida, la organizacin necesita seguir una poltica de seguridad para prevenir el acceso noautorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportacin privada de informacin. Todava, aun si una organizacin no esta conectada al Internet, esta debera establecer una poltica de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la informacin secreta.

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

1. SEGURIDAD PERIMETRAL EN REDES IP (FIREWALLS Y DISPOSITIVOS L3 Y L4) 1.1. SEGURIDAD INFORMTICA La seguridad informtica consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida, as como su modificacin, slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. La mayora de las empresas sufren la problemtica de seguridad debido a sus necesidades de acceso y conectividad con:

Internet. Conectividad mundial. Red corporativa. Acceso Remoto. Proveedores.

Objetivos de la seguridad informtica Generalmente, los sistemas de informacin incluyen todos los datos de una compaa y tambin en el material y los recursos de software que permiten a una compaa almacenar y hacer circular estos datos. Los sistemas de informacin son fundamentales para las compaas y deben ser protegidos. Generalmente, la seguridad informtica consiste en garantizar que el material y los recursos de software de una organizacin se usen nicamente para los propsitos para los que fueron creados y dentro del marco previsto. La seguridad informtica se resume, por lo general, en cinco objetivos principales:

Integridad: garantizar que los datos sean los que se supone que son Confidencialidad: asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian Disponibilidad: garantizar el correcto funcionamiento de los sistemas de informacin Evitar el rechazo: garantizar de que no pueda negar una operacin realizada. Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los recursos

Integridad
2

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

La verificacin de la integridad de los datos consiste en determinar si se han alterado los datos durante la transmisin (accidental o intencionalmente). Confidencialidad La confidencialidad consiste en hacer que la informacin sea ininteligible para aquellos individuos que no estn involucrados en la operacin. Disponibilidad El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos. No repudio Evitar el repudio de informacin constituye la garanta de que ninguna de las partes involucradas pueda negar en el futuro una operacin realizada. Autenticacin La autenticacin consiste en la confirmacin de la identidad de un usuario; es decir, la garanta para cada una de las partes de que su interlocutor es realmente quien dice ser. Un control de acceso permite (por ejemplo gracias a una contrasea codificada) garantizar el acceso a recursos nicamente a las personas autorizadas. CMO IMPLEMENTAR UNA POLTICA DE SEGURIDAD Generalmente, la seguridad de los sistemas informticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificacin y control que aseguran que los usuarios de estos recursos slo posean los derechos que se les han otorgado. Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez ms complicadas a medida que la red crece. Por consiguiente, la seguridad informtica debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y as puedan utilizar los sistemas de informacin en forma segura. Por esta razn, uno de los primeros pasos que debe dar una compaa es definir una poltica de seguridad que pueda implementar en funcin a las siguientes cuatro etapas:

Identificar las necesidades de seguridad y los riesgos informticos que enfrenta la compaa as como sus posibles consecuencias

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organizacin Controlar y detectar las vulnerabilidades del sistema de informacin, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

La poltica de seguridad comprende todas las reglas de seguridad que sigue una organizacin (en el sentido general de la palabra). Por lo tanto, la administracin de la organizacin en cuestin debe encargarse de definirla, ya que afecta a todos los usuarios del sistema. La seguridad informtica de una compaa depende de que los empleados (usuarios) aprendan las reglas a travs de sesiones de capacitacin y de concientizacin. Sin embargo, la seguridad debe ir ms all del conocimiento de los empleados y cubrir las siguientes reas:

Un mecanismo de seguridad fsica y lgica que se adapte a las necesidades de la compaa y al uso de los empleados Un procedimiento para administrar las actualizaciones Una estrategia de realizacin de copias de seguridad (backup) planificada adecuadamente Un plan de recuperacin luego de un incidente Un sistema documentado actualizado

1.2.

SEGURIDAD PERIMETRAL

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

Al conectar la red de la empresa a Internet, los recursos internos de IT podran ser accesibles desde cualquier parte del mundo. Como consecuencia de lo anterior, la empresa puede ser el blanco de piratas informticos que aprovechan los puntos vulnerables de las redes, de cdigos maliciosos y de infeccin involuntaria por parte de empleados que se desplazan con frecuencia. La seguridad perimetral la componen los equipos que regulan los accesos a la red desde redes externas, y que bsicamente deben satisfacer tres necesidades fundamentales. La seguridad perimetral es la correcta implementacin de los equipos de seguridad que controlan y protegen todo el trfico y contenido de entrada y salida entre todos los puntos de conexin o el permetro de la red a travs de una correcta definicin de las polticas de seguridad y una robusta configuracin de los dispositivos de proteccin, no limitndose slo al filtrado de trfico a bajo nivel, sino tambin a nivel de aplicacin, como a travs de pasarelas de correo o proxis web. La seguridad perimetral basa su filosofa en la proteccin de todo el sistema informtico de una empresa desde "fuera", es decir, establecer una coraza que proteja todos los elementos sensibles frente amenazas diversas como virus, gusanos, troyanos, ataques de denegacin de servicio, robo o destruccin de datos, hackeo de pginas web corporativas, etctera. Toda esta tipologa de amenazas posibles ha fomentado una divisin de la proteccin perimetral en dos vertientes: a nivel de red, en el que podemos encontrar los riesgos que representan los ataques de hackers, las intrusiones o el robo de informacin en las conexiones remotas; y a nivel de contenidos, en donde se engloban las amenazas que constituyen los virus, gusanos, troyanos, spyware, phishing y dems clases de malware, el spam o correo basura y los contenidos web no apropiados para las compaas. Esta clara divisin unida al modo de evolucin de las amenazas en los ltimos aos ha propiciado que el mercado de seguridad perimetral se centrase en la creacin de dispositivos dedicados a uno u otro fin

2. SEGURIDAD PERIMETRAL EN REDES EXTERNAS

Agregado de hardware, software y polticas para proteger una red en la que se tiene confianza (intranet) de otras redes en las que no se tiene confianza(extranet, internet) Su objetivo es centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente.
5

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

La seguridad perimetral:

No es un componente aislado : es una estrategia para poder proteger los recursos de una organizacin conectada a la red Es la realizacin practica de la poltica de seguridad de una organizacin. Sin una poltica de seguridad, la seguridad perimetral no sirve de nada.

2.1. Condiciona la credibilidad de una organizacin en internet 2.2. FILTRADO DE PAQUETES(FIREWALLS, PROXYS, PASARELAS)

Cualquier router IP utiliza reglas de filtrado para reducir la carga de la red; por ejemplo, se descartan paquetes cuyo TTL ha llegado a cero, paquetes con un control de errores errneos, o simplemente tramas de broadcast. Adems de estas aplicaciones, el filtrado de paquetes se puede utilizar para implementar diferentes polticas de seguridad en una red; el objetivo principal de todas ellas suele ser evitar el acceso no autorizado entre dos redes, pero manteniendo intactos los accesos autorizados. Su funcionamiento es habitualmente muy simple: se analiza la cabecera de cada paquete, y en funcin de una serie de reglas establecidas de antemano la trama es bloqueada o se le permite seguir su camino; estas reglas suelen contemplar campos como el protocolo utilizado (TCP, UDP, ICMP...), las direcciones fuente y destino, y el puerto destino, lo cual ya nos dice que el firewall ha de ser capaz de trabajar en los niveles de red (para discriminar en funcin de las direcciones origen y destino) y de transporte (para hacerlo en funcin de los puertos usados). Adems de la informacin de cabecera de las tramas, algunas implementaciones de filtrado permiten especificar reglas basadas en la interfaz del router por donde se ha de reenviar el paquete, y tambin en la interfaz por donde ha llegado hasta nosotros

Cmo se especifican tales reglas: Generalmente se expresan como una simple tabla de condiciones y acciones que se consulta en orden hasta encontrar una regla que permita tomar una decisin sobre el bloqueo o el reenvo de la trama;
6

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

adicionalmente, ciertas implementaciones permiten indicar si el bloqueo de un paquete se notificar a la mquina origen mediante un mensaje ICMP Siempre hemos de tener presente el orden de anlisis de las tablas para poder implementar la poltica de seguridad de una forma correcta; cuanto ms complejas sean las reglas y su orden de anlisis, ms difcil ser para el administrador comprenderlas. Independientemente del formato, la forma de generar las tablas depender obviamente del sistema sobre el que trabajemos, por lo que es indispensable consultar su documentacin

Por ejemplo, imaginemos una hipottica tabla de reglas de filtrado de la siguiente forma: Origen Destino Tipo Puerto Accion ---------------------------------------------------------------------158.43.0.0 * * * Deny * 195.53.22.0 * * Deny 158.42.0.0 * * * Allow * 193.22.34.0 * * Deny Si al cortafuegos donde est definida la poltica anterior llegara un paquete proveniente de una mquina de la red 158.43.0.0 se bloqueara su paso, sin importar el destino de la trama; de la misma forma, todo el trfico hacia la red 195.53.22.0 tambin se detendra. Pero, >qu sucedera si llega un paquete de un sistema de la red 158.42.0.0 hacia 193.22.34.0? Una de las reglas nos indica que dejemos pasar todo el trfico proveniente de 158.42.0.0, pero la siguiente nos dice que si el destino es 193.22.34.0 lo bloqueemos sin importar el origen. En este caso depende de nuestra implementacin particular y el orden de anlisis que siga: si se comprueban las reglas desde el principio, el paquete atravesara el cortafuegos, ya que al analizar la tercera entrada se finalizaran las comprobaciones; si operamos al revs, el paquete se bloqueara porque leemos antes la ltima regla. Como podemos ver, ni siquiera en nuestra tabla - muy simple - las cosas son obvias, por lo que si extendemos el ejemplo a un firewall real podemos hacernos una idea de hasta que punto hemos de ser cuidadosos con el orden de las entradas de nuestra tabla. Qu sucedera si, con la tabla del ejemplo anterior, llega un paquete que no cumple ninguna de nuestras reglas? El sentido comn nos dice que por seguridad se debera bloquear, pero esto no siempre sucede as; diferentes implementaciones ejecutan diferentes acciones en este caso. Algunas deniegan el paso por defecto, otras aplican el contario de la ltima regla especificada (es decir, si la ltima entrada era un Allow se niega el paso de la trama, y si era un Deny se permite), otras dejan pasar este tipo de tramas...De cualquier forma, para evitar problemas cuando uno de estos datagramas llega al cortafuegos, lo mejor es insertar siempre una regla por defecto al final de nuestra lista - recordemos una vez ms la cuestin
7

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

del orden - con la accin que deseemos realizar por defecto; si por ejemplo deseamos bloquear el resto del trfico que llega al firewall con la tabla anterior, y suponiendo que las entradas se analizan en el orden habitual, podramos aadir a nuestra tabla la siguiente regla: Origen Destino Tipo Puerto Accion ---------------------------------------------------------------------* * * * Deny La especificacin incorrecta de estas reglas constituye uno de los problemas de seguridad habituales en los cortafuegos de filtrado de paquetes; no obstante, el mayor problema es que un sistema de filtrado de paquetes es incapaz de analizar (y por tanto verificar) datos situados por encima del nivel de red OSI. A esto se le aade el hecho de que si utilizamos un simple router como filtro, las capacidades de registro de informacin del mismo suelen ser bastante limitadas, por lo que en ocasiones es difcil la deteccin de un ataque; se puede considerar un mecanismo de prevencin ms que de deteccin. Para intentar solucionar estas - y otras vulnerabilidades - es recomendable utilizar aplicaciones software capaces de filtrar las conexiones a servicios; a dichas aplicaciones se les denomina proxies de aplicacin, y las vamos a comentar en el punto siguiente. 2.2.1. FIREWALLS

Un Firewall en Internet es un sistema o grupo de sistemas que impone una poltica de seguridad entre la organizacin de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados dentro de esta por los que estn fuera, es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organizacin. Para que un firewall sea efectivo, todo trafico de informacin a travs del Internet deber pasar a travs del mismo donde podr ser inspeccionada la informacin. El firewall podr nicamente autorizar el paso del trafico, y el mismo podr ser inmune a la penetracindesafortunadamente, este sistema no puede ofrecer proteccin alguna una vez que el agresor lo traspasa o permanece entorno a este.

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

Un cortafuegos (o firewall en ingls) es una parte de un sistema o una red que est diseado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin. Beneficios de un firewall en Internet Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es nicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un "choke point" (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vndalos, y espas) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administracin, una vez que se consolida la seguridad en
9

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada. El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa , este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algn problema en el transito de los datos. Esto se podr notar al acceder la organizacin al Internet, la pregunta general es "si" pero "cuando" ocurrir el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitcora del trafico significativo a travs del firewall. Tambin, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, desde que el administrador de red desconoce si ha sido exitosamente atacado Concentra la seguridad Centraliza los accesos Genera alarmas de seguridad Traduce direcciones (NAT) Monitorea y registra el uso de Servicios de WWW y FTP. Internet.

Limitaciones de un firewall Un firewall no puede protegerse contra aquellos ataques que se efecten fuera de su punto de operacin. Por ejemplo, si existe una coneccion dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una coneccion SLIP o PPP al Internet. Los usuarios con sentido comn suelen "irritarse" cuando se requiere una autenticacin adicional requerida por un Firewall Proxy server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que esta incluido en una conexin directa SLIP o PPP del ISP. Este tipo de conexiones derivan la seguridad provista por firewall construido cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la seguridad en la organizacin.

10

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

Ilustracin -3 Conexin Circunvecina Al Firewall De Internet. El firewall no puede protegerse de las amenazas a que esta sometido por traidores o usuarios inconscientes. El firewall no puede prohibir que los traidores o espas corporativos copien datos sensitivos en disquettes o tarjetas PCMCIA y substraigan estas del edificio. El firewall no puede proteger contra los ataques de la "Ingeniera Social", por ejemplo un Hacker que pretende ser un supervisor o un nuevo empleado despistado, persuade al menos sofisticado de los usuarios a que le permita usar su contrasea al servidor del corporativo o que le permita el acceso "temporal" a la red. Para controlar estas situaciones, los empleados deberan ser educados acerca de los varios tipos de ataque social que pueden suceder, y a cambiar sus contraseas si es necesario peridicamente. El firewall no puede protegerse contra los ataques posibles a la red interna por virus informativos a travs de archivos y software. Obtenidos del Internet por sistemas operativos al momento de comprimir o descomprimir archivos binarios, el firewall de Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a travs de el. La solucin real esta en que la organizacin debe ser consciente en instalar software anti-viral en cada despacho para protegerse de los virus que llegan por medio de disquettes o cualquier otra fuente. Finalmente, el firewall de Internet no puede protegerse contra los ataques posibles en la transferencia de datos, estos ocurren cuando aparntente datos inocuos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.

2.2.2. PROXYS 11

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

En el contexto de las redes informticas, el trmino proxy hace referencia a un programa o dispositivo que realiza una accin en representacin de otro. Su finalidad ms habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organizacin cuando slo se puede disponer de un nico equipo conectado, esto es, una nica direccin IP. Un proxy permite a otros equipos conectarse a una red de forma indirecta a travs de l. Cuando un equipo de la red desea acceder a una informacin o recurso, es realmente el proxy quien realiza la comunicacin y a continuacin traslada el resultado al equipo inicial. En unos casos esto se hace as porque no es posible la comunicacin directa y en otros casos porque el proxy aade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una pgina web) en una cach que permita acelerar sucesivas consultas coincidentes. Con esta denominacin general de proxy se agrupan diversas tcnicas. Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en lugar de otro ordenador. Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que est accediendo. Cuando navegamos a travs de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es ste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud. Cuando nos conectamos con un proxy, el servidor al que accedemos en realidad recibe la solicitud del proxy, en vez de recibirla directamente desde nuestro ordenador. Puede haber sistemas proxy que interceptan diversos servicios de Internet. Lo ms habitual es el proxy web, que sirve para interceptar las conexiones con la web y puede ser til para incrementar la seguridad, rapidez de navegacin o anonimato. El proxy web es un dispositivo que suele estar ms cerca de nuestro ordenador que el servidor al que estamos accediendo. Este suele tener lo que denominamos una cach, con una copia de las pginas web que se van visitando. Entonces, si varias personas que acceden a Internet a travs del mismo proxy acceden al primer sitio web, el proxy la primera vez accede fsicamente al servidor destino, solicita la pgina y la guarda en la cach, adems de enviarla al usuario que la ha solicitado. En sucesivos accesos a la misma informacin por distintos usuarios, el proxy slo comprueba si la pgina solicitada se encuentra en la cach y no ha sido modificada desde la ltima solicitud. En ese caso, en lugar de solicitar de nuevo la pgina al servidor, enva al usuario la copia que tiene en la cach. Esto mejora el rendimiento o velocidad de la conexin a Internet de los equipos que estn detrs del proxy.

12

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

Otro caso tpico de uso de un proxy es para navegar annimamente. Al ser el proxy el que accede al servidor web, el proxy puede o no decir quin es el usuario que lo est utilizando. El servidor web puede entonces tener constancia de que lo estn accediendo, pero puede que piense que el usuario que lo accede es el propio proxy, en lugar del usuario real que hay detrs del proxy. Hay proxies annimos y los hay que s informan del usuario real que est conectado a travs del l. Utilizar un proxy tambin tiene sus desventajas, como posibilidad de recibir contenidos que no estn actualizados, tener que gestionar muchas conexiones y resultar un cuello de botella, o el abuso por personas que deseen navegar annimamente. Tambin el proxy puede ser un limitador, por no dejar acceder a travs suyo a ciertos protocolos o puertos.
2.2.3. PASARELAS

Una pasarela de aplicacin (gateway) es un sistema de hardware/software para conectar dos redes entre s y para que funcionen como una interfaz entre diferentes protocolos de red. Cuando un usuario remoto contacta la pasarela, sta examina su solicitud. Si dicha solicitud coincide con las reglas que el administrador de red ha configurado, la pasarela crea una conexin entre las dos redes. Por lo tanto, la informacin no se transmite directamente, sino que se traduce para garantizar una continuidad entre los dos protocolos. El sistema ofrece (adems de una interfaz entre dos tipos de redes diferentes), seguridad adicional, dado que toda la informacin se inspecciona minuciosamente (lo cual puede generar demora) y en ocasiones se guarda en un registro de eventos. Estos dispositivos estn pensados para facilitar el acceso entre sistemas o entornos soportando diferentes protocolos. Operan en los niveles ms altos del modelo de referencia OSI (Nivel de Transporte, Sesin, Presentacin y Aplicacin) y realizan conversin de protocolos para la interconexin de redes con protocolos de alto nivel diferentes. Los gateways incluyen los 7 niveles del modelo de referencia OSI, y aunque son ms caros que un bridge o un router, se pueden utilizar como dispositivos universales en una red corporativa compuesta por un gran nmero de redes de diferentes tipos. Los gateways tienen mayores capacidades que los routers y los bridges porque no slo conectan redes de diferentes tipos, sino que tambin aseguran que los datos de una red que transportan son compatibles con los de la otra red. Conectan redes de diferentes arquitecturas procesando sus protocolos y permitiendo que los
13

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

dispositivos de un tipo de red puedan comunicarse con otros dispositivos de otro tipo de red. A continuacin se describen algunos tipos de gateways:

Gateway asncrono Sistema que permite a los usuarios de ordenadores personales acceder a grandes ordenadores (mainframes) asncronos a travs de un servidor de comunicaciones, utilizando lneas telefnicas conmutadas o punto a punto. Generalmente estn diseados para una infraestructura de transporte muy concreta, por lo que son dependientes de la red. Gateway SNA Permite la conexin a grandes ordenadores con arquitectura de comunicaciones SNA (System Network Architecture, Arquitectura de Sistemas de Red), actuando como terminales y pudiendo transferir ficheros o listados de impresin. Gateway TCP/IP Estos gateways proporcionan servicios de comunicaciones con el exterior va RAL o WAN y tambin funcionan como interfaz de cliente proporcionando los servicios de aplicacin estndares de TCP/IP. Gateway PAD X.25 Son similares a los asncronos; la diferencia est en que se accede a los servicios a travs de redes de conmutacin de paquetes X.25. Gateway FAX Los servidores de Fax proporcionan la posibilidad de enviar y recibir documentos de fax.

Ventajas:

Simplifican la gestin de red. Permiten la conversin de protocolos.

Desventajas:

Su gran capacidad se traduce en un alto precio de los equipos. La funcin de conversin de protocolos impone una sustancial sobrecarga en el gateway, la cual se traduce en un relativo bajo rendimiento. Debido a esto, un gateway puede ser un cuello de botella potencial si la red no est optimizada para mitigar esta posibilidad.

2.3. SISTEMA DE DETECCIN Y PREVENCIN DE INTRUSIONES Un Sistema de Prevencin de Intrusos (IPS) es un dispositivo que ejerce el control de acceso en una red informtica para proteger a los sistemas computacionales de ataques y abusos. La tecnologa de Prevencin de Intrusos
14

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

es considerada por algunos como una extensin de los Sistemas de Deteccin de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las tecnologas cortafuegos. Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de detecciones en la va del trfico. Los IPS presentan una mejora importante sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del trfico, en lugar de direcciones IP o puertos. Tiempo despus, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continan en relacin. Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas. El trmino IDS (Sistema de deteccin de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el trfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusin. Existen dos claras familias importantes de IDS:

El grupo N-IDS (Sistema de deteccin de intrusiones de red), que garantiza la seguridad dentro de la red. El grupo H-IDS (Sistema de deteccin de intrusiones en el host), que garantiza la seguridad en el host.

Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o ms de los adaptadores de red exclusivos del sistema en modo promiscuo. ste es una especie de modo "invisible" en el que no tienen direccin IP. Tampoco tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han realizado desde dentro.

15

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc. El H-IDS acta como un daemon o servicio estndar en el sistema de un host. Tradicionalmente, el H-IDS analiza la informacin particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y tambin captura paquetes de la red que se introducen/salen del host para poder verificar las seales de intrusin (como ataques por denegacin de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecucin de cdigos malignos o ataques de desbordamiento de bfer). Tcnicas de deteccin El trfico en la red (en todo caso, en Internet) generalmente est compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a travs de las conexiones fsicas a las que est sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes tcnicas para detectar intrusiones:
1. Verificacin de la lista de protocolos: Algunas formas de intrusin, como

"Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificacin del protocolo puede revelar paquetes no vlidos e indicar esta tctica comnmente utilizada. 2. Verificacin de los protocolos de la capa de aplicacin: Algunas formas de intrusin emplean comportamientos de protocolos no vlidos, como "WinNuke", que utiliza datos NetBIOS no vlidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicacin, como NetBIOS, TCP/IP, etc. Esta tcnica es rpida (el N-IDS no necesita examinar la base de datos de firmas en su totalidad para secuencias de bytes particulares) y es tambin ms eficiente, ya que elimina algunas falsas alarmas. Por ejemplo, al analizar
16

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

protocolos, N-IDS puede diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro).
3. Reconocimiento de ataques de "comparacin de patrones": Esta tcnica

de reconocimiento de intrusin es el mtodo ms antiguo de anlisis N-IDS y todava es de uso frecuente. Consiste en la identificacin de una intrusin al examinar un paquete y reconocer, dentro de una serie de bytes, la secuencia que corresponde a una firma especfica. Por ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar provecho de un defecto del script CGI "phf". Este mtodo tambin se utiliza como complemento de los filtros en direcciones IP, en destinatarios utilizados por conexiones y puertos de origen y/o destino. Este mtodo de reconocimiento tambin se puede refinar si se combina con una sucesin o combinacin de indicadores TCP. Esta tctica est difundida por los grupos N-IDS "Network Grep", que se basan en la captura de paquetes originales dentro de una conexin supervisada y en su posterior comparacin al utilizar un analizador de "expresiones regulares". ste intentar hacer coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete capturado. 2.4. REDES PRIVADAS VIRTUALES Es una red privada que se extiende, mediante un proceso de encapsulacin y en su caso de encriptacin, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras pblicas de transporte. Los paquetes de datos de la red privada viajan por medio de un "tnel" definido en la red pblica. (ver figura siguiente)

17

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

En la figura anterior (figura 2) se muestra como viajan los datos a traves de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la funcin de una pared para engaar a los intrusos a la red, despues los datos llegan a nube de internet donde se genera un tnel dedicado unicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambien garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto. Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios mviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente.

Tecnologa de tnel Las redes privadas virtuales crean un tnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulacin adems los paquetes van encriptados de forma que los datos son ilegibles para los extraos.

El servidor busca mediante un ruteador la direccin IP del cliente VPN y en la red de transito se envian los datos sin problemas.
18

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

5. Requerimientos bsicos de una VPN Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione: Identificacin de usuario Administracin de direcciones Codificacin de datos Administracin de claves Soporte a protocolos mltiples Identificacin de usuario La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estn autorizados. As mismo, debe proporcionar registros estadsticos que muestren quien acceso, que informacin y cuando. Administracin de direcciones La VPN debe establecer una direccin del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven as. Codificacin de datos Los datos que se van a transmitir a traves de la red pblica deben ser previamente encriptados para que no puedan ser ledos por clientes no autorizados de la red. Administracin de claves La VPN debe generar y renovar las claves de codificacin para el cliente y el servidor. Soporte a protocolos mltiples La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pblica. Estos incluyen el protocolo de internet(IP), el intercambio de paquete de internet(IPX) entre otros. 7. Ventajas de una VPN Dentro de las ventajas ms significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos. Reduccin de costos. Sencilla de usar. Sencilla instalacin del cliente en cualquier PC Windows. Control de Acceso basado en polticas de la organizacin Herramientas de diagnostico remoto. Los algoritmos de compresin optimizan el trfico del cliente. Evita el alto costo de las actualizaciones y mantenimiento a las PCs remotas.

3. RED INTERNA

3.1. CORTAFUEGOS PERSONALES "Se usa un cortafuegos personal para sellar canales de comunicacin no usados y reducir el acceso concedido a los programas slo para lo estrictamente necesario, como el envo y la recepcin de mensajes y la navegacin por Internet", explica el profesor Norbert Pohlmann, director del Instituto alemn de Seguridad en Internet, con sede en Gelsenkirchen. "Una computadora no asegurada es como un puado
19

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

de monedas sobre una mesa en medio de una pradera. Un firewall personal es como una casa construida en torno a esa mesa", contina. Los Cortafuegos personales son programas que se instalan de forma residente en nuestra computadora y que permiten filtrar y controlar la conexin a la red. En general necesitan un conocimiento adecuado de nuestra computadora, pues en la actualidad son muchos los programas que realizan conexiones a la red y que son necesarios. Es por ello que no son recomendables para usuarios inexpertos ya que podran bloquear programas necesarios (incluso hasta la propia posibilidad de navegacin por Internet), aunque siempre se tenga a mano la posibilidad de desactivarlos. La instalacin de un Cortafuegos requiere adems un proceso de "entrenamiento para usarlo" ya que al principio deberemos ir elaborando las reglas de acceso en funcin del empleo que le damos a la red. As lo normal es que nuestro FIREWALL Personal nos pregunte que si queremos dar permiso a distintos programas de red a medida que los usamos. Esto al principio puede resultar un poco complicado o incluso hasta molesto. Un FIREWALL Personal no impide por s solo que entren troyanos, virus y gusanos a nuestro sistema. Lo ideal es que tambin tengamos instalado un buen antivirus residente en memoria, actualizado y bien configurado. Adicionalmente es deseable tener al da todas las actualizaciones de Seguridad de Microsoft que se requieran. Ahora bien, no necesariamente nos servir para evitar que ingresen a nuestro sistema contenidos no deseados. En general, junto con un antivirus lo que debe esperar de un buen FIREWALL Personal son las siguientes caractersticas: 1.- Que proteja su sistema de acceso no autorizado a travs de Internet. 2.- Capacidad de alertar de intentos de intrusin y mantener un registro para seguir sus pistas. Cierto grado de proteccin frente a virus a travs del correo electrnico. 3.- Bloqueo de contenido peligroso en Internet: applets de Java, controles ActiveX, cookies, etc. Filtrado al nivel de aplicacin para conexiones hacia el exterior (usadas por caballos de Troya). Cierta facilidad de instalacin, configuracin y uso.

ANTIVIRUS
20

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e Internet, los antivirus han evolucionado hacia programas ms avanzados que no slo buscan detectar un Virus informticos, sino bloquearlo, desinfectar y prevenir una infeccin de los mismos, as como actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc. El funcionamiento de un antivirus vara de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador. Adicionalmente, muchos de los antivirus actuales han incorporado funciones de deteccin proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cules son potencialmente dainas para el ordenador, con tcnicas como Heurstica, HIPS, etc. Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador est en uso. Asimismo, cuentan con un componente de anlisis bajo demando (los conocidos scanners, exploradores, etc), y mdulos de proteccin de correo electrnico, Internet, etc. El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infeccin. Actualmente hay una gran mayoria de antivirus pero no todos se asemejan al pretendido por todos, un antivirus eficaz en todos los sentidos. Seguridad mtodos de proteccin Tener en cuenta este reto, es el primer paso para obtener seguridad. Existen mltiples medios de intentar combatir el problema. Sin embargo debemos ser realistas. Conforme nuevos programas y sistemas operativos se introduzcan en el mercado ms difcil va a ser tener controlados a todos y ms sencillo va a ser que a alguien se le ocurran nuevas formas de infectar el sistema. Ante este tipo de problemas estn los softwares llamados antivirus. Estos antivirus tratan de descubrir las trazas que ha dejado un software malicioso, para eliminarlo o detectarlo, y en algunos casos contener o parar la contaminacin.
21

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

Los mtodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos. Antivirus (activo) Estos programas como se ha mencionado tratan de encontrar la traza de los programas maliciosos mientras el sistema este funcionando. Tratan de tener controlado el sistema mientras funciona parando las vas conocidas de infeccin y notificando al usuario de posibles incidencias de seguridad. Como programa que est continuamente funcionando, el antivirus tiene un efecto adverso sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al funcionamiento del mismo. Adems dado que estn continuamente comprobando la memoria de la maquina, dar ms memoria al sistema no mejora las prestaciones del mismo. Otro efecto adverso son los falsos positivos, es decir al notificar al usuario de posibles incidencias en la seguridad, ste que normalmente no es un experto de seguridad se acostumbra a dar al botn de autorizar a todas las acciones que le notifica el sistema. De esta forma el antivirus funcionando da una sensacin de falsa seguridad. Tipos de vacunas

CA:Slo deteccin: Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. CA:Deteccin y desinfeccin: son vacunas que detectan archivos infectados y que pueden desinfectarlos. CA:Deteccin y aborto de la accin: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus CB:Comparacin por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si estn infectados. CB:Comparacin de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo. CB:Por mtodos heursticos: son vacunas que usan mtodos heursticos para comparar archivos. CC:Invocado por el usuario: son vacunas que se activan instantneamente con el usuario.
22

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

CC:Invocado por la actividad del sistema: son vacunas que se activan instantneamente por la actividad del sistema windows xp/vista

3.2. SISTEMA OPERATIVO Y GESTIN DE CONFIGURACIN Todo el mundo desea que los Sistemas Operativos sean "seguros", pero en todos los sistemas operativos hay agujeros de seguridad, otra cosa es que no se conozcan. Aqu no voy a exponer una lista de algunos de estos agujeros, ya que para eso ya estn las pginas de hacker o de seguimiento de fallos. Cmo se consiguen evitar los agujeros de seguridad: Evitando el contacto directo con la mquina: Ya que cuando se puede tener acceso a sta, se puede modificar su configuracin, tanto por programas (virus, programas servidores, craqueadores, desensambladores, buscadores de claves...), como por mecanismos fsicos (destrozando la bios, cortocircuitando, creando sectores defectuosos...). Si se accede por telnet o por otro servicio de red: Tener un buen sistema de claves, y que al fichero de claves no se pueda tener acceso de ninguna forma. Excepto claro el administrador o superusuario. Adems si los usuarios son invitados o annimos, restringirle al mximo sus derechos, y como caso extremo hasta la escritura. Aparte de que no puedan ejecutar los programas que ellos quieran en nuestro sistema. E incluso evitando que usen los compiladores que pueda haber en el sistema (virus, formateos, scripts...). Y es ms, no poder entrar nadie ni cambiarse a superususario o administrador, para no tener acceso a toda la mquina jams. Cerrar los servicios de red que no se necesiten o evitar el acceso a alguno de ellos a horas que no est el administrador del sistema. No olvidarse de un buen firewall. Sistema de archivos: Hay que tener un buen sistema de archivos, que controle a travs del sistema operativo, el acceso a un fichero. Nada de claves independientes de fichero, por que lo nico que se consigue es olvidar las claves o poner la misma en todas, con lo cual es un gran fallo. Criptografa: Es un mtodo ms para proteger partes de ficheros, o el fichero entero. En principio no lo veo necesario a menos que se traten de datos muy importantes. Ya que se puede perder la clave y no se podr recuperar, como se puede recuperar las de los usuarios del sistema operativo. Copias del sistema periodicas: Es necesario que se efectuen copias de seguridad periodicas, para que ante un posible ataque, y caida del sistema se pueda restaurar
23

SEGURIDAD PERIMETRAL PROF. ARMAS

REDES DE COMPUTADORAS FISI - UNMSM

el sistema en un corto espacio de tiempo, no sin antes mirar los "logs", para intentar corregir el fallo, y atrapar a el/los culpable/s.
3.3.

AUDITORIA

Una auditora de seguridad consiste en apoyarse en un tercero de confianza (generalmente una compaa que se especializada en la seguridad informtica) para validar las medidas de proteccin que se llevan a cabo, sobre la base de la poltica de seguridad. El objetivo de la auditora es verificar que cada regla de la poltica de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente. Una auditora de seguridad garantiza que el conjunto de disposiciones tomadas por la empresa se consideren seguras. Desafortunadamente para muchas empresas la cuestin de la auditora y seguridad informtica es un asunto no prioritario. Por tratarse de "algo que no se ve" las empresas no destinan presupuesto para mantener niveles mnimos de seguridad en sus instalaciones informticas. Para qu gastar dinero en algo que "no urge" . . . Algunas empresas hacen "algo" slo cundo tienen el problema encima y hay que entregar ya! resultados. Se dan cuenta que "algo" no funcion o funcion mal, que no lo previnieron. Actan cuando supieron que alguien viol sus instalaciones y con ello la confidencialidad de su informacin por no hablar de la seguridad e integridad de la misma. No supieron prevenir el hecho que en ocasiones puede ser tan lamentable al resultar daada su imagen y su informacin. Evale sus sistemas peridicamente, revise qu tan eficiente y efectivo son los controles informticos que tiene implantados, haga auditora de sistemas y de la seguridad informtica. No espere a tener sorpresas que le ocasionen ms gasto del que "cree" que implica la prevencin que significa el invertir en una auditora de sistemas y de la seguridad de su informacin.

24