CAPTULO I.

GENERALIDADES

1.1. DESCRIPCION DE LA ORGANIZACIN

La Municipalidad Provincial del Santa es el rgano administrativo del estado cuyo
propsitos principales es elevar el nivel y la calidad de vida de la poblacin de
Chimbote, representar al distrito, promueve la adecuada presentacin de los servicios
pblicos locales, fomentar el desarrollo integral y armnico de la circunscripcin y
fomentar el bienestar de los vecinos.
1.1.1. Razn Social
1.1.1.1. Ubicacin
En el casco urbano del Distrito de Chimbote, Provincia del Santa,
Departamento de Ancash.
1.1.1.2. Direccin Legal
La Municipalidad Provincial del Santa se encuentra en el centro de
la ciudad teniendo como direccin legal Jr. Enrique Palacios N 341343.
1.1.2. Estructura Orgnica
Para el cumplimiento de sus funciones la Municipalidad Provincial del Santa
cuenta con la estructura orgnica siguiente:
I. ORGANOS DE GOBIERNO
I.1. CONSEJO MUNICIPAL
I.2. ALCALDIA
II. ORGANOS DE COORDINACION Y PARTICIPACION
II.1. COMISION DE REGIDORES
II.2. CONSEJO DE COORDINACION LOCAL PROVINCIAL
II.3. JUNTA DE DELEGADOS VECINALES

III. ORGANOS DE CONTROL

III.1. PROCURADURIA PUBLICA MUNICIPAL
III.2. OFICINA DE AUDITORIA INTERNA
IV. ORGANO DE DIRECCION
4.1. GERENCIA MUNICIPAL
V. ORGANOS DE ASESORAMIENTO
V.1. GERENCIA Y ASESORIA JURIDICA
V.2. GERENCIA DE PLANEAMIENTO Y PRESUPUESTO
V.2.1. SUBGERENCIA DE PRESUPUESTO
V.2.2. SUBGERENCIA DE RACIONLIZACION Y PROCESOS
V.2.3. SUBGERENCIA DE PLANEAMIENTO
VI. ORGANOS DE APOYO
VI.1. OFICINA DE IMAGEN INSTITUCIONAL
VI.2. OFICINA DE PARTICIPACION VECINAL
VI.3. OFICINA DE SEVCRETARIA GENERAL
VI.3.1. UNIDAD DE REGISTRO CIVIL
VI.3.2. UNIDAD DE TRAMITE DOCUMENTARIO
VI.3.3. UNIDAD DE ARCHIVO GENERAL
VI.4. GERENCIA DE ADMINISTRACION Y FINANZAS
VI.4.1.

SUBGERENCIA DE CONTABILIDAD

VI.4.2.

SUBGERENCIA DE LOGISTICA

VI.4.3.

SUBGERENCIA DE TESORERIA

VI.4.4.

SUBGERENCIA DE RECURSOS HUMANOS

VI.4.5.

SUBGERENCIA DE SISTEMAS

VII. ORGANOS DE LINEA

VII.1.

GERENCIA DE INFRAESTRUCTURA URBANA

VII.1.1.

SUBGERENCIA DE OBRAS

VII.1.2.

SUBGERENCIA DE DESARROLLO URBANO

VII.1.3.
VII.2.

SUBGERENCIA DE DESARROLLO VIAL

GERENCIA DE DESARROLLO SOCIAL

VII.2.1.

SUBGERNCIA DE SERVICIOS SOCIALES

VII.2.2.

SUBGERENCIA DE SERVICIOS PUBLICOS

VII.2.3.

SUBGRENCIA DE GESTION AMBIENTAL

VII.3.

GERENCIA DE DESARROLLO ECONOMICO

VII.3.1.

SUBGRENCIA DE PROMOC. A LA INVERSION

VII.3.2.

SUBGERENCIA DE COMERCIALIZACION

VII.3.3.

SUBGERENCIA DE COOPERACION

INTERNACIONAL
VIII. ORGANO DESCONCENTRADOS
VIII.1.

ADMIMISTRACION DE TERMINAL TERRESTRE

VIII.2.

PROGRAMAS DE APOYO SOCIAL

VIII.3.

DEFENSA CIVIL

VIII.4.

PROYECTO PROBAR

VIII.5.

SERENAZGO

VIII.6.

SATCH

IX. ORGANO DESCENTRALIZADOS

IX.1. EMPRESAS PARA-MUNICIPALES
IX.1.1. SEDA CHIMBOTE
IX.1.2. CAJA MUNICIPAL DE AHORRO Y CREDITO
IX.1.3. MERCADOS DEL PUEBLO S.A.
IX.1.4. EMICHIM
1.1.3. De Sus Disposiciones Complementarias
Las Gerencias resuelven los aspectos administrativos a su cargo, a travs de
las resoluciones y directivas. El presente Reglamento establece la
Organizacin y Estructura Orgnica de la Municipalidad Provincial del Santa
Chimbote.

Cada Gerencia y Oficina estar a cargo de un funcionario con categora de

Gerente y Jefe de Oficina respectivamente, y las Subgerencias y Unidades a
cargo de un Subgerente y Jefe de Unidad; cuyas categoras se establecer en
el respectivo cuadro para asignacin de Personal CAP.
Las denominaciones y jerarquas son las siguientes:
ORGANO DE
LINEA

ORGANO DE
ASESORAMIENTO
APOYO Y CONTROL
GERENCIA
GERENCIA Y
OFICINA
SUBGERENCIA SUBGERENCIA Y
UNIDAD

JERARQUIAS DE
LOS CARGOS
GERENTE Y JEFE
DE OFICINA
SUBGERENTE Y
JEFE DE UNIDAD

Corresponde al Gerente Municipal cumplir y hacer cumplir la correcta

aplicacin del presente Reglamento, as como su evaluacin, mejoramiento e
innovacin, dando cuenta al Alcalde y Consejo Municipal.
Cada Gerente y/o Gerente de Oficina, segn corresponda, implementar las
polticas y directivas sobre las herramientas a Gestin Administrativa,
Diagnsticos y Planes, Presupuestos, Manuales de Organizacin y Funciones
Manuales de Mtodos y Procedimientos de Trabajo as como de
Organigramas Estructurales y Memorias Descriptivas de la Gestin
Municipal, con la sustentacin respectiva; estando facultados a resolver los
aspectos administrativos a su cargo a travs de resoluciones directorales y
directivas.

1.2. DIRECCIONAMIENTO EMPRESARIAL

1.2.1. Visin
En el ao 2006 somos una Institucin con capacidad empresarial, donde los
servicios que proporcionamos, son accesibles, modernos, funcionales,
estables y satisfactorios para la ciudadana, haciendo de la Provincia del Santa

un mejor lugar donde vivir, para propiciar el desarrollo integral de los

ciudadanos con identidad cultura, impulsando su participacin activa,
organizada y democrtica, a travs de una gestin municipal promotora, de
consensos, que respete y haga respetar el marco legal establecido,
proyectando el crecimiento ordenado de la ciudad.
1.2.2. Misin
Somos una Institucin publica comprometida con el desarrollo integral de la
Provincia sobre la base de una adecuada priorizacin y planificacin e sus
necesidades, conduciendo actividades con responsabilidad social, tendientes a
lograr el bien comn de la ciudadana en aspectos relacionados con el
desarrollo integral de la familia: mejoramiento de la calidad de vida de la
poblacin, acondicionamiento territorial provincial y catastro, utilizacin
racional de recursos en obras de carcter social y comunal, diseo del
Transporte urbano e Interurbano, fomento de programas de Educacin y
Seguridad Vial y prestacin de servicios de seguridad ciudadana, limpieza
publica, ornato y comercializacin.
Trabajamos para la poblacin en general, sobre todo las consideradas en
extrema pobreza, priorizando los nios, jvenes y adultos mayores para un
mejor presente y futuro.
Creemos en la democracia, solidaridad, cooperacin, capacidad, honestidad y
la concertacin de los ciudadanos y de nuestras instituciones para generara
riqueza, con trabajo digno, impulsando as el desarrollo de la ciudad.

1.3. ORGANIGRAMA

GRFICO N 01: Organigrama

CAPTULO II.
SITUACIN
PROBLEMTICA

2.1. PROBLEMTICA
Los problemas que presenta la Municipalidad Provincial del Santa - Chimbote son
los siguientes:
a) En la Municipalidad Provincial del Santa no hay una comunicacin entre los
dos edificios por lo cual tampoco existe una comunicacin entre las reas de
cada edificio, poniendo as en riesgo la integridad y seguridad de la informacin
que fluye sobre ella.
b) En la Municipalidad Provincial del Santa la transmisin de

datos y/o

informacin es lenta puesto que algunos tipos de routers o switchs no son

compatibles, el cual genera que el acceso a la informacin sea lenta y muchas
veces peligroso por que la red puede quedar expuesta hacer infectada por
agentes no deseables.
c) No existe los debidos elementos para proteger la seguridad en la red, lo cual al
no estar debidamente protegida se va a originar diversos ataques de virus dando
lugar a que la red se quede expuesta hacer infectada.
d) En la Municipalidad Provincial del Santa la informacin con la cual trabajan
puede ser sacada por personas que no son pertenecientes a la institucin.
2.1.1. Realidad Problemtica
En la actualidad la Municipalidad Provincial del Santa presenta los siguientes
problemas basados en una mala seguridad de la red:

Tampoco se cuenta con una distribucin adecuada de las IPs asignadas a

cada estacin de trabajos de las diferentes reas o departamentos
existentes de esta institucin.

Se debe establecer los adecuados componentes de seguridad en la

Municipalidad y as contar con la debida confianza al transmitir la

informacin y/o datos.

El riesgo de contraer o adquirir todo tipo de virus malicioso en la red,

por no contar con una barrera entre las PC y la Red, por el cual van a
circular todos los datos siendo autorizado o denegado por un Firewall.

Se debe establecer las polticas de seguridad en todas las reas

correspondientes a esta institucin.

2.2. ANTECEDENTES DEL PROBLEMA

A diferencia de la Municipalidad Provincial del Santa, con otras municipalidades
incluso con las empresas locales, no solo entienden el beneficio que este puede
producir, sino que implementan soluciones adecuadas para que sus necesidades sean
mejores con respecto a la seguridad en las redes teniendo un fin en comn de obtener
y brindar un servicio seguro y de calidad para satisfacer las necesidades de todos.
2.2.1. Situacin del Estudio
a. A nivel Mundial
Existen diversas empresas o corporaciones a nivel internacional como en
el caso de Telefnica, que han implementado todo lo referente a lo que
son cortafuegos en sus redes, aunque estas empresas emplean lo ltimo en
seguridad, pero con respecto a la Municipalidad esta empleara cortafuegos
que estn al alcance y disposicin econmica.
b. A nivel Nacional
Hay distintas empresas o corporaciones a nivel nacional como es en el
caso de CLARO (Ex - TIM) Per, la cual esta haciendo uso de los debidos

10

cortafuegos para tener segura su red, la cual cuenta con una buena
seguridad de sus datos.
De acuerdo con Aldo Romero, Seguridad Informtica de CLARO
Ningn sistema operativo est hecho para brindar seguridad, siempre se
necesitan complementos adicionales que mejoren la proteccin de los
servidores principales. Luego de una rigurosa seleccin tcnica entre tres
proveedores, se eligi las soluciones de CA que otorgan proteccin y
confiabilidad a los sistemas, adems de ofrecer una cmoda configuracin
e instalacin, lo que facilita el trabajo de los profesionales de tecnologa
de la informacin (IT), afirm.
La solucin obtenida de la empresa TIM Per fue que reduci sus costos y
mitig riesgos de seguridad relacionados a los usuarios y accesos
completos dentro de la empresa.
c. A nivel Regional
La institucin Senati se preocupa en proteger su informacin, es por tal
motivo que se ha vuelto de vital importancia protegerla contra posibles
intrusos externos e internos. Para ello existen una serie de herramientas
tecnolgicas que ayudan a prevenir y denegar el acceso a todo tipo de
informacin.
d. A nivel local
Algunas empresas en nuestra localidad hacen poco uso de estos
cortafuegos para la seguridad en sus redes. Trayendo como consecuencia
la prdida de su informacin o llega a su destino incompleta, o su red es
infectada por diversos virus teniendo as una mala seguridad en la red.

11

Firewalls Proxys de Banco Wiese Sudameris (2005)

En el banco Wiese Sudameris implementaron tanto los Firewalls como los
proxys puesto que son utilizados en sus redes para controlar el trfico de
datos y las conexiones realizadas entre el interior de la red y el exterior.
2.2.2. Conocimientos Previos
Se hizo la respectiva investigacin en la institucin y se dio a conocer que no
hubo propuestas de solucin con respecto a la seguridad en la red aplicando
cortafuegos en la Municipalidad Provincial del Santa. Solo se nos informo
que hubo anteriormente un grupo que presento una propuesta con respecto a
la comunicacin entre los 2 edificios con los que cuenta la Municipalidad.
A continuacin daremos una lista de enlaces a los sitios Web que cuentan con
cortafuegos en su red y empresas que brindan dichos cortafuegos a diversas
organizaciones:

www.hacksoft.com.pe

www.telefonica.com.pe

www.microsoft.com

www.arcert.gov.ar

www.consumer.es

2.3. FORMULACION DEL PROBLEMA

Cules son los beneficios que traera la implementacin de los cortafuegos en la
seguridad de la red en la Municipalidad Provincial del Santa Chimbote?

12

2.4. JUSTIFICACION DEL PROBLEMA

2.4.1. Justificacin Operativa
Disponibilidad de los recursos tecnolgicos como son computadores
para que la informacin sea brindada de una manera rpida, efectiva y
segura.
Contar con personas calificadas para la entrega o distribucin de
informacin segura.
Aplicar la debida tecnologa en la seguridad de la red para que la
informacin y/o datos fluya de manera segura por toda la red.
2.4.2. Justificacin Econmica
Tener una reduccin de los costos al implementar estos cortafuegos y as
poder disminuir los ataques de virus.
2.4.3. Justificacin Tecnolgica
Transmitir toda informacin con mayor seguridad en la red.
Alcanzar el objetivo de analizar la seguridad de la red para lograr que la
red sea ms confiable en la transmisin de datos e informacin.

Encontrar cuales son la deficiencias dentro de la red para lograr

eliminar los virus que ocasionan la perdida de informacin.

Tener una red en la cual todos los procesos o transferencia de

13

informacin sea ms segura y rpida, minimizando el tiempo de la

entrega o transmisin.

2.5. DELIMITACION DEL PROBLEMA

ste proyecto tiene como mbito de estudio a la Municipalidad Provincial del Santa
Chimbote en la cual se quiere implementar cortafuegos para la seguridad de la red y
de esta manera tener mayor confiabilidad en la transmisin de los datos.

2.6. LIMITACIONES DEL ESTUDIO

2.6.1. Limitaciones Bibliogrficas

La restringida informacin documentada con la que se cuenta en la

institucin.

2.6.2. Limitaciones al Aspecto Metodolgico

No se cuenta con un inventario actualizado de equipos con los que

cuenta la Municipalidad Provincial del Santa - Chimbote que son los
cortafuegos y antivirus.

No se cuenta con un informe en el cual se detalle la metodologa usada

en la implementacin de la seguridad de la red, normas, polticas,
estndares tomadas en cuenta, etc.

2.6.3. Limitaciones de Forma

Poca experiencia en investigacin cientfica.

2.7. OBJETIVOS
2.7.1. Objetivo General

14

Proponer un diseo de una red basndose en cortafuegos para la seguridad de

la Municipalidad Provincial del Santa y as contar con una red protegida de
todo tipo de agentes maliciosos.
2.7.2. Objetivos Especficos
Los objetivos especficos que se persigue son:
Analizar la red actual.
Permitir los cortafuegos en la red de la municipalidad, para as encontrar
cuales son la deficiencias dentro de la red y eliminar los virus que
ocasionan la perdida de informacin.
Definir la arquitectura del Firewall para brindar una seguridad que sea
resistente a sabotajes a las computadoras o servidores los cuales estn
expuestos a riesgos, puesto que son los ms comunes para los atacantes
potenciales.
Establecer el tipo de Firewall a utilizar en la red el cual se basar en
hardware para mayor seguridad.

15

CAPTULO III.
MARCO TERICO

16

3.1. SEGURIDAD EN LA RED

Ante la necesidad de tener acceso a fuentes de informacin globalmente distribuidas,
muchas organizaciones se han integrado a la red de Internet. Esta red mundial, que
naci como un proyecto militar de Estados Unidos, se ha convertido en un puente que
une al mundo entero.
Actualmente, en todos los lugares del mundo se conoce de Internet pues las ventajas
que ofrece esta sper carretera de la informacin son cuantiosas. Pero todo progreso
tiene su nivel de riesgo. As como se puede obtener y publicar informacin
rpidamente, tambin se puede daar y destruir la informacin rpidamente. En toda
sociedad existe gente con malicia que tiende a destruir en lugar de construir. Al
conectar una organizacin a Internet, todos sus recursos: informacin, maquinas,
programas, usuarios, etc., quedan expuestos a las reprochables acciones de personas
inescrupulosas que arbitrariamente se infiltran en la red.
Quienes originan estos accesos no autorizados tratan de acceder a algn servidor para
ganar los privilegios del administrador y eventualmente provocar daos tales como:
robo de informacin, corrupcin de sistemas, destruccin de recursos. Para muchas
organizaciones estas perdidas pueden significar cuantiosos gastos e inclusive la
bancarrota. El nmero de incidentes de seguridad reportados a nivel mundial aumenta
cada ao.
Ante esta eminente necesidad de seguridad, han surgido mecanismos que dan
proteccin y confiabilidad a los sistemas. Estos mecanismos, llamados firewalls
(cortafuegos), permiten la conectividad con Internet manteniendo un cierto grado de
seguridad. Un firewall es una manera de restringir el acceso a una red interna desde
Internet. Por esta razn se recomienda incluir un firewall en el plan de seguridad de
toda organizacin.

17

Tambin es vital establecer polticas de seguridad, establecer la seguridad propia en

cada maquina disponible, considerar facilidades de autenticacin (verificar que un
usuario es verdaderamente quien clama ser) y optar por la encriptacin de datos
(codificar datos).
A medida que los mecanismos de seguridad son cada vez ms eficaces, los ataques
cada vez son ms sofisticados. Los ataques perpetrados a sistemas conectados a
Internet cada da son mas serios y tecnolgicamente mas complejos que en el pasado.
Los firewalls representan una tecnologa que cambia de acuerdo a las necesidades,
para de esta manera cubrir las brechas descubiertas por los atacantes o hackers.
3.1.1. Tipos de Ataques

En realidad existen muchos tipos de ataques sin embargo, se les puede

categorizar en tres grupos: acceso no autorizado, negacin de servicio y hurto
de informacin.
3.1.1.1. Acceso No Autorizado
Este tipo de ataque consiste en el uso no autorizado de
cornputadoras de la red de una organizacin. La intrusin o acceso
no autorizado es el ataque ms comn que se da en las redes.
Existen muchas maneras en que usuarios no autorizados ganan
acceso a una red de computadoras. Varan desde ataques de
ingeniera social (engaar al administrador de la red fingiendo ser
alguien que no es y pedirle que cambie su cuenta o contrasea) y
adivinanza de contraseas hasta mtodos mas sofisticados que
capturan cuentas y contraseas de usuarios.
Dentro de esta categora existen:

18

Ingeniera social
La ingeniera social siempre ha presentado una peligrosa
amenaza para las empresas de cualquier tipo. Uno de los
motivos mas frecuentes para que un atacante utilice la
ingeniera social es intentar obtener informacin sensible para
la empresa o acceder a un sistema o dispositivo que,
normalmente, no estara disponible desde el exterior. Los
ingenieros sociales alcanzan sus objetivos identificando los
activos empresariales que desean atacar. Lo que desea obtener
el ingeniero social es informacin o la posibilidad de efectuar
una determinada accin.
Aunque la denominamos ingeniera social, este proceso cuenta
con un lado social y otro tcnico: los mtodos sociales
incluyen llamadas telefnicas, correos electrnicos y contactos
cara a cara. Los mtodos tcnicos incluyen el envo de una
pgina falsa de conexin o hacerse pasar por otra persona en
un sitio Web.
Los ingenieros sociales desean obtener informacin de la
gente, lograr las contraseas de sus cuentas o borrarlas, recibir
listas de fabricantes o empleados, obtener acceso a conexiones
telefnicas remotas o VPN, conseguir informacin sobre
programacin de actividades o proyectos secretos, obtener
acceso a edificios y conseguir que las personas carguen
aplicaciones troyanas.

Troyano

19

Se denomina troyano a un virus informtico o programa

malicioso capaz de alojarse en computadoras y permitir el
acceso a usuarios externos, a travs de una red local o de
Internet, con el fin de socavar la informacin.
Suele ser un programa pequeo alojado dentro de una
aplicacin, una imagen, un archivo de msica u otro elemento
de apariencia inocente, que se instala en el sistema al ejecutar
el archivo que lo contiene. Una vez instalado parece realizar
una funcin til (aunque cierto tipo de troyanos permanecen
ocultos y por tal motivo los antivirus o antitroyanos no los
eliminan) pero internamente realiza otras tareas de las que el
usuario no es consciente.

Sniffers o Packet Sniffing

En informtica, un packet sniffer es un programa de captura de
paquetes de red, generalmente utilizado con fines maliciosos.
Captura los paquetes de inicio de una sesin de un usuario
autorizado. Luego el atacante puede iniciar una sesin
autorizada con la cuenta y contrasea del usuario autorizado
cuya informacin fue capturada.
Es importante remarcar el hecho de que los sniffer solo pueden
ser usados en redes que compartan el medio de transmisin
(generalmente redes de rea local) como en redes sobre cable
coaxial, redes sobre cables de par trenzado conectados a un
concentrador o redes WiFi. El uso de switch en lugar de hub
incrementa la seguridad de la red ya que impide el uso de
sniffers al no pasar los paquetes por ordenadores no
destinatarios.

20

Algunos protocolos en Internet tienen debilidades en cuanto a

seguridad se refiere. Los ataques ms comunes basados en las
debilidades de los protocolos ms populares son: cambiando la
direccin fuente de un paquete por una direccin autorizada por la
red interna.

Ruta fuente
Todos los paquetes proveen de un campo llamado ruta fuente,
el cual puede especificar una ruta especifica que debe seguir el
paquete hasta su destino. De esta manera se puede introducir
un paquete engaando al recipiente clamando ser de una
direccin autorizada.

Spoofing
Esta tcnica es utilizada para actuar en nombre de otros
usuarios, usualmente para realizar tareas de snoofing o
tampering. Una forma comn de spoofing, es conseguir el
nombre y password de un usuario legtimo para, una vez
ingresado al sistema, tomar acciones en nombre de l, como
puede ser el envo de falsos e-mails.
El intruso usualmente utiliza un sistema para obtener
informacin e ingresar en otro, y luego utiliza este para entrar
en otro, y en otro. Este proceso, llamado Looping, tiene la
finalidad de evaporar la identificacin y la ubicacin del
atacante. El camino tomado desde el origen hasta el destino
puede tener muchas estaciones, que exceden obviamente los
lmites de un pas. Otra consecuencia del looping es que una
compaa o gobierno pueden suponer que estn siendo
atacados por un competidor o una agencia de gobierno
extranjera, cuando en realidad estn seguramente siendo

21

atacado por un insider, o por un estudiante a miles de Km. de

distancia, pero que ha tomado la identidad de otros.

Ataque va UDP (User Datagram Protocol): Debido a que

UDP no tiene control sobre el orden de llegada de sus
paquetes, es mas fcil engaar a la maquina cliente clamando
venir de una direccin autorizada y confiable.

Ataque de nmero de secuencia: Consiste en engaar a la

maquina cliente.

Ataque va ICMP (Internet Control Message Protocol):

ICMP es un protocolo que frecuentemente se utiliza para
enviar mensajes cuando el destino de un paquete es
inalcanzable. Un atacante puede dejar a una maquina fuera de
una conexin envindole un paquete ICMP que le diga que su
destino es inalcanzable.

Ataque va FTP (File Transfer Protocol) annimo: Un

usuario puede ejecutar programas en un directorio no
permitido,

ejecutar

comandos

que

ocasionen

grandes

perjuicios. Por ejemplo: borrar directorios, colocar programas

ejecutables con virus, transferir el archivo de contraseas, etc.

Web spoofing: Consiste en desviar la conexin de un cliente

web a un servidor web falso en lugar del real, a fin de recoger
los datos confidenciales que enva el usuario (nrneros de
tarjetas de crditos, contraseas, etc.)

3.1.1.2. Negacin de Servicios

22

Este tipo de ataque consiste en inundar al sistema con infinito

numero de requerimientos de procesos para ocasionar un cuello de
botella reduciendo el ancho de banda de la red, de tal manera que los
usuarios no puedan utilizar sus propias maquinas.
Muchos de los casos de sabotaje electrnico involucran la
destruccin de datos, la desactivacin de equipos, la interrupcin de
servicios remotos, el envo de mensajes electrnicos con lazos
infinitos de requerimientos, etc. As, el sistema pierde mucho tiempo
atendiendo todas las llamadas de los procesos hasta colapsar.
La inundacin de procesos es la manera mas comn de generar un
ataque de negacin de servicios, pero un atacante hbil puede
deshabilitar servicios, re-rutearlos, o reemplazarlos. Por ejemplo, un
atacante podra deshabilitar un servidor de acceso remoto reruteando los paquetes a algn otro lugar o simplemente cambiar la
informacin interna de cada paquete.
La negacin de servicios es considerado por los atacantes como
'antideportivo' debido a que es muy fcil causar este tipo de ataques,
por lo tanto no es muy popular entre ellos. Hay que recordar que el
mayor objetivo de un atacante es lograr el acceso a un sistema, usar
los recursos de una red y no dejar huella o rastro que lo identifique.
3.1.1.3. Hurto de Informacin
Este tipo de ataque consiste en obtener datos sin la necesidad de
penetrar en un sistema. La mayora de estos ataques tratan de
explotar los servicios de Internet que proveen informacin tales
como WWW, etc., induciendo a estos servicios a que den ms
informacin de lo que originalmente proporcionan.

23

Utilizando programas capturadores (sniffers) en un punto de una red

considerada promiscua (por ejemplo redes Ethernet), se puede
examinar toda la informacin que por ella pasa.
La mayora de personas que roban informacin son aquellas que
tratan de acceder indebidamente a un sistema para lo cual capturan
las cuentas y contraseas de los usuarios con acceso permitido.
Afortunadamente para los atacantes, pero desafortunadamente para
los dems, las cuentas y contraseas es el tipo de informacin ms
fcil de obtener debido a que esta informacin fluye en la red por lo
regular al inicio de cada sesin.
Obtener otro tipo de informacin requiere de mucha paciencia y
dedicacin a menos que los atacantes conozcan que la informacin
pasara en un tiempo y por un lugar determinado. Por ejemplo, si un
atacante conoce que todos los mircoles a las 12 p.m. un banco
enva estados de cuenta a sus usuarios, el atacante podra conectar
un capturador y apropiarse de esta informacin confidencial y
valiosa.
Un firewall correctamente configurado proteger a las redes de
personas que traten de obtener ms informacin de la que el sistema
deba proporcionar.
3.1.2. Tipos de Hackers

El impacto de las nuevas tecnologas de la informacin y la comunicacin en

la sociedad actual ha despertado el inters de personas talentosas, no solo de
utilizar el computador y las redes de comunicacin como una simple
herramienta que les permite agilizar y transmitir datos e informacin, sino de
explorar ms all, con el objetivo de infringir los supuestos sistemas de
seguridad inviolables y a su vez conocer las debilidades que en este sentido
poseen los mismos.

24

Si bien es cierto, muchos de estos objetivos son tiles y permiten cualificar

los sistemas de seguridad, tambin es cierto que ha proliferado una cantidad
considerable de personas dedicadas a utilizar sus habilidades y conocimientos
en forma delictiva, generando perjuicios y caos en la red.
A continuacin se har una breve descripcin:
a. Hacker
El Hacker es una persona con amplios conocimientos en tecnologa,
bien puede ser informtica, electrnica o comunicaciones, mantiene
permanentemente actualizado y conoce a fondo todo lo relacionado
con programacin y sistemas complejos; es un investigador nato que
se inclina ante todo por conocer lo relacionado con cadenas de datos
encriptados y las posibilidades de acceder a cualquier tipo de
"informacin segura".
Su formacin y las habilidades que poseen les dan una experticia
mayor que les permite acceder a sistemas de informacin seguros, sin
ser descubiertos, y tambin les da la posibilidad de difundir sus
conocimientos para que las dems personas se enteren de cmo es que
realmente funciona la tecnologa y conozcan las debilidades de sus
propios sistemas de informacin.
Este grupo est conformado por adolescentes y adultos, en su mayora
estudiantes de informtica, con una caracterstica comn: Las ansias
de conocimientos.
b. Cracker
Se denomina as a aquella persona con comportamiento compulsivo,
que alardea de su capacidad para reventar sistemas electrnicos e
informticos.
Un Cracker es un hbil conocedor de programacin de Software y
Hardware; disea y fabrica programas de guerra y hardware para

25

reventar software y comunicaciones como el telfono, el correo

electrnico o el control de otros computadores remotos.
Muchos de ellos "cuelgan" pginas Web por diversin o envan a la
red su ultima creacin de virus polimrfico.
c. Lammer
A este grupo pertenecen aquellas personas deseosas de alcanzar el
nivel de un hacker pero su poca formacin y sus conocimientos les
impiden realizar este sueo. Su trabajo se reduce a ejecutar programas
creados por otros, a bajar, en forma indiscriminada, cualquier tipo de
programa publicado en la red.
Es el ms numeroso que existe en la red; sus ms frecuentes ataques se
caracterizan por bombardear permanentemente el correo electrnico
para colapsar los sistemas; emplear de forma habitual programas
sniffers para controlar la red, interceptar contraseas y correos
electrnicos, y despus enviar mensajes con direcciones falsas, en
muchas ocasiones, amenazando el sistema, lo que en realidad no es
cierto, su alcance no va mucho ms all de poseer el control completo
del disco duro, aun cuando el ordenador est apagado.
Tambin emplean los Back Oriffice, Netbus o virus con el fin de
fastidiar, sin dimensionar las consecuencias de sus actos, su nica
preocupacin es su satisfaccin personal.
d. CopyHacker
Son una nueva generacin de falsificadores dedicados al crackeo de
Hardware, especficamente en el sector de tarjetas inteligentes. Su
estrategia radica en establecer amistad con los verdaderos Hackers,
para copiarles los mtodos de ruptura y despus venderlos a los
"bucaneros" personajes que sern descritos ms adelante.

26

Los Copyhackers se interesan por poseer conocimientos de tecnologa,

son aficionados a las revistas tcnicas y a leer todo lo que hay en la
red. Su principal motivacin es el dinero.
e. Bucaneros
Son los comerciantes de la red ms no existen en ella; aunque no
poseen ningn tipo de formacin en el rea de los sistemas, si poseen
un amplio conocimiento en rea de los negocios.
Su objetivo est centrado en comercializar o revender los productos
que los Copyhackers les proporcionan, bajo un nuevo nombre
comercial, con el nimo de lucrarse en corto tiempo y con el ms
mnimo esfuerzo.
f. Phreacker
Se caracterizan por poseer bastos conocimientos en el rea de
telefona terrestre y mvil, incluso ms que los propios tcnicos de las
compaas telefnicas; recientemente con el auge de los celulares, han
tenido que ingresar tambin al mundo de la informtica y del
procesamiento de datos.
Su actividad est centrada en romper las seguridades de las centrales
telefnicas, desactivando los contadores con el fin de realizar llamadas
sin ningn costo.
Actualmente las tarjetas prepago son su campo de accin predilecto,
suelen operar desde cabinas telefnicas o mviles y a travs de ellas
pueden captar los nmeros de abonado en el aire y as crear clones de
tarjetas telefnicas a distancia.
g.

Newbie
Es el tpico "cacharrero" de la red, sin proponrselo tropieza con una
pgina de Hacking y descubre que en ella existen reas de descarga de

27

buenos programas de Hackeo, baja todo lo que puede y empieza a

trabajar con ellos.
Es un aprendiz paciente e inofensivo, en su recorrido por la red, se
puede topar con sistemas de fcil acceso y tambin con programas con
un grado de dificultad mayor, para lo cual tiene que recurrir
nuevamente a la red en busca de instrucciones que le permitan lograr
su objetivo.
h. Script Kiddie
Denominados tambin Skid kiddie, son simples usuarios de Internet,
sin conocimientos sobre Hack o Crack aunque aficionados a estos
temas no los comprenden realmente, simplemente son internautas que
se limitan a recopilar informacin de la red y a buscar programas que
luego ejecutan sin los ms mnimos conocimientos, infectando en
algunos casos de virus a sus propios equipos.
Tambin podran denominarse los Pulsa Botones o Clickquiadores
de la red.
3.1.3. Tipos de Atacantes

Existe una gran variedad de atacantes en el mundo de Internet. Sin embargo,

todos ellos comparten ciertas caractersticas:

No quieren ser atrapados, as que entre ellos mismos se encubren.

Si ganan acceso a un sistema, intentaran conservar este acceso, y

descubrir vas de acceso.

La mayora de ellos tienen contactos con otras gentes que comparten

los mismos intereses.

Comparten la informacin que han obtenido de un sistema.

28

Los atacantes se pueden categorizar dentro de los siguientes grupos:

"joyriders", vndalos, jugadores y espas.

3.1.3.1. Joyriders
Se trata de personas que buscan diversin irrumpiendo en sistemas.
Ellos irrumpen en sistemas porque:

Creen que el sistema maneja datos interesantes,

Se divierten manejando las computadoras de otro sistema,

No tienen nada mejor que hacer.

Se trata sencillamente de gente curiosa que no desea hacer dao; sin

embargo, ocasionan daos por ignorancia o por tratar de cubrir sus
huellas.

3.1.3.2. Vndalos
Son personas que ocasionan grandes problemas en los sistemas. Si
una organizacin es blanco de un vndalo, rpidamente lo sabr. Por
lo regular, los vndalos ocasionan problemas a una organizacin si
alguna vez esta los molesta hacindoles perder tiempo o recursos.
Afortunadamente los vndalos son algo escasos, a la mayora de los
atacantes no les agrada ser vndalos.
Los daos que ocasionan son fcilmente hallados y reparados.
Habitualmente borran datos y arruinan equipos de computacin. Sin
embargo no todo esta perdido por que los datos y los equipos son
recuperables.

29

3.1.3.3. Jugadores
Muchos atacantes que irrumpen sistemas lo hacen por ganar
prestigio y puntos ante sus colegas de oficio. Estos puntos o crditos
se basan en el nmero o tipos de sistemas que ellos han quebrado.
Estos atacantes prefieren irrumpir sistemas muy populares, tienen
fama de ser bien defendidos o cualquier otra cualidad especial.
Irrumpir en lugares como estos les otorga ms puntos y fama. Ellos
van por cantidad y por calidad.
Los jugadores pueden o no hacer dao al sistema violado,
ciertamente lo que les interesa es reunir informacin y mantenerla
para posterior uso. Probablemente tratan de regresar al sistema por
las mismas vas de acceso por las que irrumpieron, hasta inclusive
utilizar el sistema violado como plataforma para atacar a otros
sistemas.
Los ataques de estas personas son muy difciles de encontrar, se
descubren lentamente ya sea por cosas extraas en las maquinas, por
noticias de sistemas violados, por copias de informacin privada de
la organizacin, etc.
3.1.3.4. Espas
Este tipo de atacantes no es como los anteriores tipos descritos.
Estas personas roban cosas que son directamente convertidas en
dinero tales como tarjetas de crditos, telfonos, etc. Si ellos
encuentran secretos que piensan que pueden vender, lo hacen.
Los espas son mucho mas difciles de detectar que los anteriores
atacantes. Ellos rompen las seguridades de un sistema, copian datos
y abandonan el sistema sin ocasionar disturbios o cualquier situacin
extraa que haga sospechar.

30

Muchas organizaciones se protegen de los espas, especialmente

cuando se trata de gobiernos y empresas grandes que no quieren que
sus secretos sean copiados. Estas organizaciones utilizan soluciones
muy complejas y costosas.
3.1.4. Tipos de Proteccin

Despus de analizar todos los tipos de ataques y los posibles tipos de

atacantes, la gran pregunta es que hacer para protegerse de estos ataques?
Existen cuatro esquemas o mtodos de seguridad: proteccin bsica,
seguridad a travs de ocultamiento, seguridad de host.
3.1.4.1. Proteccin Bsica
Este esquema consiste simplemente en no poner esfuerzo en cuanto
a seguridad, operar el sistema con el mnimo de seguridad que
brindan los sistemas operativos existentes en una red. No es
aconsejable.
3.1.4.2. Seguridad a travs de Ocultamiento
Este modelo establece que un sistema es seguro si nadie conoce de
l, de su existencia, de su contenido y de las medidas de seguridad
que posee.
El problema es que cualquier red que se desea conectar a Internet
tiene que tener un registro autorizado (nombre del dominio
reconocido por el ente que regula las conexiones con Internet), el
cual puede ser obtenido por cualquier persona (por ejemplo al hacer
un ping, y otros comandos que muestren informacin del dominio).
Es decir, no hay un completo ocultamiento del sistema a proteger.
Los intrusos estn atentos a nuevas conexiones con la esperanza de

31

que estos nuevos sitios no tengan todava medidas de seguridad y as

infiltrarse.
Existen muchas maneras diferentes mediante las cuales alguien
puede irrumpir y conocer los datos sensitivos de una organizacin.
Por ejemplo, conociendo el hardware, software y la versin del
sistema operativo un intruso sabr los posibles agujeros en la
seguridad y por donde iniciar un ataque. Los intrusos pueden
obtener esta informacin del registro del host o intentar conectarse al
host. Es por esto que es recomendable ocultar el tipo de sistema
operativo cuando alguien se conecta a un host.
La manera en que se oculta informacin puede ser a travs de la
prohibicin de uso de ciertos servicios tales como ping, u otros que
otorguen informacin a los usuarios. Se pueden corregir archivos de
configuracin del sistema para no presentar el nombre de la
maquina, dominio, sistema operativo, etc. Adems, resultara
recomendable colocar un ambiente restrictivo o controlado en la
maquina a fin de que se permita a los usuarios ejecutar solo ciertos
comandos.
Sin embargo, siempre habr un factor ante el cual poco se puede
hacer, y es el hecho de que los intrusos tienen bastante tiempo en sus
manos para tratar de ingresar a un sistema. Simplemente, esos
atacantes violaran el sistema tratando con todas las posibilidades de
ingreso que tenan en base a la informacin disponible. Por lo tanto,
a largo plazo este acercamiento no es una eleccin muy acertada.
3.1.4.3. Seguridad de Host
Este esquema consiste en darle seguridad por separado a cada host
de la red. Es decir aplicar todos los esfuerzos para evitar problemas
de seguridad en cada host. Esto involucra desactivar servicios

32

(TFTP, X11, etc.), procesos del sistema operativo, accesos libres de

cuentas sin contraseas, etc.
Pero existe un problema en este esquema, actualmente el ambiente
de computadoras es abierto a diversas plataformas lo que hace que
este modelo sea impracticable por lo complejo que se torna
configurar las mquinas. La mayora de ambientes incluyen
maquinas de muchos distribuidores (MACHINTOSH, IBM, HP,
etc.), cada una con sus propios sistemas operativos y cada una con
sus propios problemas de seguridad. Aun si una red tiene maquinas
del mismo distribuidor, utilizar diferentes versiones del mismo
sistema operativo conllevara problemas de seguridad.
Este mtodo de seguridad es rnuy apropiado para lugares pequeos o
lugares que requieren de extrema seguridad. Sin embargo, muchas
organizaciones incluyen seguridad de host en sus planes de
seguridad para asegurar por separado a todos los hosts considerados
importantes. Lo recomendable es utilizar este modelo en conjuncin
con el esquema de seguridad de red utilizando firewalls.
3.1.5. Estrategias de seguridad

Antes de detallar las caractersticas, alcances y diseos de sistemas de

firewalls es necesario entender las estrategias de seguridad empleadas para
construir estos sistemas. Es importante mantener en mente estas estrategias
cuando se fabrica un sistema de firewalls.
Las estrategias son las siguientes:

Menor Privilegio

Defensa en profundidad

Punto de estrangulamiento

33

Enlace ms dbil

Fallas seguras

Participacin universal

Diversidad de defensa

Simplicidad

3.1.5.1. Menor Privilegio

Se trata del principio de seguridad ms fundamental que existe.
Bsicamente este principio establece que cualquier objeto sea
usuario, administrador, sistema, programa, etc., deben tener tan solo
aquellos privilegios que necesita para ejecutar sus tareas
correctamente.
La mayora de problemas de seguridad en Internet pueden deberse a
fallas por no seguir el principio del menor privilegio. Por ejemplo, el
popular programa Sendmail (encargado de manejar el correo
electrnico) se ejecuta con privilegios del administrador de red
debido a que accesa a ciertos archivos privados de cada usuario
(buzn de mensajes electrnicos). Esto constituye un verdadero
blanco para los atacantes, ya que si un programa existente en un
sistema es complejo y utiliza privilegios, hace el trabajo de los
atacantes ms fcil.
Existen dos problemas al utilizar esta estrategia:
El primer problema es que el proceso de otorgar el menor
privilegio a los objetos puede resultar complicado si no se
conocen las caractersticas de diseo de los programas y
protocolos a usar. Si no se conocen las caractersticas de un
programa, el administrador puede otorgarle a un usuario o
programa ms privilegios de los que verdaderamente le

34

corresponde y constituirse en una brecha de seguridad. Se

corre un gran riesgo si se piensa que se aplica esta estrategia
cuando en realidad no se lo hace.
El segundo problema sucede cuando a un objeto se le otorga
menos privilegios de lo que le corresponde. Esto puede reducir
su alcance e inclusive entorpecer sus tareas. Un ejemplo puede
ser cuando se les reducen los privilegios a los usuarios. Se
puede predecir fcilmente como va a funcionar un programa
con menos privilegios, pero un usuario puede actuar
impredeciblemente y al sentirse frustrado por sus limitaciones
puede constituirse en un potencial enemigo interno para el
sistema.
3.1.5.2. Defensa en Privacidad
Este principio se basa en que la seguridad de un sistema no debe
depender de un solo mecanismo (ya sea que este mecanismo sea
muy eficiente o bastante seguro) sino de mltiples mecanismos que
se respalden entre si en caso de que alguno falle.
Un firewall no representa un solucin completa para el ancho rango
de problemas de seguridad en Internet. Cualquier esquema de
seguridad por mas impenetrable que sea, puede ser violado por
atacantes que estn dispuestos a gastar todos los recursos por lograr
sus objetivos. El plan a seguir por el administrador es hacer que los
intentos de violacin de los atacantes sean costosos. Esto se puede
lograr adoptando varios mecanismos de seguridad que proporcionen
redundancia entre ellos. Por ejemplo, combinando seguridad de red
(firewalls) con seguridad de host (asegurar las maquinas una por
una) y con seguridad humana (buena administracin, etc.).
La configuracin de cada mecanismo de seguridad debe ser
diferente, es decir que en caso de que un atacante encuentre la forma

35

de violar el primer mecanismo, le sea difcil violar el segundo

mecanismo, y as sucesivamente. De esta manera se retarda ms al
atacante para llegar a un recurso de la red.

3.1.5.3. Punto de Estrangulamiento

Esta estrategia consiste en colocar un solo punto de conexin entre
una red e Internet para as forzar a los usuarios a pasar por un canal
angosto que pueda monitorear y controlar los accesos.
En el esquema de seguridad de red, un firewall representa el punto
de estrangulamiento entre una red e Internet, as cualquier persona
que vaya a atacar al sistema desde Internet tendr que pasar por ese
canal en donde se concentraran todas las medidas de seguridad.
Sin embargo, un punto de estrangulamiento deja de ser efectivo si el
atacante encuentra una manera de penetrar una red por otro lugar
como una "puerta trasera". Por ejemplo para que molestarse en
construir un punto de estrangulamiento para controlar y monitorear
la red si existen docenas, de conexiones dial-up mal configuradas
permitiendo la entrada de cualquier usuario.
Cuando una red tiene una segunda conexin aumenta el riesgo de
sufrir un ataque, es por esto que al establecer las polticas de
seguridad es necesario verificar cuantas conexiones a Internet va a
tener una red de computadoras.
3.1.5.4. Enlace Mas Dbil
Un principio fundamental en materia de seguridad es que una cadena
es tan fuerte como su enlace ms dbil y una pared es tan fuerte

36

como su punto ms dbil. Los atacantes hbiles siempre estn

buscando puntos dbiles en una red para concentrar todos sus
esfuerzos para perpetrar un ataque.
Para disear un sistema de seguridad hay que estar atentos a todo lo
que se puede considerar como punto dbil para luego eliminarlo. Sin
embargo, es imposible eliminar todos los puntos dbiles. Siempre
existir un punto que se constituir el enlace ms dbil. Lo ms
aconsejable es fortalecer los enlaces lo suficiente y mantener la
fuerza del enlace proporcional al riesgo; por ejemplo, proteger por
igual a todos los servicios que tienen los mismos riesgos.
3.1.5.5. Fallas Seguras
Esta estrategia se basa en el principio de seguridad que establece que
si un sistema tiene fallas seguras, entonces el sistema debe fallar de
tal manera que niegue el acceso a todas las sesiones posteriores
hasta que el dao se solucione.
La mayor aplicacin de este principio se ve reflejada en la eleccin
de la posicin o punto de vista para tomar las decisiones con
respecto a la seguridad de un sistema. Estos puntos de vista son los
siguientes:

Negar por defecto: Todo lo que no es expresamente

permitido es prohibido.

Permitir por defecto: Todo lo que no es expresamente

prohibido es permitido.

Ambos puntos de vista pueden ser validos, depende del criterio del
administrador que lo elija. Para ciertos administradores negar por
defecto es el mejor punto de vista mientras que para otros lo es el

37

permitir por defecto. Lo importante es entender que hay por detrs

de estos puntos de vista para no equivocarse al elegir uno de ellos.
Negar por Defecto
Se trata de un criterio de extrema seguridad. Este punto de vista
reconoce que lo desconocido puede causar dao. Se prohbe todo
por defecto y para determinar que es lo que se va a permitir se
tiene que:

Examinar los servicios que se van a brindar.

Considerar los riesgos que conllevan estos servicios

elegidos y cuanto se pueden proteger.

Permitir solo los servicios que se entiendan, aquellos que

se puedan proveer seguramente.

Los servicios deben ser tratados por separado analizando la

seguridad de cada uno y balanceando sus implicaciones de
seguridad con las necesidades de los usuarios, basado en un
anlisis y disponibilidad de mecanismos que brinden proteccin
estos servicios.
Por ejemplo, de acuerdo a las polticas de una organizacin solo
se habilitan ciertos servidores tales como: correo electrnico,
web, DNS y FTP hacia fuera, porque la organizacin considera
que son los nicos servicios con que debe contar para su normal
funcionamiento. En base a esto se deshabilitan todos los
servicios restantes y se procede a estudiar: el funcionamiento de
los servicios elegidos, posibles agujeros de seguridad que poseen
y la forma de protegerlos.
Permitir por Defecto

38

Este punto de vista asume que todo debe ser permitido por
defecto y que se debe prohibir solo aquello que represente
problemas

de

seguridad.

La

mayora

de

usuarios

administradores prefieren este punto de vista, quienes piensan

que todo debe habilitarse por defecto y solo algunos servicios
que no se puedan habilitar.
A pesar de ser muy convincente, este punto de vista tiene dos
inconvenientes bsicos:

Se asume que se conocen especficamente todos los

peligros que involucra cada servicio y como explicarles a
todos los usuarios el riesgo que corren al usarlo y la
manera de prevenirse. Tratar de adivinar que peligros
pueden involucrar todos los servicios de Internet es una
tarea casi imposible debido a la cantidad de posibles
problemas y a la excesiva informacin disponible sobre
nuevos peligros, explotaciones de agujeros de seguridad
antiguos, etc. Si algn protocolo o servicio de Internet no
se conoce todava no se lo prohbe hasta que se tenga
noticias de algn agujero de seguridad en este servicio o
protocolo.

El costo de mantener al sistema en buen estado. Este

trabajo, que lo realiza el administrador, se constituye en
toda una faena, tendr que estar atento a cada agujero o
brecha de seguridad que se abre, reconfigurar o limitar el
servicio o protocolo que provoco el problema, salvar los
datos o recursos perdidos durante la violacin del sistema y
reconfigurar el firewall. Adems de esto, el administrador
tendr que educar a los usuarios internos para que no
cometan errores. Evidentemente que mientras esto sucede
el sistema puede ser victima de un nuevo ataque y como el

39

administrador esta realizando otras actividades pasara

algn tiempo hasta que se percate del nuevo ataque y
quizs ya sea muy tarde.

3.1.5.6. Participacin Universal

Todos los sistemas de redes de computadoras requieren de la
participacin universal, es decir de la cooperacin de todos los
usuarios internos del sistema. Si algn usuario interno puede
desactivar o desconfigurar la seguridad en un sistema, es posible que
un atacante desde Internet ocasione un problema desde el interior del
sistema. Aun el mejor firewall del mundo no podra proteger a un
sistema si un usuario interno coloca lneas dial-up mal configuradas;
y ocasiona puntos de ingreso desde Internet.
Un usuario interno puede llegar a ser un potencial enemigo a la
seguridad de un sistema. Es por esto que un sistema debe proveer
seguridad a sus recursos protegindose de sus propios usuarios
internos.
Existen mltiples formas en las que un usuario interno puede
destruir o desactivar los mecanismos de seguridad voluntaria o
involuntariamente. El administrador necesita que los usuarios le
reporten situaciones extraas y sospechosas que involucren fallas en
la seguridad. Por ejemplo, los usuarios pueden contribuir a la
seguridad del sistema utilizando contraseas difciles de adivinar,
cambiando sus contraseas regularmente, no prestar sus cuentas, etc.
La

participacin

universal

se

logra

voluntariamente

involuntariamente o a travs de las dos. Voluntariamente cuando los

usuarios por si solos ayudan al administrador y comprenden los

40

riesgos

que

corre

el

sistema

ante

un

eventual

ataque.

Involuntariamente cuando una autoridad les exige a los usuarios que

acten en base a reglas que contribuyan a fortalecer las polticas de
seguridad.

3.1.5.7. Diversidad de Defensa

Se considera como un complemento a la estrategia de "defensa en
profundidad". Consiste en elegir mltiples mecanismos de seguridad
pero de diferentes tipos. Es decir, usar mecanismos de seguridad de
diferentes distribuidores para reducir errores comunes o errores de
configuracin que los comprometan a todos.
La implementacin de esta estrategia es compleja y costosa. Instalar
varios mecanismos de seguridad llega a ser ms dificultoso, largo y
caro que instalar solo un mecanismo.
Hay que tener cuidado de no caer en una falsa diversidad de defensa,
instalando productos de seguridad que, a pesar de pertenecer a
diferentes distribuidores, poseen las mismas caractersticas y no
ofrecen una diversidad. Tambin se puede caer en falsa diversidad si
los mecanismos de seguridad son configurados por la(s) misma(s)
persona(s) ya que estos pueden compartir los mismos problemas si
estos problemas se derivan de errores conceptuales por no
comprender como funciona realmente un protocolo o servicio.
3.1.5.8. Simplicidad
La estrategia de simplicidad consiste en que el sistema de seguridad
que se utilice debe ser simple. Este principio se basa en dos razones
muy importantes:

41

El mantener mecanismos simples los hace ms fciles de entender.

Si no se entiende algo, es difcil saber si realmente es seguro o
inseguro.
Un sistema de seguridad complejo puede provocar fallas o agujeros.
Los programas complejos tienden a fallar, y esas fallas pueden
constituirse en problemas de seguridad. Aun si no provocan
problemas de seguridad, los usuarios se acostumbraran a estas fallas
y no lo notificaran a su administrador para prevenir futuros
problemas.
3.1.6. Administracin de la Seguridad

Es posible dividir las tareas de administracin de seguridad en tres grandes

grupos:

Autenticacin: se refiere a establecer las entidades que pueden tener

acceso al universo de recursos de cmputo que cierto medio ambiente
puede ofrecer.

Autorizacin: es el hecho de que las entidades autorizadas a tener

acceso a los recursos de cmputo, tengan acceso nicamente a las
reas de trabajo sobre las cuales ellas deben tener dominio.

Auditoria: se refiere a la continua vigilancia de los servicios en

produccin. Entra dentro de este grupo el mantener estadsticas de
acceso, estadsticas de uso y polticas de acceso fsico a los recursos.

Por regla general, las polticas son el primer paso que dispone a una
organizacin para entrar en un ambiente de seguridad, puesto que reflejan
su voluntad de hacer algo que permita detener un posible ataque antes de
que este suceda (pro actividad). A continuacin se citan algunos de los
mtodos de proteccin ms comnmente empleados.

42

1. Sistemas de deteccin de intrusos: son sistemas que permiten

analizar las bitcoras de los sistemas en busca de patrones de
comportamientos o eventos que puedan considerarse sospechosos,
sobre la base de la informacin con la que han sido previamente
alimentados. Pueden considerarse como monitores.
2. Sistemas orientados a conexin de red: monitorizan las conexiones
que se intentan establecer en una red o equipo en particular, siendo
capaces de efectuar una accin sobre la base de mtricas como: origen
y destino de la conexin, servicio solicitado, permisos, etc. Las
acciones que pueden emprender suelen ir desde el rechazo de la
conexin hasta alerta al administrador. En esta categora estn los
cortafuegos (Firewalls).
3. Sistemas de Anlisis de vulnerabilidades: analizan sistemas en
busca de vulnerabilidades conocidas anticipadamente. La desventaja
de estos sistemas es que pueden ser utilizados tanto por personas
autorizadas como por personas que buscan acceso no autorizado al
sistema.
4. Sistemas de proteccin a la integridad de la informacin: sistemas
que mediante criptograma o sistemas de verificacin tratan de
asegurar que no ha habido alteraciones indeseadas en la informacin
que se intenta proteger.
5. Sistemas de proteccin a la privacidad de la informacin:
herramientas que utilizan criptografa para asegurar

que la

informacin solo sea visible para quien tiene autorizacin. Su

aplicacin se realiza principalmente en las comunicaciones entre dos
entidades. Dentro de este tipo de herramientas se pueden citar a los
Certificados Digitales entre otros.

43

3.1.7. Polticas de Seguridad de Red

Las polticas de seguridad son normas que marcan el comportamiento de una

red con relacin a su seguridad. Definir polticas de seguridad de una red
significa desarrollar procedimientos y planes que protejan a los recursos de la
red contra prdidas y daos. Es importante tener polticas de seguridad bien
concebidas y efectivas, ya que de ellas depende que una organizacin pueda
protegerse. Las polticas de seguridad son ptimas cuando los recursos de la
organizacin estn bien protegidos.
Lo primero y ms importante para que un administrador de red pueda elaborar
las polticas de seguridad de su organizacin, es identificar que tipo de
servicios y recursos se permitan a los usuarios accesar y cuales tendrn
restriccin debido a riesgos de seguridad.
Si los usuarios estn acostumbrados a gozar de un total acceso a la red, puede
resultar difcil establecer polticas que restrinjan estos accesos. Hay que
mantener en mente que las polticas de seguridad de la red que se
implementen deben ser de tal manera que no impidan el buen funcionamiento
de la organizacin. Si las polticas de seguridad no permiten que los usuarios
ejecuten sus tareas efectivamente, los usuarios empezaran a buscar maneras
de violar las seguridades.
Las polticas de seguridad estarn bien concebidas y sern efectivas, si tanto
los usuarios como el administrador las aceptan y ayudan a mantenerlas.
3.1.7.1. Polticas de Seguridad Local
Una organizacin puede tener mltiples lugares y en cada lugar sus
propias redes. Si la organizacin es grande lo ms probable es que
cada lugar tenga diferentes administraciones con diferentes
objetivos. Si los lugares no estn interconectados entre si a travs de
una red interna, estos pueden tener sus propias polticas locales, pero

44

si estos lugares estn interconectados entre si, las polticas de

seguridad deben tener metas comunes.
Las polticas de seguridad local debern tomar en consideracin la
proteccin de sus recursos. Debido a que los lugares estn
conectados a otras redes, las polticas deben considerar las
necesidades de seguridad y requerimientos de las otras redes
interconectadas.
3.1.7.2. Acercamiento a las Polticas de Seguridad
Para desarrollar las polticas de seguridad en una organizacin es
necesario considerar los siguientes pasos:

Determinar la importancia y el riesgo de los recursos con

que dispone la organizacin: Para esto se realiza un anlisis
de riesgo de cada recurso en el cual se reconoce, la
importancia en el normal funcionamiento de la organizacin
y el riesgo o peligro al que esta expuesto. Con este paso se
logra descubrir los puntos ms sensibles de la red.

Determinar la relacin entre los usuarios y los recursos:

Para esto es necesario distinguir que tipos de usuarios van a
tener acceso a los recursos, y cual es el comportamiento
adecuado de los usuarios frente a los recursos.

Disear un modelo de seguridad: Con los dos pasos

anteriores desarrollados, ya es posible disear una estrategia
de seguridad para brindar proteccin a los puntos ms
sensibles de la red. Para esto es necesario aplicar los
conocimientos de arquitecturas y tecnologas de firewalls.

45

3.1.7.3. Anlisis de Riesgo

Cuando se disean polticas de seguridad es importante entender que
la razn para crearlas es asegurar que los mayores esfuerzos de
proteccin se enfoquen a los puntos ms importantes de la red. Esto
significa que hay que entender que recursos de la red requieren ser
protegidos y cuales son ms importantes que otros. Adems, hay que
identificar la fuente de peligro de la cual se estn protegiendo los
recursos para brindar el tipo de proteccin que necesitan los
recursos.
Para iniciar este anlisis es necesario que el administrador tome en
consideracin las respuestas a las siguientes preguntas:

Que es lo que necesita proteger?

De que o quienes necesita proteger a los recursos?

A continuacin se despejar estas incgnitas y se detallar como se

efecta el anlisis de riesgo.
Identificacin de los Recursos
A continuacin se provee una lista de los recursos que deberan
ser considerados en la extirpacin de amenazas:

Hardware: Procesadores, tarjetas, teclados, terminales,

computadoras personales, impresoras, disqueteras, lneas
de comunicacin, servidores de terminal, ruteadores, etc.

Software:

programas

utilitarios,

programas

fuentes,
de

programas

diagnostico,

operativos, programas de comunicacin, etc.

46

objetos,
sistemas

Datos: durante ejecucin, almacenados

en lnea,

archivados, respaldos, archivos de auditoria, base de

datos, etc.

Personas: usuarios, operadores, etc.

Documentacin: en programas, hardware, sistemas,

procedimientos locales administrativos, etc.

Suministros: medios magnticos, formas, etc.

Identificacin de Amenazas
Para cada recurso es necesario establecer que tipos de peligro
puede correr en su normal funcionamiento, para esto se hace una
revisin de todos los posibles riesgos que puede sufrir cada
recurso de acuerdo a la clasificacin de tipos de ataques.
3.1.7.4. Uso y Responsabilidades en la Red
Otro aspecto que debe considerarse en la definicin de las polticas
de seguridad es el uso y responsabilidades en la red. A continuacin
se da una serie de preguntas que ayudaran a determinar el uso y
responsabilidades en una red:

A quien es permitido el uso de recursos?

Cual es el uso apropiado de los recursos?

Quien esta autorizado a otorgar accesos y aprobar usos?

Cuales son las responsabilidades de los usuarios?

Cuales son las responsabilidades del administrador?

Que hacer con la informacin susceptible?

47

a. Identificando a quien es permitido el uso de recursos de la

red:
Es necesario llevar un registro de todos los usuarios con sus
alcances y caractersticas por cada recurso para luego, identificar
a quien es permitido el uso de los mismos. Por ejemplo:

Usuarios internos: Son las cuentas asignadas a personas

de la red interna. Estas personas pueden tener acceso
fsico y remoto a los recursos. Pueden constituirse en
enemigos potenciales de la seguridad.

Usuarios externos: Son usuarios de Internet. Estos

usuarios pueden tener acceso remoto a la red y perpetrar
un ataque.

Nombres de grupos: Son un conjunto de usuarios

clasificados de acuerdo al carcter de la organizacin.
Por ejemplo: gerentes, asistentes, etc., para una
organizacin comercial. Estos grupos pueden contar con
usuarios internos o externos, por lo que pueden ganar
acceso fsico o remoto a la red interna.

b. Identificando el Uso Apropiado de un Recurso:

Despus de determinar cuales son los usuarios que pueden
accesar a los recursos de la red, se debe proveer de guas para el
uso adecuado de estos recursos. Estas guas dependern de la
clase de usuario (interno, externo, grupos) y del recurso
(servidores: Telnet, FTP, de impresin, etc.).

48

Las guas de usuarios deben definir que se considera como uso

aceptable, inaceptable y restringido por cada recurso. Estas guas
se colocaran dentro de un documento llamado Uso aceptable de
polticas (UAP).
El UAP debe indicar claramente a los usuarios que estos son
responsables por sus acciones. No tiene sentido que se
construyan mecanismos de seguridad si el usuario libera
informacin hacindola disponible para posibles atacantes.
c. Determinando quien esta autorizado para otorgar acceso y
aprobar el uso:
Las polticas de seguridad en una red debe establecer quien esta
autorizado para otorgar acceso a los servicios de la red. Si el
administrador no tiene control de quien esta otorgando acceso al
sistema, es difcil controlar quien esta usando la red. Si el
administrador puede identificar a las personas que estn
encargadas de dar acceso a la red, se puede establecer que tipo
de acceso o control ha sido otorgado. Esto ayuda a identificar la
causa de posibles agujeros en la seguridad, como por ejemplo el
otorgamiento de privilegios a usuarios que no lo ameritan.
Hay que considerar los siguientes factores para determinar quien
o quienes darn acceso a los servicios en las redes:

Se otorgara el acceso a servicios desde un punto central?

Que mtodos se usaran para crear cuentas?

Si la organizacin es grande y descentralizada, se pueden tener

diversos puntos, por ejemplo uno para cada departamento, con
propia responsabilidad sobre su red. En este caso, se debe tener

49

una gua global de que tipos de servicios son permitidos para

cada clase de usuario. Por otro lado, la administracin
centralizada puede crear problemas cuando los departamentos
quieran tener ms control sobre sus propios recursos.
El administrador necesitara acceso especial a la red, pero otros
usuarios tambin pueden necesitar ciertos privilegios. Es cierto
que al restringir el acceso y no otorgar privilegios a los usuarios,
hacemos ms segura a la red, pero podramos hacer que los
usuarios no cumplan eficientemente con sus tareas. Por lo tanto,
es necesario un balance entre denegar privilegios para hacer ms
segura la red y otorgar privilegios a las personas que realmente
los necesiten.
d. Determinando las responsabilidades de los usuarios:
Las polticas de seguridad deben definir los derechos y
responsabilidades para usar los recursos y servicios de la red. A
continuacin se citan una serie de aspectos a considerar:

Que se considera abuso en trminos de uso de recursos

en la red?

Est permitido a los usuarios compartir cuentas o dejar

que otros las usen?

Deberan los usuarios revelar sus contraseas en bases

temporales para permitir que otros trabajen con sus
cuentas?

En las polticas de contraseas:Cuan frecuente deben

los usuarios cambiar sus contraseas?

Son los usuarios responsables de sacar respaldos de sus

datos o es responsabilidad del administrador?

50

Que acciones legales se tomaran en caso de revelacin

de informacin?

Una poltica concerniente a correos controversiales, listas

de correo o discusin. Establecer que tipos de foros sern
permitidos, contenido de correo, etc.

e. Determinando las Responsabilidades del Administrador del

Sistema:
Cuando se corre riesgo en la seguridad de un sistema, el
administrador puede tener la necesidad de recoger informacin
de los archivos del sistema, incluyendo los del directorio home
de cada usuario. Por otro lado el usuario tambin requiere de
cierta privacidad.
Entonces surge una controversia de la privacidad y derechos del
usuario con la necesidad de los administradores.
Las polticas de seguridad deben especificar si el o los
administradores pueden examinar los directorios privados para el
diagnostico de problemas e investigaciones de violaciones a la
seguridad. Tambin se adjuntaran las respuestas a las siguientes
preguntas:

Puede el administrador monitorear o leer archivos de un

usuario por cualquier razn?

Pueden 1os administradores tener el derecho de

examinar la red y su trfico?

f. Que hacer con la Informacin Sensible:

51

Se debe determinar que tipo de datos importantes y sensibles por

su confidencialidad estn almacenados en un sistema especfico.
Antes de otorgar acceso a servicios en un host, hay que
considerar a que otros servicios e informacin los usuarios
pueden ganar acceso. Si el usuario no necesita trabajar con datos
sensibles, entonces no debe tener una cuenta en el sistema que
contiene estos datos.
Se tiene que considerar si existe una adecuada seguridad en el
sistema para proteger los datos sensibles. Las polticas tambin
les hara conocer a los usuarios que necesitan trabajar con
informacin sensible, de que servicios ellos disponen (servicios
de Internet, procedimientos de almacenamiento, actualizacin,
etc. dependiendo del tipo de usuario).
3.1.7.5. Plan de Accin cuando las Polticas de Seguridad son Violadas
Si las polticas de seguridad son violadas, el sistema esta abierto a
cualquier tipo de ataque. Algunas veces es fcil detectar cuando una
poltica ha sido violada, pero otras veces puede ser indetectable. Los
procedimientos de seguridad que el administrador implemente
minimizan la posibilidad de que la infraccin no sea detectada.
Cuando se encuentre una violacin a las polticas, se la debe
clasificar si fue por negligencia, por accidente o error, ignorancia de
las reglas, o deliberadamente. Para cada una de estas circunstancias,
las polticas de seguridad deben proveer la gua necesaria de las
acciones a tomar.
Cuando una violacin toma lugar, la respuesta puede depender del
tipo de usuario responsable y el tipo de violacin.
Las violaciones pueden ser convertidas por una gran variedad de
usuarios. Algunos de estos usuarios pueden ser internos y otros

52

externos. Dependiendo de esto se determina que accin debe

tomarse. Los usuarios internos y externos deben tener conocimiento
de las normas de seguridad. Si la red tiene usuarios externos que la
usan legalmente, es responsabilidad del administrador verificar que
estos tengan conocimiento de las polticas que se tienen. Esto ltimo
es muy importante si el administrador necesita tomar una accin
legal contra la parte ofensiva.
La sancin que debe imponerse tanto al usuario interno como
externo responsable tambin depende de las consecuencias que
acarreen las faltas cometidas. Por esto la organizacin debe definir
cuales son las faltas graves o faltas leves. Por ejemplo, el robo de
informacin financiera confidencial es una falta muy grave ya que
puede atentar contra la estabilidad de una organizacin; la inhibicin
de un sistema es una falta leve ya que se puede reiniciar al sistema
nuevamente.
a. Respuesta a violaciones por parte de usuarios internos
Ante violaciones por parte de los usuarios internos se pueden
tener las siguientes situaciones:

Un usuario local viola las polticas del sistema local.

Un usuario local viola las polticas de un sistema externo.

Si se trata del primer caso, el administrador puede tener mas

control sobre que tipo de respuesta se debe tomar por la falta
cometida. En el segundo caso, si un usuario local ha irrumpido
en la seguridad de un sistema externo, la situacin es muy
complicada debido a que involucra a otra organizacin, y la
respuesta que se tome seria discutida con la organizacin cuya
poltica ha sido violada. Adems, tendra que consultarse con

53

organizaciones internacionales especializadas en leyes de

seguridad de computadores.
b. Respuesta a violaciones por parte de usuarios externos
En el caso de que usuarios externos (usuarios de Internet, ajenos
a la organizacin), al igual que en el segundo caso de violaciones
de usuarios internos a un sistema externo, la situacin es
complicada. Dependiendo de la gravedad de la falta, lo
recomendable es que la organizacin interna se ponga en
contacto con la organizacin a la que pertenece el usuario
externo a fin de discutir la accin a tomar. Como medida
adicional se debe tomar en consideracin los criterios de
agencias de leyes internacionales que definen protocolos para
estos casos.

3.2. CORTAFUEGOS (FIREWALL)

Un firewall es un mecanismo del modelo de seguridad de red que tiene como
objetivo proteger a la red de ataques electrnicos provenientes de Internet u otra red.
Un firewall es un sistema de defensa que se basa en la instalacin de una "barrera"
entre las PC y la Red, por la que circulan todos los datos. Este trfico entre la Red y
las PC es autorizado o denegado por el firewall (la "barrera"), siguiendo las
instrucciones que le hayamos configurado.
El termino firewall (corta-fuego en espaol) se lo adquiri por la semejanza con el
corta-fuego en el campo de la construccin. Un corta-fuego es una pared que evita
que el fuego pase de un extremo a otro. De igual manera, un firewall para Internet
evita que los peligros que se encuentran en otras redes no penetren a un sistema de
red de computadoras. Sin embargo, un firewall se asemeja ms al foso o estanque que
los castillos medioevales que colocaban a su alrededor para protegerse de ataques
cumpliendo con los siguientes objetivos:

54

Restringir el ingreso solo por un punto de control.

Prevenir que intrusos tomen control de otros mecanismos de proteccin con el

fin de arruinar todo el sistema defensivo.

Restringir la salida por un nico punto de control.

Un firewall para Internet se coloca por lo regular en un punto entre Internet y la red
de computadoras que se desea proteger, como se observa en la siguiente figura. As,
todo el trfico dirigido a la red interna y proveniente de Internet tiene que atravesar el
firewall. Es por esto que un firewall tiene la oportunidad de dejar pasar solo el trfico
aceptable y rechazar lo que las polticas de seguridad establecen.
Desde el punto de vista lgico, un firewall es un objeto separador, restringidor y
analizador de trfico. Pero fsicamente puede constituirse de un conjunto de
hardware: ruteadores, combinacin de ruteadores, computadoras y redes, todos ellos
con su respectivo software. Las maneras de configurar todos estos equipos dependen
de las polticas de seguridad y del presupuesto de la organizacin que se conecta a
Internet.

GRFICO N 02: Representacin de un Firewall

As como el foso de un castillo medieval no es invulnerable, de igual manera no
lo es un firewall para Internet. Un foso no protege contra personas que ya estn
adentro, y aunque se coloquen mas defensas internas, los intrusos pueden hacer

55

sus ataques mas efectivos y penetrar al castillo. As mismo, un firewall para

Internet tiene sus desventajas, que hacen que ningn firewall sea invulnerable.
Disponer de uno involucra mucho costo y esfuerzo, y muchas veces no se
compensa si la seguridad de un sistema puede ser violada.
Pero pese a estas limitaciones y desventajas, los firewalls constituyen la mejor
manera de proteger a una red que se conecta a Internet. Aqu se presenta el gran
dilema de conectarse a Internet; abrirse al mundo, obtener mayor publicidad,
obtener informacin y otros beneficios en contra de los costos que esto
representa. Por lo tanto, antes de conectarse a Internet una organizacin debe
hacer un balance entre los beneficios y costos (incluyendo un sistema de
seguridad) que puede tomar.
Un firewall no solo es til para proteger una red de posibles ataques
provenientes de Internet, tambin sirve para proteger lugares que poseen
diferentes necesidades de seguridad. Es decir cuando en dos redes que se
enlazan, una tiene que ser ms segura que la otra. Por ejemplo, en un ambiente
universitario, una red administrativa que se enlaza con una red de laboratorios
para estudiantes, la red administrativa debe protegerse de ataques provenientes
de los laboratorios.
Los firewalls representan grandes beneficios al brindar la seguridad en un
sistema, pero no resuelven todos los problemas de seguridad ya que tienen
limitaciones.
El funcionamiento de ste tipo de programas se basa en el "filtrado de
paquetes". Todo dato o informacin que circule entre las PC y la Red es
analizado por el programa (firewall) con la misin de permitir o denegar su
paso en ambas direcciones (Internet-->PC PC--->Internet).
El comprender esto ltimo es muy importante, ya que si autorizamos un
determinado servicio o programa, el firewall no va a decirnos que es correcto o

56

incorrecto, o incluso, que siendo correcto los paquetes que estn entrando o
saliendo, stos contienen datos perniciosos para nuestro sistema o la Red, por lo
que hay que tener cuidado en las autorizaciones que otorguemos.
Como ejemplo de esto ltimo podemos poner el Correo Electrnico. Si
autorizamos en nuestro firewall a que determinado programa de correo acceda a
Internet, y al recibir nuestro correo, en un mensaje recibido viene un adjunto
con un virus, por ejemplo tipo gusano, el firewall no nos va a defender de ello,
ya que le hemos autorizado a que ese programa acceda a la Red. Lo que si va a
hacer es que si al ejecutar el adjunto, el gusano intenta acceder a la Red por
algn puerto que no est previamente aceptado por nosotros, no lo va a dejar
propagarse. La misin del firewall es la de aceptar o denegar el trafico, pero no
el contenido del mismo. En ste caso, la misin de protegernos es (adems del
sentido comn de no ejecutar sin ms un adjunto) de un programa Antivirus.
Un firewall funciona, en principio, DENEGANDO cualquier trfico que se
produzca cerrando todos los puertos de nuestro PC. En el momento que un
determinado servicio o programa intente acceder a Internet o a nuestro PC nos
lo har saber. Podremos en ese momento aceptar o denegar dicho trfico,
pudiendo asimismo hacer (para no tener que repetir la operacin cada vez)
"permanente" la respuesta hasta que no cambiemos nuestra poltica de
aceptacin.
3.2.1. Alcance de los Firewalls

Las ventajas que ofrece un firewall son:

3.2.1.1. Concentra las Medidas de Seguridad en un solo punto
Un firewall debe representar el punto de estrangulamiento entre una
red interna y externa o Internet. Por este punto debe pasar todo el
trfico que entra o sale de la red interna que se desea proteger. La

57

gran ventaja de este esquema es que permite concentrar todas las

medidas de seguridad en el punto de estrangulamiento.
Esta manera de enfocar la seguridad es ms eficiente que tomar
decisiones de seguridad en varios puntos alrededor de una red. Si
una red tiene varios puntos por los cuales deja una puerta abierta a
Internet, las medidas de seguridad se convertiran complejas y
difciles de implementar. Adems, desde el punto de vista
econmico es ms factible concentrar la seguridad en un solo punto
que en varios.
3.2.1.2. Archiva Informacin Activamente
Debido a que un firewall se encuentra ubicado entre una red de
computadoras e Internet, por ste pasa todo el trfico. Por lo tanto, el
firewall se convierte en un buen lugar para registrar todos los
eventos que ocurre entre la red de computadoras protegida y la red
externa o Internet.
Esta medida es beneficiosa porque si sucede algn ataque, revisando
el registro de eventos se puede localizar la falla y el posible
culpable.
3.2.1.3. Limita la Exposicin
A pesar de que un firewall no es la solucin a todos los problemas de
seguridad, si limita el dao que un problema de seguridad de red
puede hacer sobre toda una red.
3.2.2. Limitaciones de los Firewalls

Existen amenazas que estn fuera del alcance de un firewall. Es por esto que
surge la necesidad de complementar la seguridad incorporando seguridad de
host, seguridad fsica e informacin a los usuarios internos.

58

Las limitaciones de un firewall son:

3.2.2.1. No Protege de Usuarios Internos
Un firewall puede proteger que un usuario interno transfiera
informacin interna sensitiva desde una red hacia Internet, pero no
puede proteger de la transmisin de esa informacin por otros
medios. Por ejemplo, el firewall es incapaz de evitar que un usuario
interno copie la informacin sensitiva por medio de un disquete o
tape y la distribuya.
Los usuarios internos pueden robar datos y daar el hardware y el
software de la red. Ante esto un firewall no sirve de nada. Por esto es
necesario adoptar medidas de seguridad interna como la seguridad
de hosts y la seguridad fsica.

3.2.2.2. No Protege de Conexiones que no pasan a travs de este

Esta limitacin esta relacionada con la anterior, un firewall puede
controlar todo el trafico que por este pasa, pero no puede hacer
absolutamente nada cuando esto no sucede. Esta es la situacin
cuando se tiene un acceso dial-up en una red y el firewall desconoce
de este acceso.
Esto constituye un problema de manejo de recursos ms que un
problema tcnico. Al adoptar un sistema de seguridad se tiene que
analizar los puntos de acceso a una red y si es posible reducirlos a
uno solo en donde se colocara un firewall.
3.2.2.3. No Protege Completamente de las Nuevas Amenazas
Un firewall es diseado para proteger de amenazas conocidas que
existen en la actualidad. Un firewall bien diseado tambin puede
proteger de nuevas amenazas negando todos los servicios y tan solo

59

habilitando algunos servicios confiables de tal forma que evita que

personas configuren nuevos servicios inseguros. Sin embargo, un
firewall no puede defender automticamente de una nueva amenaza
que surja.
Peridicamente las personas descubren nuevas maneras de violar las
seguridades usando servicios que son considerados confiables o
usando servicios que nadie antes utiliz. Es preciso que una vez
instalado un firewall se le de el debido mantenimiento.
3.2.3. Tipos de Cortafuegos

3.2.3.1. Cortafuegos como Hardware

Generalmente llamados cortafuegos de red, estos dispositivos
externos se posicionan entre el computador o la red y su cable
mdem o mdem DSL. Muchos vendedores y algunos proveedores
de servicio de Internet ofrecen dispositivos llamados "routers" que
tambin

tienen

caractersticas

tcnicas

de

cortafuego.

Los

cortafuegos basados en hardware son particularmente tiles para

proteger mltiples computadores pero tambin ofrecen un alto grado
de proteccin para un solo computador. Si usted solamente tiene un
computador detrs del cortafuego o est seguro que todos los otros
computadores de la red tienen parches actualizados y son libres de
virus, gusanos y otros tipos de cdigos maliciosos, puede que no
necesite la proteccin adicional de un cortafuego a base de software.
Los cortafuegos a base de hardware tienen la ventaja de ser
dispositivos separados con sus propios sistemas operativos, lo que
significa que proveen otra lnea de defensa contra los ataques. La
desventaja principal es su costo, aunque hay numerosos productos
disponibles por menos de $100 USD (y algunos por menos de $50
USD).

60

3.2.3.2. Cortafuegos como Software

Algunos sistemas operativos incluyen un cortafuego. Si este es el
caso del suyo, considere la posibilidad de aadir otro nivel de
proteccin incluso si tiene un cortafuego externo. Si no tiene un
cortafuego incorporado, puede obtener un cortafuego a base de
software a un precio bastante bajo o incluso gratis de una tienda
local, de vendedores de software.
Se interponen dentro del sistema operativo y agarran paquetes de
datos no deseados antes que puedan llega al programa que desean.
Tambin agarran datos, los cuales son mandados desde programas
especficos a la web. Puedes definir reglas en las cuales eliges que
programas tienen permitido enviar y recibir datos a travs de la red.
Como existen riesgos asociados al bajar software desde Internet a un
computador que no est protegido, es mejor instalar un cortafuego
de un disco compacto, DVD o diskette. Aunque depender
nicamente de un cortafuego a base de software provee algo de
proteccin, es importante que comprenda que tener un cortafuego en
el mismo computador en que reside la informacin que busca
proteger podra limitar la capacidad del cortafuego de detener trfico
malicioso antes de que entre en su sistema.
3.2.4. Diseo de Sistemas de Firewalls

Desafortunadamente no existe una estandarizacin en la terminologa

aplicada para tecnologa y arquitecturas de firewalls. Sin embargo existen
definiciones muy bsicas y populares como las siguientes:

Firewall: Un componente o conjunto de componentes que

restringen el acceso entre una red protegida e Internet, o
simplemente entre dos redes.

61

Host interno: Computador servidor de la red interna que se desea

proteger.

Host externo: Computador de una red externa o Internet.

Filtraje de paquetes: Es la accin que un dispositivo (filtro de

paquetes) toma para controlar selectivamente el flujo de datos desde
y hacia afuera de una red. Los filtros de paquetes dejan pasar o
bloquean paquetes mientras estos son ruteados de una red a otra.
Para filtrar paquetes se debe configurar un conjunto de reglas que
especifiquen que tipos de paquetes van a ser permitidos ingresar y
que tipos de paquetes van a ser rechazados. El filtraje de paquetes
puede realizarse en un ruteador, en un bridge o en un host. Muchas
veces al filtraje de paquetes se lo llama screening.

Servidor Proxy: Es un programa que comunica a los servidores

externos con clientes internos. Los clientes proxy se comunican con
los servidores proxy, los cuales se comunican a su vez con el
servidor real para responder a los clientes.

Autenticacin: Es el proceso por el cual se asegura que el usuario

es verdaderamente quien clama ser.

Encriptacin: Es la codificacin de la informacin en transito para

que esta no pueda ser capturada y leda. El emisor codifica la
informacin y tan solo el receptor puede decodificarla.

3.2.4.1. Autenticacin y Encriptacin

La autenticacin es un proceso que se recomienda implementar
en todos los servicios entrantes a la red interna (por ejemplo:
servidor Telnet, FTP) para evitar que usuarios no autorizados
(atacantes) penetren libremente y perpetren un ataque.
Habitualmente los servidores proxy otorgan capacidades de
autenticacin a travs de mdulos o programas alternos que
permiten autentificar a los usuarios que provienen de Internet

62

debido a que examinan la informacin de los paquetes hasta la

capa de aplicacin donde tienen acceso a las contraseas de los
usuarios.
Existen diferentes esquemas estndares de autenticacin, los
cuales evitan que las contraseas puedan ser capturadas y
utilizadas posteriormente.
La encriptacin es un proceso recomendado cuando se enva
informacin confidencial a travs de una red insegura como
Internet. La encriptacin provee un camino seguro por el que
viajar los datos dando la sensacin de un canal privado virtual.
Actualmente los productos comerciales y pblicos de firewalls
ofrecen caractersticas de encriptacin. Igual que en la
autenticacin, existen esquemas estndares de encriptacin ya
que estos marcan la interoperabilidad entre firewalls de
diferentes marcas.
La autenticacin y la encriptacin son dos tecnologas que van
de la mano ya que el verdadero receptor es el que puede
desencriptar la informacin. Adems dentro de los esquemas de
autenticacin

se

utilizan

algoritmos

para

encriptar

las

contraseas.
Ambas tecnologas estn disponibles en hardware y en software.
Cuando se trata de hardware, estos se colocan entre la red interna
y la externa. Cuando se trata de software, los programas se
colocan preferiblemente en servidores bastiones.
3.2.5. Servidor Proxy

63

Los servidores Proxy tpicamente se instalan en servidores de Internet y

realizan varias funciones. Son capaces de controlar el tipo de trfico que fluye
a travs de la red (es decir, correo electrnico, paginas web, archivos de ftp,
etc) y supervisan la seguridad en la red. Pero lo ms importante, de cara al
usuario del servicio Internet, es que actan como una cach de paginas web.
Son capaces de almacenar las pginas web visitadas por los usuarios y de esta
manera si otro usuario quiere acceder a alguna pagina que el servidor Proxy
tenga guardada, no tendr que acceder a Internet sino que directamente se la
enviar al usuario. Pongamos por ejemplo que un usuario accede a una pgina
de un peridico importante para consultar las noticias. El servidor Proxy, al
no disponer de esta pgina, tiene que acceder a esta pgina a travs de
Internet, envirsela al usuario y guardarla. Posteriormente otro usuario realiza
la misma consulta al mismo peridico (es un peridico muy popular). El
servidor Proxy verifica que esa pgina la tiene guardada porque el usuario
anterior la estuvo consultando y en esta ocasin no tiene que acceder a
Internet a buscar la pgina, sino que directamente se la enva al usuario. La
ventaja que esto supone es una mayor velocidad de transmisin, al no tener
que buscar la pgina. El uso de un servidor Proxy puede aumentar
considerablemente la velocidad con la que navegamos.
3.2.5.1. Proxy
En el contexto de Internet el trmino proxy hace referencia a un
servidor al que se conectan un elevado nmero de usuarios para
solicitar, a travs de l, los contenidos de Internet. Hay dos tipos de
proxies:

Los explcitos, en los que los usuarios tienen que configurar

su navegador para poder hacer las peticiones al servidor
proxy.

Los transparentes, en los que el usuario no tiene que tocar la

configuracin de su navegador.

64

Con otras palabras: el proxy solicita contenidos a los servidores de

origen en representacin de los usuarios finales y previa solicitud de
stos.

3.3. ESTADISTICAS (CASOS DE XITOS)

Los casos de xitos que se dan al implementar cortafuegos en una red son muchas. Se
dan tanto a nivel internacional, nacional, regional y local; lo cual comprueba los
buenos beneficios que dan los cortafuegos en las organizaciones al asegurar sus
redes.
A continuacin se presentara las empresas u organizaciones que obtuvieron buenos
resultados al implementar esta tecnologa:
A Nivel Internacional

MLS (1999):
En el mundo muchas empresas han implementado estos cortafuegos
como lo ha hecho la Liga Mayor de Ftbol (MLS) de Estados Unidos
siendo Joseph Dalessio, administrador de redes para la liga radicada en
Nueva York. El se preguntaba Quin estuvo tratando de penetrar la red
de la Liga Mayor de Ftbol (MLS) de Estados Unidos? O haba
muchos hombres que queran jugar en los equipos de la MLS, o se
trataba de tahres que buscaban informacin que pudiera afectar el
resultado de los partidos, declar l.

65

En enero, Dalessio decidi que era hora de tomar medidas ms fuertes

para proteger la red de la liga. Tenemos una base de usuarios pequea,
alrededor de 500 usuarios en 13 oficinas, explic. Incluso una sola
interrupcin causada por un intruso podra haber sido devastadora, ya
que afectara a todos los usuarios de la red de rea amplia de la liga. As
que emple los cortafuegos Cisco Secure PIX en la sede de la liga y en
las 12 oficinas de los equipos.
Los resultados que obtuvieron con esta implementacin fue: Hemos
tenido una dcima parte de los problemas de intrusiones que tenamos
antes, dice Dalessio. Y cuando el virus de Love Bug y su
descendencia atacaron, nosotros quedamos ilesos.

Hacksoft Net Sec Advanced Hardening Servers (2000):

Asegurarse que las computadoras que forman parte de la red estn libres
de ataques y peligro desde fuera como dentro de la red es un proceso
bien complejo. Este proceso se lleva a cabo usando la metodologa
inside-out por medio del cual se comienza reforzando los sistemas y
servicios de la red interna para posteriormente moverse hacia fuera
asegurando el permetro de la red.

Esta suite de servicios esta exclusivamente relacionado con el

reforzamiento de los servidores, la suite es un conjunto de servicios
integrados donde todos y cada uno de los servidores son revisados
detalladamente y con herramientas especializadas para posteriormente
aplicarles un Hardening.

A Nivel Nacional

TIM Per (2004):

66

En el Per hay empresas o instituciones que tienen implementadas la

debida seguridad en sus redes por medio de cortafuegos lo cuales les
permite tener una mayor seguridad en la transmisin de sus datos.
Se afirma que las medidas preventivas en materia de seguridad
tecnolgica son la mejor manera de evitar ataques de intrusos en una
organizacin, o de reforzar la seguridad interna en todas las reas. TIM
Per, compaa de telefona mvil, implement la solucin Identity and
Access Management que comprende el eTrust Access Control y el
eTrust Audit, de Computer Associates, para proteger los sistemas
operativos de los servidores principales.
De acuerdo con Aldo Romero, Seguridad Informtica de TIM, Ningn
sistema operativo est hecho para brindar seguridad, siempre se
necesitan complementos adicionales que mejoren la proteccin de los
servidores principales. Luego de una rigurosa seleccin tcnica entre
tres proveedores, se eligi las soluciones de CA que otorgan proteccin
y confiabilidad a los sistemas, adems de ofrecer una cmoda
configuracin e instalacin, lo que facilita el trabajo de los profesionales
de tecnologa de la informacin (IT), afirm.
La solucin obtenida fue que empresa reduci sus costos y mitig
riesgos de seguridad relacionados a los usuarios y accesos completos
dentro de la empresa. El Audit ofrece alertas en lnea y la posibilidad de
ver eventos de auditora que se definan en el servidor. Asimismo, a
travs de alarmas reporta en tiempo real cualquier cambio o
eventualidad en el sistema.

TEmpresas (2004) de la Empresa Telefnica:

Diseo, seleccin, provisin e implementacin de equipamiento
especializado con controles tcnicos en el permetro de la red de la

67

organizacin, los cuales protegen los activos de informacin que se

transmiten a travs de redes de datos como Internet y Extranet.
Beneficios: Cuenta con una total seguridad para acceder a sus
aplicaciones; Seguridad de Contenidos son sistemas que a travs de un
seguimiento continuo de las actividades de los usuarios en la red y en
base a reglas predefinidas, controlan los accesos a los servicios usados
en Internet, desde el correo electrnico, pginas web hasta accesos a
aplicaciones.
Situacin: Detectar y eliminar el cdigo malicioso (virus, spam,
spyware, adware); Son sistemas que analizan el contenido de las
comunicaciones IP para detectar y eliminar segmentos de cdigo de
softwares potencialmente daino en base a reglas predefinidas. Este
software conocido tambin como cdigo malicioso, puede estar presente
en un mensaje de correo electrnico, en pginas web de reputacin
dudosa y sistemas de mensajera instantnea como redes de distribucin
de contenidos peer-to-peer. El impacto de la accin no controlada del
cdigo malicioso sobre nuestra informacin va desde horas de trabajo
perdidas, informacin sustrada, fraude, prdida de productividad, hasta
la falta de disponibilidad de servicios y sistemas que son la base del
negocio de una organizacin.
Caractersticas:

Sistemas basados en software o appliance de uso especfico.

Complementa

las

funciones

de

un

firewall

de

los

detectores/previsores de intrusin, sin afectar el desempeo de la

red y sus servicios.

Configuracin flexible: si estn instalados detrs del firewall,

actan como pasarela de todas las comunicaciones, y si estn

68

instalados directamente en los servidores, revisan el contenido de

correos y archivos

Gestionable desde una consola grfica centralizada sea local o

remotamente

Actualizacin automtica de patrones de virus, troyanos y motores

de bsqueda sin intervencin del personal de la organizacin

Ofrecen proteccin total desde el servidor hasta el escritorio del

usuario.

Solucin: La deteccin y eliminacin de cdigo malicioso incluye:

Filtros de URL.

Proteccin contra cdigo malicioso (anti-virus, anti-spam, antiadware, anti- spyware).

Sistemas de encriptacin y VPNs.

Recomendaciones: Utilizar la infraestructura para la seguridad de sus

sistemas de informacin el cual van a contemplar el diseo, seleccin y
provisin hasta la implementacin de los equipos especializados
destinados a proteger la informacin transmitida a travs de redes de
datos como: Intranet, Extranet e Internet.
A Nivel Regional
La institucin Senati se preocupa en proteger su informacin, es por tal
motivo que se ha vuelto de vital importancia protegerla contra posibles
intrusos externos e internos. Para ello existen una serie de herramientas
tecnolgicas que ayudan a prevenir y denegar el acceso a nuestros sistemas
de informacin.
Cosapi Data, en alianza con varias empresas lderes en seguridad, cuenta
con las herramientas adecuadas para cubrir todos los frentes donde podra

69

haber posibles puertas abiertas" y esta informacin valiosa de la empresa

pueda exponerse a ser hackeada, contaminada con virus, etc. Tenemos
actualmente soluciones como Firewalls, Antivirus Perimetral, Antirelay
Prevencin de Intrusos, Antivirus de red, Optimizacin de redes, Antispams
inteligentes, Filtros de contenidos, entre otros. Todos ellos en una solucin
nica de HW y SW as como la consultora para definir la poltica de la
seguridad informtica.
Security Solutions (Soluciones de Seguridad) que consiste en crear las
soluciones de seguridad ms avanzadas de Microsoft para proteger los
activos de informacin del cliente. Ejemplos de las soluciones incluyen:
Administracin de la seguridad y operaciones, VPN y permetro
inalmbricos y seguros, Administracin de identidades y del acceso. Es
decir la solucin que obtiene es brindar informacin de manera integral a
los clientes.
A Nivel Local
Firewalls Proxys de Banco Wiese Sudameris (2005):
En el banco Wiese Sudameris implementaron tanto los Firewalls como los
proxys puesto que son utilizados en sus redes para controlar el trfico de
datos y las conexiones realizadas entre el interior de la red y el exterior.
Actualmente el Banco Wiese Sudameris cuenta con un total de 125
sucursales en todo el Per. El Banco Wiese Sudameris inici desde su
fusin un proceso de reorganizacin que llev a cabo cambios
estructurales profundos para lograr mayores eficiencias operativas.
El Banco racionaliz y redistribuy las funciones del personal, integr y
mejor los sistemas operativos, cre nuevos productos y un nuevo modelo
de negocios, con una nueva forma de medir y evaluar los resultados de las

70

diferentes bancas y una nueva forma de controlar y hacer seguimiento al

presupuesto.
Todas estas medidas han hecho que el Banco Wiese Sudameris est
preparado para atender las necesidades del mercado peruano de una forma
oportuna y eficiente.
Objetivo Principal: Consiste en filtrar estos datos por motivos de
seguridad y aumento de velocidad de la red.
Tanto un firewall como un proxy pueden ser elementos Hardware o
Software, es decir, pueden ser mquinas diseadas y dedicadas
nicamente para esta funcin o bien ser servidores en los cuales se ejecuta
software para controlar el trfico de la red, pudiendo ofrecer tambin otros
servicios.
Un firewall revisa todos los paquetes que se envan entre el exterior y el
interior de nuestra red bloqueando aquellos que sean sospechosos o que
puedan comprometer la seguridad de la red segn unos criterios
establecidos por el administrador. Es decir, los firewalls son elementos
instalados a fin de aumentar la seguridad. Un proxy tiene como finalidad
acelerar la velocidad de la red actuando como una cach intermedia entre
el interior y el exterior de la red.
Beneficio: el beneficio que se trae al banco es un producto especialmente
diseado para controlar el trfico que sale o entra de su red, aportando
seguridad y velocidad a la misma Acta a la vez como un proxy y un
firewall. Implementa una cach interna que acelera las conexiones de la
red y a la vez controla las conexiones que se realizan.

Mayor Productividad, Menores Costos:

Como resultado de la implantacin del

Proyecto, se ha obtenido un ahorro de costos del orden del 25% al

71

integrarse los datos a travs de la convergencia de la Red, con una

administracin centralizada, y con una mejora importante en el
desempeo de la red WAN.

3.4. DEFINICIONES DE TRMINOS

Redes
Segn Andrew S. Tanenbaum; 2002: Una red consiste en dos o ms
computadoras unidas que comparten recursos como archivos, CD-Roms
o impresoras y que son capaces de realizar comunicaciones electrnicas.

Las redes estn unidas por cable, lneas de telfono, ondas de radio,
satlite, etc.

Seguridad
Segn Nacho Rojo 2005: Es una manera de asegurar que solamente los
usuarios autorizados pueden acceder a los archivos compartidos.

Poltica de seguridad
Segn Rafael Fernndez Calvo 2003:
a) Conjunto de reglas para el establecimiento de servicios de
seguridad.
b) Conjunto de reglas establecidas por la Autoridad de seguridad que
gobiernan el uso y suministro de servicios de seguridad y las
instalaciones seguras.

Cortafuegos (Firewall)

72

Segn Rafael Muiz Gonzlez 2001: Un cortafuegos, es un elemento

de hardware o software utilizado en las redes para prevenir algunos
tipos de comunicaciones prohibidas por las polticas de red, las cuales se
fundamentan en las necesidades del usuario.
La configuracin correcta de cortafuegos se basa en conocimientos
considerables de los protocolos de red y de la seguridad de la
computadora. Errores pequeos pueden dejar a un cortafuego sin valor
como herramienta de seguridad.
Suele utilizarse en las grandes empresas para limitar el acceso de
Internet a sus empleados as como para impedir el acceso de archivos
con virus.

Cortafuegos Personales (Firewall Personal)

Segn Luis Ventura Ruiz 2000: Los cortafuegos personales son
programas que se instalan de forma residente en nuestra computadora y
que permiten filtrar y controlar la conexin a la red. En general
necesitan un conocimiento adecuado de nuestra computadora, pues en la
actualidad son muchos los programas que realizan conexiones a la red y
que son necesarios. Suele emplearse en ordenadores domsticos con
conexin directa a internet. Es por ello que no son recomendables para
usuarios inexpertos ya que podran bloquear programas necesarios
(incluso hasta la propia posibilidad de navegacin por Internet), aunque
siempre se tenga a mano la posibilidad de desactivarlos.

Proxy
Segn Daniel Ramn Elorreaga Madrigal 2000: Un proxy es un
programa que permite o niega el acceso a una aplicacin determinada

73

entre dos redes. Los clientes proxy se comunican slo con los servidores
proxy, que autorizan las peticiones y las envan a los servidores reales, o
las deniegan y las devuelven a quien las solicit.
Sistema informtico cuya misin es hacer de intermediario entre un
sistema y otro a travs de internet. Entre las misiones de un proxy estn
acelerar el acceso a internet, filtrar los contenidos a los que se ha
accedido y proteger los sistemas evitando su comunicacin directa.

Virus
Segn Fred B. Cohen, 1994: El tipo ms conocido de cdigo
malicioso. Programa que se copia dentro de otros programas e intenta
reproducirse el mayor nmero de veces posible. Aunque no siempre es
as, la mayora de las veces el virus, adems de copiarse, altera o
destruye la informacin de los sistemas en los que se ejecuta.

Espas Maliciosos - Spyware:

Segn Edwin E. Guillermo R. 2001: Los programas espa o spyware
son

aplicaciones

maliciosas

engaosas

que

se

instalan

inadvertidamente junto con otros programas descargados por el usuario.

Este tipo de programas pueden ejecutar distintas acciones: algunos se
dedican a recopilar informacin del sistema en el que se encuentran
instalados para enviarla a travs de internet; otros se dedican a mostrar
continuamente publicidad no deseada o a modificar las pginas
visualizadas para incluir enlaces no existentes en el original. Todas estas
acciones se enmascaran tras confusas autorizaciones, por lo que rara vez
el usuario es consciente de ello.

74

CAPTULO IV.
75

MARCO
METODOLGICO

4.1. LA METODOLOGA OSSTMM

Para realizar este proyecto se adoptara El Manual de la Metodologa Abierta de
Comprobacin de la Seguridad (OSSTMM, Open Source Security Testing
Methodology Manual) el cual es el estndar ms completo existente en la actualidad
con una metodologa para la verificacin de la seguridad de los sistemas y las redes
que disponen de una conexin a Internet.
Esta Metodologa describe las fases que habra que realizar y actualmente se
compone de las siguientes fases:
Seccin A - Seguridad de la Informacin
1. Revisin de Privacidad
2. Recoleccin de Documentos

76

 Seccin B - Seguridad de los Procesos

1. Testeo de Solicitud
2. Testeo de las Personas Confiables
Seccin C - Seguridad en las tecnologas de Internet
1. Exploracin de Red
2. Revisin de Privacidad
3. Obtencin de Documentos
4. Bsqueda y Verificacin de Vulnerabilidades
5. Enrutamiento
6. Testeo de Control de Acceso
7. Testeo de Deteccin de Intrusos
8. Descifrado de Contraseas
9. Testeo de Denegacin de Servicios
10. Evaluacin de Polticas de Seguridad

A continuacin la grafica de la Metodologa OSSTMM:

GRFICO N 03: Metodologa OSSTMM

4.1.1. Seccin A - Seguridad de la Informacin

77

1. Revisin de Privacidad
La revisin de privacidad es el punto de vista legal y tico del
almacenamiento, transmisin y control de los datos basados en la
privacidad del cliente y del empleado. El uso de estos datos es la
preocupacin de muchas personas privadas y la legislacin no da reglas
especficas considerando la privacidad.

1. Comparar pblicamente la poltica accesible con la

prctica

actual.
2. Comparar la practica actual con el fraude regional y las leyes de
privacidad o cumplimiento.
3. Identificar el tipo y tamao de la base de datos para el
almacenamiento de los datos.
4. Identificar los datos conseguidos por la organizacin.
5. Identificar la ubicacin de almacenamiento de los datos.
6. Identificar los tipos de cookies.
7. Identificar las fechas de expiracin de las cookies.
8. Identificar la informacin almacenada en las cookies.
9. Verificar los mtodos de encripcin de la cookie.
10. Identificar la ubicacin del servidor de errores del web.
2. Recoleccin de Documentos
En este modulo es importante la verificacin de la informacin testeada y
perteneciente a varios niveles de lo que se considera seguridad de la
informacin. La cantidad de tiempo otorgado para la bsqueda y
extraccin de la informacin es dependiente del tamao de la
organizacin, el mbito del proyecto, y de la longitud de tiempo planeado
para el test. No obstante, mucho tiempo no siempre significa ms

78

informacin pero puede eventualmente llevar a partes claves del

rompecabezas de la seguridad.

1. Examinar las bases de datos web y los caches pertenecientes a

objetivos y personal clave de la organizacin.
2.

Investigar personas claves va pginas personales, curriculums

publicados,

afiliaciones

organizacionales,

informacin

de

directorios, datos de compaas, y el registro electoral.

3. Recopilar direcciones de email de la organizacin y direcciones
personales de personas claves.
4. Buscar en las bases de datos laborales por niveles tecnolgicos
requeridos necesarios que tiene la organizacin.
5. Buscar en los grupos de noticias referencias y publicaciones de la
organizacin y personas claves.
6. Buscar en los documentos cdigos ocultos o revisiones de datos.
7. Examinar referencias y personas claves.

4.1.2. Seccin B - Seguridad de los Procesos

1. Testeo de Solicitud
Este es un mtodo de obtener privilegios de acceso a una organizacin y
sus activos preguntando al personal de entrada usando las comunicaciones
como un telfono, e-mail, chat, boletines, etc desde una posicin
privilegiada fraudulenta. El personal de entrada son quienes tienen la
autoridad para dar privilegios de acceso a otros.

79

1. Seleccionar una persona de entrada desde la informacin ya

obtenida sobre el personal.
2. Examinar los mtodos de contacto con la persona de entrada desde
el objetivo de la organizacin.
3. Obtener informacin acerca de la persona de entrada (posicin,
hbitos, preferencias).
4. Contactar la persona de entrada y solicitar informacin desde una
autoridad o posicin privilegiada.
5. Obtener informacin desde la persona de entrada.
6. Enumerar cantidad de informacin privilegiada obtenida.
2. Testeo de las Personas Confiables
Este es un mtodo de usar la posicin de confianza tales como las de un
empleado, vendedor, socio o hija de un empleado para inducir a la persona
interna a la revelacin de informacin concerniente a la organizacin
objetivo.
Este modulo puede ser realizado mediante cualquier forma de
comunicacin o en persona.

1. Seleccionar una persona o personas a partir de la informacin

ya

obtenida sobre el personal

2. Examinar los mtodos de contacto a las personas de la
organizacin objetivo
3. Contactar a la persona interna desde una posicin de

80

confianza

4. Obtener informacin de la persona interna

5. Enumerar los tipos y cantidad de informacin privilegiada
obtenida

4.1.3. Seccin C - Seguridad en las tecnologas de Internet

1. Exploracin de Red
El sondeo de red sirve como introduccin a los sistemas a ser analizados.
Se podra definir mejor como una combinacin de recoleccin de datos,
obtencin de informacin y poltica de control.
Por lo tanto, el sondeo de red es simplemente una forma de empezar un
test; otra forma sera recibir el rango de direcciones IP a comprobar. En
este mdulo, no se realiza ningn tipo de intrusin directamente en los
sistemas, excepto en los sitios considerados un dominio cuasi-pblico.
Examinar pistas de la organizacin a analizar.
1. Inspeccionar los logs del servidor web y los logs de intrusin en
busca de eventos de los sistemas de la organizacin a analizar.
2. Inspeccionar mensajes de grupos de noticias y listas de
distribucin en busca de eventos de los sistemas de la organizacin
a analizar.
Filtracin de informacin
1. Examinar las cabeceras de los correos electrnicos, los
mensajes devueltos y los destinatarios de las alertas y eventos
del sistema de los servidores.
2. Buscar informacin sobre la organizacin a analizar en los
grupos de noticias.
2. Revisin de Privacidad

81

La revisin de privacidad se centra en como se gestiona, desde un punto

de vista tico y legal, el almacenamiento, transmisin y control de datos
de informacin privada perteneciente a empleados y clientes.

Poltica:
1. Identificar la poltica de privacidad pblica.
2. Identificar el tipo y la localizacin de la base de datos donde se
almacenan los datos recolectados.
3. Identificar los datos recolectados por la organizacin.
4. Identificar la localizacin de los datos almacenados.
5. Identificar los tipos de cookies.
6. Identificar el tiempo de expiracin de las cookies.
7. Identificar la informacin guardada en las cookies.
3. Obtencin de Documentos
Este mdulo es importante para la verificacin de gran cantidad de la
informacin probada y pertenece a muchos de los niveles de lo que se
considera seguridad de la informacin.

1. Investigar personas claves va pginas personales, resmenes

publicados,

afiliacin

organizacional,

informacin

de

directorios, datos de compaas, y el registro electoral.

2. Recopilar direcciones de e-mail corporativas y personales de
las personas clave.

82

3. Buscar en bases de datos de trabajo conjuntos de perfiles

tecnolgicos requeridos por la organizacin objetivo.
4. Buscar en grupos de noticias referencias y mensajes
enviados desde dentro de la organizacin y por personas
claves de la organizacin.
5. Buscar documentos que contengan cdigos ocultos o datos de
revisin.
6. Examinar redes con referencias o envos desde

dentro de

la organizacin y por personas claves de la organizacin.

4. Bsqueda y Verificacin de Vulnerabilidades
La finalidad de este mdulo es la identificacin, comprensin y
verificacin de debilidades, errores de configuracin y vulnerabilidades en
un servidor o en una red. La bsqueda de vulnerabilidades utilizando
herramientas automticas es una forma eficiente de determinar agujeros
de seguridad existentes.

1. Intentar determinar vulnerabilidades por tipo de aplicacin

sistema.
2. Intentar ajustar vulnerabilidades a servicios.
3. Intentar determinar el tipo de aplicacin y servicio por
vulnerabilidad.
4. Realizar pruebas redundantes al menos con 2 escneres
automticos de vulnerabilidades.
5.

Identificar

todas

las

aplicaciones.

83

vulnerabilidades

relativas

las

6.

Identificar todas las vulnerabilidades relativas a los sistemas

operativos.

5. Enrutamiento
Las Protecciones de un Router son unas defensas que se encuentran a
menudo en una red donde se restringe el flujo del trfico entre la red de la
empresa e Internet.
Opera en una poltica de seguridad y usa ACL's (Access
Control Lists o Lista de Control de Acceso) que acepta o deniega
paquetes. Este mdulo est diseado para asegurar que solo aquello que
debe ser expresamente permitido, puede ser aceptado en la red; todo lo
dems debe ser denegado. La proteccin tambin debe estar diseada para
restringir el flujo de salida de ciertos tipos de trfico.

6. Testeo de Control de Acceso

El cortafuego controla el flujo del trfico de la red corporativa, e Internet.
Opera en una poltica de seguridad y usa ACL's (Listas de Control de
Acceso). Este mdulo est diseado para asegurar que solo lo que debe
estar expresamente permitido puede ser aceptado dentro de la red, todo lo
dems debe ser denegado.

84

Verificacin de la configuracin de las ACL

1. Testear la ACL del cortafuego en contra de las

polticas

de

seguridad y en contra de la regla "Denegar Todo".

2. Verificar si el cortafuego est filtrando el trfico de la red local
hacia afuera.
3. Verificar que el cortafuego est haciendo deteccin de direcciones
orgenes falsas.
7. Testeo de Deteccin de Intrusos
Este test est enfocado al rendimiento y susceptibilidad de un IDS. La
mayor parte de este test no puede ser llevada a cabo adecuadamente sin
acceder a los registros del IDS. Algunos de estos tests estn relacionados
con ataques de ancho de banda, saltos distantes, y latencia que afectan al
resultado de estos tests.

8. Descifrado de Contraseas
Descifrar las contraseas es el proceso de validar la robustez de una
contrasea a travs del uso de herramientas de recuperacin de
contraseas automatizadas, que dejan al descubierto contraseas dbiles
debido a factores humanos.

85

9. Testeo de Denegacin de Servicios

La Denegacin de Servicios es una situacin donde una circunstancia, sea
intencionada o accidental, previene el sistema de tal funcionalidad como
sea destinada. En ciertos casos, el sistema debe funcionar exactamente
como se dise, nunca fue destinado para manejar la carga, alcance, o
parmetros que abusen de ellos.

1. Comprobar las restricciones de sistemas expuestas a redes sin

confianza.
2. Verificar que los puntos de referencia estn establecidos a partir de
una actividad normal del sistema.
3. Verificar que los procedimientos estn en un lugar que responde
a una actividad irregular.
4. Verificar

la

respuesta

una

informacin

negativa

SIMULADA (ataques propaganda)

5. Testear cargas de red y de servidor excesivas.
10.

Evaluacin de Polticas de Seguridad

La poltica de seguridad resaltada aqu es el documento escrito legible
que contiene las polticas que delinean la reduccin de riesgos en una
organizacin con la utilizacin de tipos especficos de tecnologas.
1. Comparar la poltica de seguridad contra el estado actual de la
presencia en Internet.

86

2. Cerciorarse de que la documentacin est adecuadamente

almacenada, ya sea electrnicamente o en otros medios, y que la
poltica ha sido leda y aceptada por el personal incluso antes de
que ellos obtengan acceso a los sistemas informticos.

CAPTULO V.
SITUACIN ACTUAL
DE LA RED

87

5.1. Especificaciones Tcnicas de los Equipos

5.1.1. Municipalidad Provincial del Santa
Se ha extrado la informacin en el cual en estos momentos la Municipalidad
Provincial del Santa cuenta con una cantidad de recursos de hardware y otras
de software. La Municipalidad cuenta con nueve rganos en funcionamiento,
en el cual cada rgano cuenta con sus respectivas gerencias y a la vez estas
gerencias estn divididas en subgerencias. Las cuales cuentan con sus
respectivas computadoras, la Municipalidad trabaja bajo la plataforma
Windows. A continuacin se describe las reas con su respectiva cantidad de
computadoras y microprocesadores:

REA
Comercializacin
Registro Civil

Tesorera
Rentas
Tramite Documentado
Transportes

MICROPROCESADORES
Pentium I - 300 MHZ
Pentium III- 450 MHZ
Celeron - 500 MHZ
Pentium III - 450 MHZ
Pentium I -150 MHZ
Pentium II - 450 MHZ
Pentium III - 450 MHZ
Pentium IV - 1. 7 GHZ
Pentium III - 550 MHZ
Pentium III - 550 MHZ
Pentium III - 540 MHZ

88

UNIDA TOTAL
1
2
1
1
1
2
5
1
13
1
2

Mobiliario Municipales
Consultores de la UN
Participacin Vecinal
Planeamiento de control
Urbano
Desarrollo Urbano
Ejecutoria coactivos
Asesora legal
Desarrollo Vial
Mantenimiento y
infraestructura urbana
Departamento de liquidacin
Departamento de alumbrado
publico
Departamento de estudios
tcnicos
Racionalizacin
Fiscalizacin tributaria

rea de desarrollo social

Obras privadas

Planeamiento y presupuesto
rea de contabilidad

Oficina de control
rea de personal

Pentium IV - 2.4 GHZ

Pentium IV - 2.4 GHZ
Pentium III - 2.4 GHZ
Pentium III -450 MHZ
Pentium III - 550 MHZ
Pentium III- 1.2 GHZ
Pentium III - 450 MHZ
Pentium IV -2. 8 GHZ
Pentium III -1.0 GHZ
Pentium III -1.3 GHZ
Celeron - 300 MHZ
Pentium III - 550 MHZ
Pentium MMX-200 MHZ
Pentium IV - 2.3 GHZ
Pentium IV - 2.4 GHZ
Pentium IV - 2.4 GHZ
Pentium IV -2.7 GHZ

1
1
1
1
1
1
1
1
7
1
1
1
1
1
1
2
1

Pentium IV -1.7 GHZ

Pentium IV -2.4 GHZ

Pentium III - 450 MHZ
Pentium III - 450 MHZ
Pentium III - 600 MHZ
Pentium III - 800 MHZ
Pentium I -100 MHZ
Pentium I - 800 MHZ
Pentium III - 900 MHZ
Pentium III - 2.0 GHZ
Pentium I- 110 MHZ
Pentium I - 550 MHZ

6
1
1
1
1
1
1
1
1
1
1

Pentium IV -2.7 GHZ

Pentium III -1 10 MHZ
Pentium IV -2. 7 GHZ
Pentium I -100 MHZ
Pentium III - 2.0 GHZ
Pentium IV - 2.4 GHZ
Pentium IV -2. 8 GHZ
Pentium III - 200 MHZ
Pentium III - 450 MHZ
Pentium III -1.0 GHZ
Pentium III - 450 MHZ
Pentium III - 550 MHZ
Pentium III -1.0 GHZ
Pentium III - 2.4 G MHZ
Pentium III - 450 MHZ

1
1
3
1
1
3
1
1
1
3
1
1
2
1
2

89

Logstica

Pentium III -1.0 GHZ

Pentium IV - 2.4 GHZ
Pentium IV -2. 8 GHZ
Pentium IV - 2.8 GHZ
Pentium IV -2. 8 GHZ
Pentium II - 200 MHZ
Pentium III -1.7 GHZ
Pentium III -1.0 GHZ
Pentium III -1.4 GHZ

Catastro
Imagen institucional
Alcalda
Secretaria general

1
2
1
11
2
1
1
1
1

Total de estaciones de trabajo

TABLA N 01: Equipos distribuidos en cada rea

5.1.2. Ubicacin de Software

Los siguientes cuadros detallan parte del

software con que cuenta la

Municipalidad Provincial del Santa en sus principales reas:

REA
Sub-Gerencia de Sistemas

Soporte tcnico

Comercializacin

90

NECESARIO
Microsoft Windows NT Workstation
Microsoft Windows NT Server
Microsoft Windows 98
Microsoft Office
Power builder 6.5, 8.0, 9.0
Microsoft Internet Explore 5.0
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Anywere
Microsoft SQL Server
Sistemas integrados de aplicaciones
ero 5.5.9
otros
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Driver para lan's
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0

Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Sistemas de registro civil
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Sistemas de ventanilla
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
SIAF
Sistema de rentas
ero 5.5.9
Microsoft Windows 98

Registros civiles

Tesorera

rea de rentas

Transportes

Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Sistema de transporte

Tramite documentado

Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
rea de ejecutoria coactivos Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Sistema de coactivos
Instaladores y recuperadores de archivo
Control urbano
Microsoft Windows 98
Microsoft Office

91

Desarrollo urbano

Consultores de la UN

Participacin vecinal

Inmobiliarias municipales

Asesora legal

Hacker 5.7 antivirus

Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Autocad 2000
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Autocad 2000
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Juegos
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
SAG
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Sistema de transporte
Microsoft Windows 98
Microsoft Office

Desarrollo vial

92

Mantenimiento y
infraestructura urbana

Hacker 5.7 anti virus

Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Autocad 2000
Juegos
Departamento de liquidacin Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Departamento de alumbrado Microsoft Windows 98
Microsoft Office
publico
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Departamento de estudios
Microsoft Windows 98
Microsoft Office
Tcnicos
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Autocad 2000
Diseador y planeacion
Racionalizacin
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Fiscalizacin tributaria
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Sistema de rentas
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Desarrollo social
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Obras privadas
Winzip 8.0

93

Desarrollo econmico

Presupuesto y planeamiento

rea de contabilidad

Oficina de control

rea de personal

rea de logstica

Catastro

94

Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Sistema de contabilidad
ero 5.9.9
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
GASU
Software de actualizacin
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Anywere cliente
Autocad 2000
Microsoft Windows NT Server
Microsoft Windows 98
Microsoft Office
Power builder 9.0
Microsoft Internet Explore 5.0
Hacker 5.7 antivirus

Winzip 8.0
Winamp 3.0
Microsoft SQL Server
Sistemas integrados de aplicaciones
ero 5.5.9
Otros
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Corel 9.5
Grafcadotes y software de diseo grfico
Macromedia MX 2004
Microsoft Windows 98
Microsoft Office
Hacker 5.7 antivirus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0
Microsoft Windows 98
Microsoft Office
Hacker 5.7 anti virus
Winzip 8.0
Winamp 3.0
Microsoft Internet Explore 5.0

Imagen institucional

Alcalda

Secretaria general

TABLA N 02: Ubicacin de Software

5.1.3. Distribucin de los Equipos de Comunicaciones
REA
Sistemas

EQUIPOS
Switch
Switch
Router
Comercializacin
Hub
Rentas
Switch
Tramite Documentario Hub
Planeamiento y Control Switch
Ejecutoria coactiva
Switch
Obras Privadas
Switch
Planificacin
y Switch
Presupuesto
Bienestar Social
Switch
rea de Catastro
Switch

95

PUERTO
24
12
4
12
24
16
24
24
24
24

MBPS
10/100 M
10/100 M
10/1 00 M
10/100 M
10/100 M
10/100 M
10/100 M
10/100 M
10/1 00 M

UNID TOTAL
1
1
1
1
1
1
1
1
1
1

24
24

10/1 00 M 1
10/100 M 1

Total de Equipos
12
TABLA N 03: Equipos de Comunicaciones
5.1.4. Distribucin de los Servidores
REA
MICROPROCESAD UNID
Sistemas
Pentium IV - 2.4 GHZ 2
Total de Servidores

TOTAL
2

TABLA N 04: Distribucin de Servidores

5.2.

Arquitectura Fsica de la Red Actual de la Municipalidad

Provincial del

Santa

96

GRFICO N 04: Arquitectura Fsica de la Red Actual de la Municipalidad Provincial del Santa

97

5.3. Distribucin de la Red por reas

GRFICO N 05: rea de Contabilidad

98

GRFICO N 06: rea de Logstica

99

GRFICO N 07: rea de Comercializacin

100

GRFICO N 08: rea de Caja / Tesorera

101

GRFICO N 09: rea de Planeamiento y Presupuesto

102

GRFICO N 10: rea de Fiscalizacin

103

GRFICO N 11: rea de Registro Civil

104

GRFICO N 12: rea de Coactivos

105

CAPTULO VI.
PROPUESTA DE
SOLUCIN

106

6.1. Requerimientos del Proyecto

6.1.1. Equipos de Cortafuegos

Nodo Principal

tem
01
02

Descripcin
Firewall Tipo Hardware
Software para Servidor Proxy
TABLA N 05: Equipos de Cortafuegos

Software
Tambin es importante implementar un Firewall tipo software para que
asegure los datos e informacin de las computadoras.
Item
01

Descripcin
Firewall Tipo Software

TABLA N 06: Equipos de Cortafuegos

6.2. Estudio de Factibilidad

Se determina si es posible realizar o no el proyecto en trminos tcnico, operativo y
econmico.
6.2.1. Factibilidad Tcnica
El proyecto es, desde el punto de vista tcnico es realizable, ya que estn a
disposicin en La Municipalidad Provincial del Santa Chimbote lo cual

107

podra tenerse en cuenta para la implementacin del proyecto con excepcin

del software para implementar en el servidor el Proxy y Firewall.
Adems existe en la actualidad el personal tcnico capacitado para manejar
los equipos que requerir la red.
Entre los equipos podemos resaltar:
o Switch
o Router
o Estructura de red
Entre los servicios tenemos:
o Lnea dedicada
o Internet
Es importante por que al contar con estos equipos a dispocision va a permitir
aminorar o disminuir los gastos puesto que ya no se invertira en estos
equipos y servicios.
Es importante la caracterstica de movilidad de los equipos entre
puntos de la red ya que se obvia todo el proceso de configuracin de
equipos. Obtener el mayor provecho de la tecnologa actual.
Se contara con una mayor disponibilidad y seguridad de los datos e
informacin.
6.2.2. Factibilidad Operacional
La implementacin de Cortafuegos como el Firewall y el Proxy para la
seguridad de la red solucionara mltiples inconvenientes que en la actualidad
se presentan con el manejo de la informacin puesto que hay perdidas e
infecciones de virus en el sistema, por lo que se garantiza que el personal que

108

labora en stas reas, tendr la informacin que maneja mas segura el cual se
dar al momento de ser implementada.
Mayor seguridad por parte del personal con el manejo de la informacin.
Se permite realizar actualizaciones constantes y confiables de las nuevas
y mejoradas versiones de los cortafuegos para mayor seguridad del
personal y de los datos.
El personal recibir la debida capacitacin o informacin necesaria para
que respeten las polticas de seguridad que se van a implantar con
respecto a la seguridad de la red.
6.2.3. Factibilidad Econmica
El costo que genera el diseo de una red segura que proponemos es referente
a lo que se requiere a implementar: Cortafuegos (firewall y proxy), ya que el
resto de los equipos y servicios dan soporte a la implementacin del diseo de
una red segura estn a disposicin en la Municipalidad Provincial del Santa Chimbote.

6.3. Anlisis de Costo / Beneficio

6.3.1. Costos de Elaboracin de Proyectos

Equipos de Cortafuegos: Nodo Principal

EQUIPOS NODO PRINCIPAL

Descripcin
Cantidad
Precio Uni

Item
01

Firewall Tipo Hardware

01

1500

02

Software para Servidor

01

600

Precio Total
1 500
800

Proxy
TOTAL

109

$ 2 300

TABLA N 07: Costo de Equipos de Cortafuegos

Item
01

Software

SOFTWARE
Cantidad
01

Descripcin
Firewall Tipo Software

Precio Uni
150

Precio Total
$150

TOTAL

$ 150

TABLA N 08: Costo de Equipos de Cortafuegos

6.4. Personal
Este Proyecto esta realizado y calculado para una institucin en constante
crecimiento y desarrollo debido a la magnitud de publico que tiene que atender en sus
diversos servicios, la implementacin esta proyectada para ser culminado en 3
semanas, contados a partir del momento de la adquisicin de los equipos.

RESUMEN DE LOS COSTOS

Equipos de Cortafuegos

----------------

2 450.00

Costo Mantenimiento Correctivo ----------------

20.00

Personal

700.00

3 170.00

----------------

Total Proyecto

6.5. Beneficios

110

Segn los datos obtenidos del rea de Sistemas y Estadstica, las horas de trabajo
mensual que se pierden por rea es a causa de la falta de seguridad en la red lo cual
se ver a continuacin:
rea / Mes
Septiembre
Logstica
18
Contabilidad
21
Registro Civil
6
Coactivos
18
Sistemas
24
Tesorera
30
Rentas
30
Comercializacin
9
Gerencia
12
Fiscalizacin
9
Alcalda
3
Secr. General
9
Total
189

Octubre
15
21
6
15
24
32
28
9
12
9
3
9
183

Noviembre
18
21
8
18
24
30
30
9
12
9
3
9
191

Diciembre
15
21
7
18
24
30
30
9
12
9
3
9
187

Resumen de prdidas econmicas por mes segn los datos obtenidos anteriormente.
Costo por hora de trabajo es S/. 1.91
Septiembre
360.99

Octubre
349.53

Noviembre
364.81

Diciembre
357.17

Promedio de Costo Mensual = S/. 358.13 ($ 103.80)

Calculando Beneficios Mensual= $ 103.80 - $ 20 = $ 83.80
Calculando Beneficios Anual = $ 83.80 x 12 = $ 1005.6

FLUJO DE CAJA
DESCRIPCION

0(aos)

1(aos)

111

2(aos)

3(aos)

4(aos)

5(aos)

1. Costo de Desarrollo
Equipo Nodo
Principal
Software
2. Costo

2 300.00
150.00
100.00

100.00

100.00

100.00

100.00

1005.60

1005.60

1005.60

1005.60

1005.60

1005.60

1005.60

1005.60

1005.60

1005.60
1000.00

905.60

905.60

905.60

905.60

1905.60

Mantenimiento
Preventivo
BENEFICIOS
Reduccin de horas de
trabajo perdidas
BENEFICIO TOTAL
VALOR DE
RESCATE
FLUJO NETO

2 450.00

TABLA N 09: Flujo de Caja

Hallando VAN
i = 20%
Vp1 = 905.60 / (1.2)1 = 754.67
Vp2 = 905.60 / (1.2)2 = 628.89
Vp3 = 905.60 / (1.2)3 = 524.07
Vp4 = 905.60 / (1.2)4 = 436.72
Vp5 = 1 905.60 / (1.2)4 = 765.82
Vpt = 3 110.176 2 450.00
VAN = 660.176
Hallando PRI
Van Promedio = $ 3 110.176 / 5
Van Promedio = $ 622.20
PRI

= 2 450.00 / 622.20

112

PRI

3.94 aos

PRI

= 3 aos, 11 meses y 8 das.

6.6. Diseo Fsico

En la Municipalidad Provincial del Santa
La red de la Municipalidad se conectara a un router el cual se conectara a un
Firewall, en el cual Firewall se conectar de frente con Internet (Lnea Dedicada).
Para que permita realizar las transferencias de datos o de informacin de una manera
ms segura. El Proxy se implementara como software en el servidor de la red de la
Municipalidad.

113

GRFICO N 13: Arquitectura Fsica de la Red Propuesta de la Municipalidad Provincial del Santa

114

6.7. Diseo Lgico

Las reas que contarn con la implementacin de cortafuegos sern las reas
principales como el de Logstica, Contabilidad, Registro Civil, Coactivos,
Sistemas, Tesorera, Rentas, Comercializacin, Gerencia, Fiscalizacin,
Alcalda, Secretaria General. Para contar con la debida seguridad se emplear
cortafuegos como hardware, para impedir el acceso a personas no autorizadas a
dicha informacin o evitar la infeccin de virus u otro agente malicioso.

Se considera apropiado emplear cortafuegos que sean adaptables al Sistema

Operativo Microsoft Windows 98/XP, puesto que son los ms empleados en
dichas reas.
Cada computador de las reas mencionadas anteriormente contarn tambin
con sus respectivos cortafuegos (antivirus) para as evitar cualquier problema,
en lo que respecta virus u otros, que se pueda presentar en una transferencia de
datos y/o informacin.
Se tiene que dar el debido mantenimiento a la red para verificar que los
cortafuegos implementados realicen su trabajo de la manera correcta.

115

CAPTULO VII.
RECOMENDACIONES
Y CONCLUSIONES

116

CONCLUSIONES

La municipalidad no cuenta con la debida implementacin de los cortafuegos

por lo tanto esta expuesta a los diversos ataques de virus o agentes
maliciosos infectando la red, extrayendo as informacin y/o datos
confidenciales

por

tal

motivo

en

este

proyecto

se

consider

la

implementacin de cortafuegos.
El diseo de una Red basndose en Cortafuegos se realiz con el objetivo
de proporcionar una propuesta para que la red de la municipalidad este
protegida de cualquier agente malicioso y de sta manera la informacin que
se transmite llegue a su destino completa y no infectada de virus.
El de no contar con los debidos cortafuegos se debe a causa del factor
econmico

puesto

que

los

altos

mandatarios

limitan

la

ayuda

correspondiente para el mejoramiento de la red de la Municipalidad.

El diseo de la red propuesta basada en cortafuegos es una tecnologa que
se adapta a las necesidades de la municipalidad como es en el caso de la
seguridad de su red.

117

RECOMENDACIONES

Efectuar este proyecto respetando la tecnologa seleccionada, como se

sigue en el desarrollo de este proyecto, el cual va a permitir traer beneficios
a la organizacin tanto en la seguridad de sus datos, transferencias,
accesos no permitidos o privados, etc.
Se debe realizar un debido manual de pautas y procedimientos para el
respectivo funcionamiento de la tecnologa implementada.
Realizar las debidas capacitaciones al personal que labora en dicha
organizacin y actualizar debidamente los cortafuegos, para que tanto su
adaptacin como seguridad sean cada vez mejor.
Realizar las respectivas evaluaciones peridicamente para ver si
cumple con los objetivos trazados.

118

se

BIBLIOGRAFIA

A. Textos o Libros

Castejn Elvira

Elorreaga M. Daniel R. Proxy y Seguridad en Internet

La Caixa" Barcelona 2001.

Editorial Mc Graw Hill Segunda Edicin 2000.

Fernndez C. Rafael

Asociacin de Tcnicos de Informtica

Editorial Paraninfo Tercera Edicin 2003.

Guillermo R. Edwin E.

Espas 2001.

Herzog Peter V.

Manual de la Metodologa Abierta de

Comprobacin de la Seguridad
OSSTMM 2003.

Martnez, F.

Investigacin y Nuevas Tecnologas de la

Comunicacin en la Enseanza: El futuro
inmediato. Pixel Bit, 2, 3-17; 1994.

Muiz G. Rafael

Cortafuegos
Editorial Tecnos 1 edicin 2001.

Quinez Keller Ral

Seguridad en las Redes: Hackers,

Crackers y Piratas 2005.

Rojo Nacho

Metodologa de la Seguridad en la Red 2

edicin, Oxford, Mxico 2005.

119

Salinas, J.

Telemtica y Educacin: Expectativas y Desafos.

Comunicacin y pedagoga, 151, 8-16; 1998.

Schmitz Oscar Andrs

Principios bsicos de Seguridad de la

Informacin 2000

Tamayo y Tamayo Mario Metodologa formal de la investigacin cientfica,

16 reimpresin, Limusa Noriega Editores,
Mxico, 2002

Tanenbaum Andrew

Redes de Computadoras Prentice Hall

Hispanoamericana, S. A.; 2002; Tercera Edicin.

Ventura Ruiz Luis

Security for Computer Networks"

Limusa Noriega Editores, Mxico 2000.

Verdejo lvarez Gabriel

Ataques en las Redes 2004.

B. Portales de Internet

http://www.telefonica.com.pe/empresas/esolutions/SG_index.shtmlSeguridad
de Redes.

http://www.inei.gob.pe/web/metodologias/attach/lib611/0300.HTMSeg
uridad en Redes.

http://www.hacksoft.com.pe/seguridad/index_archivos/Page341.htm.
Hacksoft NetSec Seguridad Informtica & Redes.

http://dc.inictel.gob.pe/telecom/PostGrado/PostGrado3/pg3_curso_09.htm.
Seguridad de Redes.

http://www.microsoft.com/spanish/MSDN/estudiantes/redes/seguridadredes/
default.asp. Seguridad en Redes de Comunicaciones.

120

http://www.microsoft.com/spanish/MSDN/estudiantes/redes/seguridadredes/fi
rewalls.asp. Firewalls - Proxys.

http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf Manual de
Seguridad de Redes.

http://www.clcert.cl/consejos.jsp?id=4.

http://www.consumer.es/web/es/tecnologia/software/2004/12/22/114181.php.

ANEXOS.

121

122