Documentos de Académico
Documentos de Profesional
Documentos de Cultura
iesgos, Políticas y
Herramientas de
Seguridad en Redes
Edwin Montoya n
• 69 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
• 70 •
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
un sistema de seguridad, el cual incorpora Aunque son varios los elementos que
herramientas de criptografía, cortafuegos conforman un sistema informático, es la
(Firewalls), monitoreo, auditoría y hasta INFORMACIÓN el recurso más preciado sobre
esquemas proactivos que permita adelan- el cual se enfoca todos los esfuerzos para
tarse a los ataques y prevenirlos. asegurar un nivel aceptable de seguridad. Por
esto, se definen los objetivos básicos de la
Es responsabilidad de los diseñadores y seguridad de la información:
administradores de los sistemas compu-
tacionales, proveer la suficiente garantía
1. Confidencialidad: Asegurar que la infor-
y confiabilidad que permita operar en
mación no esté expuesta o revelada a
las mejores condiciones y lograr un
funcionamiento continuo de los sistemas personas no autorizadas.
bajo el mejor clima de confianza de los 2. Integridad: Asegurar consistencia de los
usuarios, garantizando el respeto por datos, en particular prevenir la creación,
niveles adecuados de confidencialidad e alteración o borrado de datos de entidades
integridad de la información que se
no autorizadas.
procesa.
3. Disponibilidad: Asegurar que los usuarios
legítimos no obtengan acceso denegado a su
información y recursos
El objetivo de este artículo es mostrar los
4. Uso legítimo: Asegurar que los recursos no
peligros o amenazas que poseen los sistemas,
sean usados por personas no autorizadas o
cómo diseñar políticas adecuadas de seguridad
en formas no autorizadas.
y las herramientas disponibles para implantar
proyectos de seguridad, en los cuales las
Para soportar estos objetivos se definen las
técnicas de criptografía para el montaje
Políticas de Seguridad que regirán en nuestro
de servicios acompañados con cortafuegos
dominio de seguridad. Estas políticas deben ser
y otros elementos, ayudan a ofrecer servicios
definidas en varias categorías: acceso físico,
seguros aún en ambientes hostiles como
seguridad en la comunicación, computadoras,
el de Internet.
sistemas operativos, bases de datos, aplica-
1. AMENAZAS Y ATAQUES ciones, personal, ambiente natural, respaldos,
planes de contingencias, etc.
Para analizar el contexto de la seguridad
en redes, se define un Sistema Informático Una Amenaza es una persona, entidad, evento
como un conjunto de elementos hardware, o idea que plantea algún daño a un activo.
software, datos/información y personal que
hacen posible el almacenamiento, proceso y Un Ataque es una realización de una amenaza.
transmisión de la información con el objetivo
de realizar una determinada tarea. Todos Una Protección son los controles físicos,
estos elementos son susceptibles de ser mecanismos, políticas y procedimientos que
atacados y sobre ellos tenemos una serie de protegen los activos o recursos de las
amenazas. amenazas.
• 71 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
• 72 •
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
fundamentales. Por ejemplo si consideramos importar que pase por muchos sistemas
la amenaza fundamental de fugas de intermedios.
información podemos encontrar varias
amenazas subyacentes, tales como: Servicio de control de acceso: Protege contra
acceso no autorizado o manipulación de
Escuchar sin autorización recursos. Contribuye directamente a lograr las
Análisis de tráfico metas de seguridad de confidencialidad,
Indiscreción por personal
integridad, disponibilidad y uso legítimo. El
Reciclaje de medios.
modelo general para un control de acceso
asume un conjunto de entidades activas
Según estadísticas obtenidas, las siguientes
llamadas Sujetos (Iniciadores) los cuales
amenazas o tipos de ataque más predomi-
intentan acceder un miembro de un con-
nantes son:
junto de recursos pasivos llamadas Objetos
Violación con autorización (Destinos).
Suplantación
Sobrepasar los controles Servicio de confidencialidad: Protege que la
Caballos de Troya y puertas traseras. información sea divulgada o distribuida a
entidades no autorizadas. Se distinguen dos
2. SERVICIOS DE SEGURIDAD tipos de confidencialidad:
• 73 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
Servicio de no repudio: Protege que propicio para ser atacado, debido a que su
cualquiera de las dos entidades que participen código ha sido ampliamente difundido y
en una comunicación nieguen que el se conocen muchos detalles de su implemen-
intercambio ha ocurrido. A diferencia de los tación.
anteriores servicios, el objetivo de éste es
proteger a los usuarios de la comunicación
contra amenazas del otro usuario legítimo Una de las principales causas técnicas de
más que de atacantes. Cada una de las partes violaciones a sistemas informáticos son
generados por las fallas intencionales o
posee pruebas irrefutables ante desacuerdos
accidentales de los sistemas operacionales.
del origen o destino de los datos. Sin embargo
La mayoría de los sistemas operacionales
la provisión de este servicio debe considerar el comerciales y de dominio público presentan
concurso de una tercera parte que ambos altas deficiencias en su base de seguridad,
extremos de una comunicación confían. ya que no fueron diseñados con este
Podemos distinguir dos casos: objetivo como primordial sino que han sido
agregados como módulos independientes.
• 74 •
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
• 75 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
y servicios desea proteger, de tal manera que Una política de seguridad en un sitio es
esté preparado para conectar su red con el requerida para establecer a lo largo de la
resto del mundo. Esto implica el estudio y organización un programa de cómo usuarios
definición de los aspectos necesarios para la internos y externos interactúan con la red
planeación de la seguridad de la red, análisis de computadores de la empresa, cómo se
de riesgos, identificación de recursos y implementará la arquitectura de la topo-
amenazas, uso de la red y responsabilidades, logía de red y dónde se localizarán los
planes de acción o contingencia, etc.
puntos especiales de atención en cuanto
a protección se refiere.
3.1 DEFINICIÓN
Para lograr un efectivo control sobre todos los La definición de una
Una política de
componentes que conforman la red y asegurar política de seguridad de
seguridad es un con- que su conectividad a otras redes no es algo frágil,
red no es algo en lo
junto de leyes, reglas es necesario primero que todo establecer con
y prácticas que regu- que se pueda estable-
exactitud qué recursos de la red y servicios desea
lan cómo una organi- proteger, de tal manera que esté preparado para cer un orden lógico o
zación maneja, protege conectar su red con el resto del mundo. Esto secuencia aceptada de
y distribuye informa- implica el estudio y definición de los aspectos estados debido a que la
necesarios para la planeación de la seguridad de la seguridad es algo muy
ción sensitiva. Este
red, análisis de riesgos, identificación de recursos
documento se convier- subjetivo, cada negocio
y amenazas, uso de la red y responsabilidades,
te en el primer paso planes de acción o contingencia, etc. tiene diferentes expecta-
para construir barreras tivas, diferentes metas,
de protección efectivas. diferentes formas de
valorar lo que va por
Es importante tener una política de seguridad su red, cada negocio tiene distintos requeri-
de red efectiva y bien pensada que pueda mientos para almacenar, enviar y comunicar
proteger la inversión y recursos de infor- información de manera electrónica; por esto
mación de su compañía. Sobre todo es nunca existirá una sola política de seguridad
importante que la organización defina
aplicable a 2 organizaciones diferentes.
claramente y valore qué tan importantes
Además, así como los negocios evolucionan
son los recursos e información que se tienen
para adaptarse a los cambios en las
en la red corporativa y dependiendo de ésto
condiciones del mercado, la política de
justificará si es necesario que se preste la
seguridad debe evolucionar para satisfacer las
atención y esfuerzos suficientes para lograr un
condiciones cambiantes de la tecnología. Una
nivel adecuado de protección. La mayoría de
las organizaciones poseen información sensible política de seguridad de red efectiva es algo
y secretos importantes en sus redes, esta que todos los usuarios y administradores
información debería ser protegida contra el pueden aceptar y están dispuestos a reforzar,
vandalismo del mismo modo que otros bienes siempre y cuando la política no disminuya la
valiosos como propiedades de la corporación capacidad de la organización, es decir la
y edificios de oficinas. política de seguridad debe ser de tal forma que
• 76 •
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
no evite que los usuarios cumplan con sus reflejado el sentir corporativo a cerca de los
tareas en forma efectiva. servicios de red y recursos que se desean
proteger de manera efectiva y que repre-
3.2 ¿POR QUÉ UTILIZAR POLÍTICAS sentan activos importantes para el normal
DE SEGURIDAD EN UN SITIO? cumplimiento de la misión institucional. Por
esto la política de seguridad debe cumplir con
Existen muchos factores que justifican ciertas características propias de este tipo de
el establecimiento de políticas de seguridad planes, como son:
para un sitio específico, pero los más deter-
minantes son: Debe ser simple y entendible (específica).
Debe estar siempre disponible.
Ayudan a la organización a darle valor a la Se puede aplicar en cualquier momento a la
información. mayoría de situaciones contempladas.
Es una infraestructura desde la cual otras Debe ser practicable y desarrollable.
estrategias de protección pueden ser desa- Se debe poder hacer cumplir.
rrolladas. Debe ser consistente con otras políticas
Proveen unas claras y consistentes reglas organizacionales.
para los usuarios de la red corporativa y su Debe ser estructurada.
interacción con el entorno. Se establece como una guía, no como una
Contribuyen a la efectividad y direccionan cadena a la cual se tenga que atar para
la protección total de la organización. siempre.
Pueden ayudar a responder ante reque- Debe ser cambiante con la variación
rimientos legales tecnológica.
Ayudan a prevenir incidentes de seguridad. Una política debe considerar las necesidades
Proveen una guía cuando un incidente y requerimientos de seguridad de todas las
ocurre. redes interconectadas como una unidad
Es una planeación estratégica del papel que corporativa.
juega la arquitectura de red al interior de
la organización. 3.4 DESARROLLO DE UNA POLÍTICA
Ayuda en la culturización de los usuarios DE SEGURIDAD
para el uso de servicios de red e inculca el
valor real que ellos representan. El objetivo perseguido para desarrollar
una política de seguridad de red oficial
3.3 CARACTERÍSTICAS DE corporativa es definir las expectativas de la
LAS POLÍTICAS organización acerca del uso de la red y definir
procedimientos para prevenir y responder a
Una política de seguridad es un plan incidentes de seguridad provenientes del cada
elaborado de acuerdo con los objetivos día más avanzado mundo de la comunicación
generales de la organización y en el cual se ve global.
• 77 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
• 78 •
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
• 79 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
• 80 •
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
lo que implica que ambas partes deben existentes son los llamados FIREWALLS o
conocer de antemano dicha clave. Es preci- barreras de protección, los cuales previenen
samente el hecho que ambas entidades deben los accesos indeseables hacia el interior de su
poseer la misma clave lo que ha generado red o a alguna porción de la misma.
desconcierto en estos sistemas, sin embargo
posee gran rapidez y combinado con Una red privada que lleva información sensi-
esquemas de clave pública representa una tiva entre computadores locales requiere de
fortaleza a los sistemas criptográficos medidas de seguridad propias para prote-
modernos. El sistema DES (Data Encription ger la privacidad e integridad del tráfico;
Standard) representa el estándar de mayor cuando tal red privada se conecta a otras
difusión para los sistemas simétricos. redes, o cuando se permite acceso telefónico
hacia el interior de la misma, los puntos de
En los sistema de clave pública, cada entidad conexión remotos, líneas telefónicas y otras
que participa en la comunicación posee un conexiones se convierten en extensiones de
par de claves, una que denomina Clave
la red privada que deben ser protegidas
Pública (Kpu) la cual es conocida por todos
apropiadamente. Por lo tanto es necesario
los usuarios de un dominio de seguridad y es
un sistema que provea mecanismos para
utilizada para cifrar los mensajes destinado al
reducir al máximo el riesgo de ataques
dueño de dicha clave pública; y posee otra
externos que puedan causar pérdida de
Clave Privada (Kpr) la cual es sólo cono-
información o daños en la integridad de
cida por el dueño de la clave y no hay
la red o ampliar las posibilidades de acceso
necesidad de transmitirla por ningún medio
no permitido; estos mecanismos deben
telemático. La robustez de este algoritmo
garantizar fuertes procesos de autenticación
consiste en que un mensaje cifrado con la
de usuarios, control de acceso y protección de
clave pública sólo puede ser descifrado con el
la integridad de datos sensibles en la red
poseedor de la clave privada que debe estar
privada o conjunto de redes.
bien custodiada por el dueño. Igualmente estos
algoritmos de clave pública son la base para
las técnicas de Firmas Digitales. Uno de los 5.1 ¿QUÉ ES UN FIREWALL?
esquemas más difundidos de clave pública es
el RSA (Rivest, Shamir y Adleman). Es un mecanismo para restringir acceso
entre la Internet y la red corporativa interna.
5. CORTAFUEGOS (FIREWALLS) Típicamente se instala un firewall en un
punto estratégico donde una red (o redes) se
La conectividad de una red privada conectan a la Internet. La existencia de un
corporativa a redes como Internet hace nece- firewall en un sitio Internet, reduce conside-
sario que haya mecanismos de seguridad que rablemente las probabilidades de ataques
permitan un alto grado de confiabilidad y externos a los sistemas corporativos y redes
protección de la información, para ello internas, además puede servir para evitar que
una de las más típicas y eficaces formas los propios usuarios internos comprometan la
• 81 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
seguridad de la red al enviar información Prevención ante los intrusos que tratan
peligrosa (como passwords no encriptados o de ganar espacio hacia el interior de
datos sensitivos para la organización) hacia el la red y los otros esquemas de defensas
mundo externo. establecidos.
Restricción de uso de servicios tanto a
Los ataques a sistemas conectados a Internet usuarios internos como externos.
que se están viendo hoy por hoy son más
serios y técnicamente complejos que en el Todo el tráfico que viene de la Internet o sale
pasado y la labor de proteger estos sistemas de la red corporativa interna pasa por el
tiene también que serlo, los firewalls son firewall de tal forma que él decide si es
mecanismos altamente apropiados para aceptable o no.
garantizar dicha protección. Aunque es
altamente recomendable la inclusión de éstos ¿Qué significa ser aceptable? Significa que
en un plan de seguridad de redes, los firewalls cualquier cosa que sea la que se esté haciendo
solamente son uno de los componentes, es (correo electrónico, transferencia de archivos,
conexiones remotas o cualquier clase de
también de vital importancia que se establezca
interacción específica entre sistemas) está
una política de seguridad en la que se observe
conforme a lo estipulado en la política de
claramente las tendencias de la organización
seguridad del sitio; las políticas de seguridad
referente a la seguridad informática y en la
son diferentes para cada sitio, algunas son
que se considere concretamente el objetivo
altamente restrictivas y otras son relativa-
de un firewall.
mente abiertas.
En la industria de la construcción un
Lógicamente un firewall es un separador,
firewall es diseñado para evitar que el
un bloqueador y un analizador. La implan-
fuego se extienda entre diferentes partes
tación física varía entre cada sitio, la mayoría
de los edificios, en teoría un firewall en
de las veces un firewall es un conjunto de
Internet tiene un propósito similar: previene
componentes de hardware como un enrutador,
que los peligros o amenazas de la Internet se
un servidor o una combinación de enruta-
extiendan hacia la red interna. dores, computadores y redes con el software
apropiado. Hay una variedad de formas para
5.2 OBJETIVOS DE UN FIREWALL configurar este equipo, la configuración
dependerá de la política de seguridad específica
Un firewall sirve para múltiples del sitio, presupuesto y funcionalidad dentro
propósitos, entre otros podemos anotar los de la plataforma de red.
siguientes:
Los firewalls ofrecen beneficios significantes
Restricción de entrada de usuarios a puntos para la seguridad, pero ellos no pueden
cuidadosamente controlados de la red resolver cada problema de seguridad que se
interna. presente en el vasto mundo de Internet.
• 82 •
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
• 83 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
• 84 •
Revista Universidad Eafit. Julio - Agosto - Septiembre 1997
• 85 •
Riesgos, Políticas y Herramientas de Seguridad en Redes
Ranum, Marcus. Thinking About Firewalls. How to Develop a Network Security Policy
Disponible vía FTP en: disponible vía Internet en:
ftp://coast.cs.purdue.edu/pub/doc/firewalls/ http://www.sun.com/solstice/Networking -
Marcus_Ranum_Network_Firewall.ps.Z. products/neT worksec.html.
Housley, Ford, Polk y Solo. 1996. Internet Public Giraldo G., Jorge Alberto. 1996. Curso de
Key Infrastructure. PKIX Working Group, Seguridad en Sistemas Abiertos. Bogotá. J
Internet Draft.
Morant R. José Luis y otros. 1994. Seguridad y
Ford, Warwick. 1995. Computer Communications protección de la información. 1ª Edición.
Security. 1ª Edición. New Jersey. Prentice Madrid. Editorial Centro de Estudios Ramón
Hall. Aceres.
• 86 •