Está en la página 1de 23

Administración

De Redes.
Seguridad Básica
16-17
Introducción
La rápida expansión y popularización de Internet ha convertido a la seguridad en redes en
uno de los tópicos más importantes dentro de la Informática moderna. Con tal nivel de
interconexión, los virus y los hackers acampan a sus anchas, aprovechando las deficientes
medidas de seguridad tomadas por administradores y usuarios. Es por ello de suma
importancia que el profesional sea capaz de enfrentar de forma eficiente el reto que implica
mantener la seguridad de una red.
Las ventajas de las redes en Informática son evidentes, pero muchas veces se
minusvaloran ciertos riesgos, circunstancia que a menudo pone en peligro la seguridad de
los sistemas. Nos encontramos ante una realidad en la cual, la inmensa mayoría de las
empresas operan a través de la Red, lo cual pone de manifiesto, la necesidad apremiante
de contar con profesionales que aporten soluciones que garanticen la seguridad de la
información.
La Informática es la ciencia del tratamiento automático de la información, pero tanto o más
importante que su procesamiento y almacenamiento es la posibilidad de poder transmitirla
de forma eficiente. La información tiene un tiempo de vida cada vez menor y la rapidez con
la que pueda viajar es algo crucial. Los últimos avances en compresión y transmisión de
datos digitales permiten hoy por hoy transferir cantidades enormes de información a
velocidades que hace tan solo unos años eran impensables. En este sentido las redes de
computadoras desempeñan un papel fundamental en la Informática moderna.
Pero se debe tener en cuenta que la complejidad de las grandes redes y su carácter público
convierten la protección física de los canales de comunicación en algo tremendamente
difícil. Uno de los mayores obstáculos que han tenido que ser superados para que las redes
pudieran desarrollarse, ha sido encontrar lenguajes comunes para que computadoras de
diferentes tipos pudieran entenderse.
En función del tipo de red con el que se trabaja, existirán diferentes clases de riesgos, lo
cual conducirá inevitablemente a medidas de diferente naturaleza para garantizar la
seguridad en las comunicaciones. Por tanto, se hace importante señalar que no existe una
solución universal para proteger una red, en la mayoría de los casos la mejor estrategia
suele consistir en tratar de colarnos nosotros mismos para poner de manifiesto y corregir
posteriormente los agujeros de seguridad que siempre encontraremos.
Sin importar si están conectadas por cable o de manera inalámbrica, las redes de
computadoras cada vez se tornan más esenciales para las actividades diarias. Tanto las
personas como las organizaciones dependen de sus computadores y de las redes para
funciones como correo electrónico, contabilidad, organización y administración de archivos.
Las intrusiones de personas no autorizadas pueden causar interrupciones costosas en la
red y pérdidas de trabajo. Los ataques a una red pueden ser devastadores y pueden causar
pérdida de tiempo y de dinero debido a los daños o robos de información o de activos
importantes. Los intrusos pueden obtener acceso a la red a través de vulnerabilidades del
software, ataques al hardware o incluso a través de métodos menos tecnológicos, como el
de adivinar el nombre de usuario y la contraseña de una persona. Por lo general, a los
intrusos que obtienen acceso mediante la modificación del software o la explotación de las
vulnerabilidades del software se los denomina piratas informáticos.
Una vez que el pirata informático obtiene acceso a la red, pueden surgir cuatro tipos de
amenazas:

• Robo de información
• Robo de identidad
• Pérdida y manipulación de datos
• Interrupción del servicio

Elementos de Seguridad.

Integridad:

Los componentes del sistema permanecen inalterados a menos que sean modificados por los
usuarios autorizados.

Disponibilidad:

Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.

Privacidad:

Los componentes del sistema son accesibles sólo por los usuarios autorizados.
Control:

Solo los usuarios autorizados deciden cuando y como permitir el acceso a la información.

Autenticidad:

Definir que la información requerida es válida y utilizable en tiempo, forma y distribución.

No Repudio:

Evita que cualquier entidad que envió o recibió información alegue, que no lo hizo.
Auditoría:

Determinar qué, cuándo, cómo y quién realiza acciones sobre el sistema.

4.2 Elementos a proteger

¿Qué elementos de la red se deben proteger?

Los recursos que se deben proteger no están estandarizados, los mismos dependen de
cada organización y de los productos o servicios a los que la misma se dedique.

Básicamente los recursos que se han de proteger son:

Hardware

Es el conjunto formado por todos los elementos físicos de un sistema informático,

entre los cuales están los medios de almacenamiento.


Software

Es el conjunto de programas lógicos que hacen funcional al hardware

Datos

Es el conjunto de información lógica que maneja el software y el hardware. La infraestructura

necesaria es amplia y compleja porque los niveles de seguridad son elevados:

o Todos los equipos deben estar especialmente protegidos contra software malicioso que pueda
robar datos o alterarlos.

o El almacenamiento debe ser redundante: grabamos el mismo dato en más de un dispositivo. En


caso de que ocurra un fallo de hardware en cualquier dispositivo, no hemos perdido la
información.

o El almacenamiento debe ser cifrado. Las empresas manejan información muy sensible, tanto
los datos personales de clientes o proveedores como sus propios informes, que pueden ser
interesantes para la competencia. Si, por cualquier circunstancia, perdemos un dispositivo de
almacenamiento (disco duro, pendrive USB, cinta de backup), os datos que contenga deben ser
inútiles para cualquiera que no pueda descifrarlos.
Comunicaciones

Los datos no suelen estar recluidos siempre en la misma máquina: en muchos casos salen con
destino a otro usuario que los necesita. Esa transferencia (correo electrónico, mensajería
instantánea, disco en red, servidor web) también hay que protegerla. Debemos utilizar canales
cifrados, incluso aunque el fichero de datos que estamos transfiriendo ya esté cifrado (doble
cifrado es doble obstáculo para el atacante). Además de proteger las comunicaciones de datos,
también es tarea de la seguridad informática controlar las conexiones a la red.
4.3 Tipos de riesgos

Una vez que alguien está decidido a atacarnos, puede elegir alguna de estas formas:

Interrupción. El ataque consigue provocar un corte en la prestación de un servicio: el servidor web


no está disponible, el disco en red no aparece o solo podemos leer (no escribir), etc.

Interceptación. El atacante ha logrado acceder a nuestras comunicaciones y ha copiado la


información que estábamos transmitiendo.
Modificación. Ha conseguido acceder, pero, en lugar de copiar la información, la está modificando
para que llegue alterada hasta el destino y provoque alguna reacción anormal. Por ejemplo,
cambia las cifras de una transacción bancaria.

Fabricación. El atacante se hace pasar por el destino de la transmisión, por lo que puede
tranquilamente conocer el objeto de nuestra comunicación, engañarnos para obtener información
valiosa, etc.

Para conseguir su objetivo puede aplicar una o varias de estas técnicas:


Ingeniería social. A la hora de poner una contraseña, los usuarios no suelen utilizar combinaciones
aleatorias de caracteres. En cambio, recurren a palabras conocidas para ellos: el mes de su
cumpleaños, el nombre de su calle, su mascota, su futbolista favorito, etc. Si conocemos bien a esa
persona, podemos intentar adivinar su contraseña. También constituye ingeniería social pedir por
favor a un compañero de trabajo que introduzca su usuario y contraseña, que el nuestro parece
que no funciona. En esa sesión podemos aprovechar para introducir un troyano, por ejemplo.

Phishing. El atacante se pone en contacto con la víctima (generalmente, un correo electrónico)


haciéndose pasar por una empresa con la que tenga alguna relación (su banco, su empresa de
telefonía, etc.). En el contenido del mensaje intenta convencerle para que pulse un enlace que le
llevará a una (falsa) web de la empresa. En esa web le solicitarán su identificación habitual y desde
ese momento el atacante podrá utilizarla.
Keyloggers. Un troyano en nuestra máquina puede tomar nota de todas las teclas que pulsamos,
buscando el momento en que introducimos un usuario y contraseña. Si lo consigue, los envía al
atacante.

Fuerza bruta. Las contraseñas son un número limitado de caracteres (letras, números y signos de
puntuación). Una aplicación malware puede ir generando todas las combinaciones posibles y
probarlas una a una; tarde o temprano, acertará. Incluso puede ahorrar tiempo si utiliza un
diccionario de palabras comunes y aplica combinaciones de esas palabras con números y signos de
puntuación. Contra los ataques de fuerza bruta hay varias medidas:

Ø Utilizar contraseñas no triviales. No utilizar nada personal e insertar en medio de la palabra o al


final un número o un signo de puntuación. En algunos sistemas nos avisan de la fortaleza de la
contraseña elegida (Fig. 1.8).

Ø Cambiar la contraseña con frecuencia (un mes, una semana). Dependiendo del hardware
utilizado, los ataques pueden tardar bastante; si antes hemos cambiado la clave, se lo ponemos
difícil.
Ø Impedir ráfagas de intentos repetidos. Nuestro software de autenticación que solicita usuario y
contraseña fácilmente puede detectar varios intentos consecutivos en muy poco tiempo. No
puede ser un humano: debemos responder introduciendo una espera. En Windows se hace: tras
cuatro intentos fallidos, el sistema deja pasar varios minutos antes de dejarnos repetir. Esta
demora alarga muchísimo el tiempo necesario para completar el ataque de fuerza bruta.

Ø Establecer un máximo de fallos y después bloquear el acceso. Es el caso de las tarjetas SIM que
llevan los móviles GSM/UMTS: al tercer intento fallido de introducir el PIN para desbloquear la
SIM, ya no permite ninguno más. Como el PIN es un número de cuatro cifras, la probabilidad de
acertar un número entre 10 000 en tres intentos es muy baja.

Spoofing. Alteramos algún elemento de la máquina para hacernos pasar por otra máquina. Por
ejemplo, generamos mensajes con la misma dirección que la máquina auténtica.

Sniffing. El atacante consigue conectarse en el mismo tramo de red que el equipo atacado. De esta
manera tiene acceso directo a todas sus conversaciones.
DoS (Denial of Service, denegación de servicio). Consiste en tumbar un servidor saturándolo con
falsas peticiones de conexión. Es decir, intenta simular el efecto de una carga de trabajo varias
veces superior a la normal.

Vulnerabilidad por malware,- Una vulnerabilidad es un defecto de una aplicación que puede ser
aprovechado por un atacante. Si lo descubre, el atacante programará un software
(llamado malware) que utiliza esa vulnerabilidad para tomar el control de la máquina (exploit) o
realizar cualquier operación no autorizada.

Hay muchos tipos de malware:

o Virus. Intentan dejar inservible el ordenador infectado. Pueden actuar aleatoriamente o


esperar una fecha concreta (por ejemplo, Viernes 13).

o Gusanos. Van acaparando todos los recursos del ordenador: disco, memoria, red. El usuario
nota que el sistema va cada vez más lento, hasta que no hay forma de trabajar.

o Troyanos. Suelen habilitar puertas traseras en los equipos: desde otro ordenador podemos
conectar con el troyano para ejecutar programas en el ordenador infectado.

Tipos de atacantes

Se suele hablar de hacker de manera genérica para referirse a un individuo que se salta las
protecciones de un sistema. A partir de ahí podemos distinguir entre:
Hacker. Ataca la defensa informática de un sistema solo por el reto que supone hacerlo. Si tiene
éxito, moralmente debería avisar a los administradores sobre los agujeros de seguridad que ha
utilizado, porque están disponibles para cualquiera.

Cracker. También ataca la defensa, pero esta vez sí quiere hacer daño: robar datos, desactivar
servicios, alterar información, etc.

Script kiddie. Son aprendices de hacker y cracker que encuentran en Internet cualquier ataque y lo
lanzan sin conocer muy bien qué están haciendo y, sobre todo, las consecuencias derivadas de su
actuación (esto les hace especialmente peligrosos).

Programadores de malware. Expertos en programación de sistemas operativos y aplicaciones


capaces de aprovechar las vulnerabilidades de alguna versión concreta de un software conocido
para generar un programa que les permita atacar.

Sniffers. Expertos en protocolos de comunicaciones capaces de procesar una captura de tráfico de


red para localizar la información interesante.

Ciberterrorista. Cracker con intereses políticos y económicos a gran escala.

Orígenes de las intrusiones en la red

Las amenazas de seguridad causadas por intrusos en la red pueden originarse tanto en forma
interna como externa.

Amenazas externas

Las amenazas externas provienen de personas que trabajan fuera de una organización. Estas
personas no tienen autorización para acceder al sistema o a la red de la computadora. Los
atacantes externos logran ingresar a la red principalmente desde Internet, enlaces inalámbricos o
servidores de acceso dial‐up.

Amenazas internas

Las amenazas internas se originan cuando una persona cuenta con acceso autorizado a la red a
través de una cuenta de usuario o tiene acceso físico al equipo de la red. Un atacante interno
conoce la política interna y las personas. Por lo general, conocen información valiosa y vulnerable
y saben cómo acceder a ésta.

4.4 Mecanismos de seguridad física y lógica: Control de acceso, respaldos, autenticación y


elementos de protección perimetral

La seguridad física cubre todo lo referido a los equipos informáticos: ordenadores de propósito
general, servidores especializados y equipamiento de red. La seguridad lógica se refiere a las
distintas aplicaciones que ejecutan en cada uno de estos equipos.
Sin embargo, no todos los ataques internos son intencionales. En algunos casos la amenaza
interna puede provenir de un empleado confiable que capta un virus o una amenaza de seguridad
mientras se encuentra fuera de la compañía y, sin saberlo, lo lleva a la red interna.

La mayor parte de las compañías invierte


recursos considerables para defenderse contra los ataques externos; sin embargo, la mayor parte
de las amenazas son de origen interno. De acuerdo con el FBI, el acceso interno y la mala
utilización de los sistemas de computación representan aproximadamente el 70% de los incidentes
de violación de seguridad notificados.

No se pueden eliminar o evitar completamente los riesgos de seguridad. Sin embargo, tanto la
administración como la evaluación efectiva de riesgos pueden minimizar significativamente los
riesgos de seguridad existentes. Para minimizar los riesgos es importante comprender que no
existe un único producto que pueda asegurar una organización. La verdadera seguridad de redes
proviene de una combinación de productos y servicios junto con una política de seguridad
exhaustiva y un compromiso de respetar esa política.

Una política de seguridad es una declaración formal de las normas que los usuarios deben respetar
a fin de acceder a los bienes de tecnología e información. Puede ser tan simple como una política
de uso aceptable o contener muchas páginas y detallar cada aspecto de conectividad de los
usuarios, así como los procedimientos de uso de redes. La política de seguridad debe ser el punto
central acerca de la forma en la que se protege, se supervisa, se evalúa y se mejora una red.
Mientras que la mayoría de los usuarios domésticos no tiene una política de seguridad formal por
escrito, a medida que una red crece en tamaño y en alcance, la importancia de una política de
seguridad definida para todos los usuarios aumenta drásticamente. Algunos de los puntos que
deben incluirse en una política de seguridad son: políticas de identificación y autenticación,
políticas de contraseñas, políticas de uso aceptable, políticas de acceso remoto y procedimientos
para el manejo de incidentes.

Cuando se desarrolla una política de seguridad es necesario que todos los usuarios de la red la
cumplan y la sigan para que sea efectiva.

• Ø Políticas de identificación y autentificación


• Ø Políticas de contraseña

• Ø Políticas de usos aceptables

• Ø Políticas de acceso remoto

• Ø Procedimiento de mantenimiento de red

• Ø Procedimientos de administración de incidentes

La política de seguridad debe ser el punto central acerca de la forma en la que se protege, se
supervisa, se evalúa y se mejora una red. Los procedimientos de seguridad implementan políticas
de seguridad. Los procedimientos definen la configuración, el inicio de sesión, la auditoría y los
procesos de mantenimiento de los hosts y dispositivos de red. Incluyen la utilización tanto de
medidas preventivas para reducir el riesgo como de medidas activas acerca de la forma de
manejar las amenazas de seguridad conocidas. Los procedimientos de seguridad abarcan desde
tareas simples y poco costosas, como el mantenimiento de las versiones actualizadas de software,
hasta implementaciones complejas de firewalls y sistemas de detección de intrusiones.

Seguridad física, protección desde el interior

La mayoría de los expertos coincide en que toda seguridad comienza con la seguridad física. El
control del acceso físico a los equipos y a los puntos de conexión de red es posiblemente el
aspecto más determinante de toda la seguridad. Cualquier tipo de acceso físico a un sitio interno
deja expuesto el sitio a grandes riesgos. Si el acceso físico es posible, normalmente se pueden
obtener archivos protegidos, contraseñas, certificados y todo tipo de datos. Por suerte, existen
armarios seguros y dispositivos de control de acceso de muchas clases que pueden ayudar a
combatir este problema. Para obtener más información sobre la seguridad física de los centros de
datos y salas de red, consulte el Documento técnico de APC nº82, “Physical Security in Mission
Critical Facilities” (“Seguridad física en instalaciones de misión crítica”).

Entre los mecanismos de seguridad lógica tenemos:


El Control de Acceso a la Red, también conocido por las siglas NAC (Network Access Control ) /
802.1x tiene como objetivo asegurar que todos los dispositivos que se conectan a las redes
corporativas de una organización cumplen con las políticas de seguridad establecidas para evitar
amenazas como la entrada de virus, salida de información, etc.

El fenómeno BYOD (Bring Your Own Device) en el que los empleados utilizan sus propios
dispositivos (tabletas, portátiles, smartphones) para acceder a los recursos corporativos está
acelerando la adopción de las tecnologías NAC para autenticar al dispositivo y al usuario.

Existen una serie de fases como:

• Detección: es la detección del intento de conexión física o inalámbrica a los recursos de


red reconociendo si el mismo es un dispositivo autorizado o no.

• Cumplimiento: es la verificación de que el dispositivo cumple con los requisitos de


seguridad establecidos como por ejemplo dispositivo autorizado, ubicación, usuario,
antivirus actualizado.
Cuando un dispositivo no cumple los requerimientos se puede rechazar la conexión o bien
mandarlo a un portal cautivo “Cuarentena”.

• Remediación: es la modificación lógica de dichos requisitos en el dispositivo que intenta


conectarse a la red corporativa.

• Aceptación: es la entrada del dispositivo a los recursos de red en función del perfil del
usuario y los permisos correspondientes a su perfil que residen en un servicio de
directorio.

• Persistencia: es la vigilancia durante toda la conexión para evitar la vulneración de las


políticas asignadas.

Autentificación
Por autentificación entenderemos cualquier método que nos permita comprobar de manera
segura alguna característica sobre un objeto. Dicha característica puede ser su origen, su
integridad, su identidad, etc. Consideraremos tres grandes tipos dentro de los métodos de
autentificación:
Ø Autentificación de mensaje. Queremos garantizar la procedencia de un mensaje conocido, de
forma que podamos asegurarnos de que no es una falsificación. Este mecanismo se conoce
habitualmente como firma digital.
Ø Autentificación de usuario mediante contraseña. En este caso se trata de garantizar la
presencia de un usuario legal en el sistema. El usuario deberá poseer una contraseña secreta que
le permita identificarse.
Ø Autentificación de dispositivo. Se trata de garantizar la presencia de un dispositivo válido.Este
dispositivo puede estar solo o tratarse de una llave electrónica que sustituye a la contraseña para
identificar a un usuario.

Elementos de la seguridad perimetral


La seguridad perimetral es un concepto emergente asume la integración de elementos y sistemas,
tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de
tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles. Entre
estos sistemas cabe destacar los radares tácticos, videosensores, vallas sensorizadas, cables
sensores, barreras de microondas e infrarrojos, concertinas, etc.

Los sistemas de seguridad perimetral pueden clasificarse según la geometría de su cobertura


(volumétricos, superficiales, lineales, etc.), según el principio físico de actuación (cable de fibra
óptica, cable de radiofrecuencia, cable de presión, cable microfónico, etc.) o bien por el sistema de
soportación (autosoportados, soportados, enterrados, detección visual, etc.).

También cabe destacar la clasificación dependiendo del medio de detección. En esta


se clasificarían en:

- Sistemas Perimetrales Abiertos: Los que dependen de las condiciones ambientales para
detectar. Como ejemplo de estos son la video vigilancia, las barreras infrarrojas, las barreras de
microondas. Esta característica provoca falsas alarmas o falta de sensibilidad en condiciones
ambientales adversas.

- Sistemas Perimetrales Cerrados: Los que no dependen del medio ambiente y controlan
exclusivamente el parámetro de control. Como ejemplo de estos son los antiguos cables
microfónicos, la fibra óptica y los piezo-sensores. Este tipo de sensores suelen ser de un coste mas
elevado.

Ejemplos de cometidos de la seguridad perimetral:

Ø Rechazar conexiones a servicios comprometidos


Ø Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos.

Ø Proporcionar un único punto de interconexión con el exterior

Ø Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet

Ø Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet

Ø Auditar el tráfico entre el exterior y el interior

Ø Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red,


cuentas de usuarios internos...

Conlusión

La red es usualmente la parte mas insegura de una organización. Por consiguiente, se deben
desarrollar políticas de seguridad para poder prevenir cualquier acceso no autorizado a la misma
como pueden ser hackers o usuarios de la misma red que no deberían tener acceso a ciertos
recursos del sistema. Estas políticas deben ser más exigentes sobretodo si dicha organización
cuenta con un acceso a alguna red pública, como puede ser Internet.

Como hemos visto, las amenazas informáticas ponen en riesgo nuestra red y la integridad de
nuestra información. Es por esto, que el tomar las medidas de seguridad necesarias para
resguardar la integridad de los datos que se manejan en ella, se convierten en un tema primordial
de todo usuario. Existen diferentes medidas que se pueden adoptar para prevenir las amenazas de
la red como lo son: Antivirus, Anti-spyware, firewall, actualizaciones del sistema, etc.

Descubrimos el poder de la información, y porque es tan importante la seguridad.


Vimos la necesidad de las empresas de brindar más servicios a los clientes, llevando a estas
permitir el acceso directo a sus aplicaciones e informaciones internas.

También descubrimos que las empresas están comenzando a generar estrategias de negocios en
internet, para lograr modelos de negocios más eficientes y como administradores de empresas es
fundamental conocer el impacto de la falta de seguridad.