Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Conceptos.
SEGURIDAD.
Es un estado de alto contenido subjetivo, que nos hace sentir adecuadamente exentos
de riesgos reales o potenciales, dentro de un marco lógico de equilibrio psíquico.
INFORMATICA.
Es la ciencia que estudia el fenómeno de la información, los sistemas aplicados a ella y
su utilización, principalmente, aunque no necesariamente con la ayuda de computadores y
sistemas de telecomunicaciones como instrumentos, en beneficio de la humanidad.
SEGURIDAD INFORMATICA.
Es el conjunto de medidas preventivas, de detección y corrección destinadas a
proteger la integridad, confidencialidad y disponibilidad de los recursos informáticos.
La Tríada C.I.A.
Pilares fundamentales de la seguridad informática.
Las técnicas o métodos que se utilizan para tener una correcta organización están
basadas en estos pilares que vienen del inglés: ("Confidentiality, Integrity, Availability
[Confidencialidad, Integridad y Disponibilidad].
Confidencialidad: Esta característica asegura que los usuarios que no sean autorizados
no tienen acceso a determinados datos a menos que estos se autoricen.
Integridad: Cuando nos referimos a esta palabra significa que estamos seguros de que
la información de la que disponemos no ha sido borrada, ni modificada ni copiada.
Disponibilidad: Es la característica que asegura que determinados recursos de un
sistema e información, estarán disponibles a los usuarios autorizados siempre que
estos sean requeridos.
El polo opuesto para la triada C.I.A.
En este caso ante un ataque con éxito nuestro archivo que era confidencial puede revertirse
mediante la "REVELACION" por lo tanto nuestro archivo que pensábamos que estaba
plenamente seguro ahora ha sido alterado y por lo tanto lo contrario a integridad seria
"MODIFICACION" y ese archivo que brindaba información y era un recurso disponible para
usuarios de todo el mundo ya no está debido a la "DESTRUCCION". Por lo tanto estas tres
acciones son las que tenemos que prevenir al máximo nivel que podamos siendo
administradores de un sistema es el peor riesgo que puede pasar con nuestros archivos.
Protección.
Bien, esta es una pregunta que todos los administradores de sistemas, tendrían que
hacerse. Estamos bajo el mando de una PC o red, como Admón. de Seguridad Informática, y
ahora
¿Qué hacemos?
¿Qué protegemos?
Tenemos mucho por proteger pero dependiendo el lugar, la empresa, el ambiente y área en el
que estemos debemos planificar que proteger y como.
1. Hardware
2. Software
3. Datos
4. Elementos Consumibles
Con lo que respecta a Seguridad Informática tenemos 4 categorías numeradas arriba, de las
cuales la más importante al momento de proteger es la de los DATOS.
Un hardware como puede ser un disco rígido, puede ser cambiado o reemplazado por
otro. Inclusive comprado nuevamente.
Un Software puede ser borrado, y luego puede ser instalado nuevamente.
Los elementos consumibles como papeles para el fax y la impresora, tinta para
imprimir o escanear, y demás cosas pueden ser cambiadas y compradas.
Pero los datos no. Debido a que estos van modificándose mediante el paso del tiempo,
y son resultados de quizás un trabajo extenso realizado. Por eso es necesario para un
Administrador, emplear determinadas políticas de seguridad con esos datos, como sincronizar
horarios para realizar determinados Backup’s, archivar estos datos en diferentes lugares para
que estén disponibles en caso de que sufra un percance el original, ponerlo de forma privada y
confidencial mediantes cifrados, etc.
Dependiendo de –qué- tan importante sea para la empresa y la información –que- tan
valiosa podremos darnos una idea del nivel de riesgo al que nos enfrentamos.
Todo lo que se planea generalmente repercute en el futuro, para eso se logra un plan,
para prevenir las amenazas o riesgos potenciales y realizar una determinada acción. Por este
motivo es necesario realizar una política de seguridad pensada y con experiencia que avalen
este tema.
Realizar un plan de seguridad informática en una PC donde se utilice para jugar puede
resultar algo sencillo. Pero crear un plan de seguridad para una empresa la cual tiene mas de
100 PC’s en red con salida a internet puede ser algo delicado y complejo.
Y más sabiendo que no todos los empleados que utilizan esa computadora entienden
100% de computación, incluyendo los jefes que aunque ellos tengan la culpa si pasa algo, la
van a echar ante nosotros y no podremos decirles nada porque siguen siendo nuestros jefes.
La clave está en dividir tareas, y elegir un grupo efectivo para llevar a cabo la tarea de
planeamiento. Este grupo tiene que estar integrado por personas dedicadas a auditar las
redes.
Cada persona que integre el grupo debe tener una responsabilidad acorde con el plan
que se vaya a realizar. Una persona dedicada a la seguridad física de las PC’s no se va a dedicar
también a problemas de red, es por eso que se dividen las tareas en las empresas, y es muy
común crear un organigrama.
c
n
e
G
o
p
u
r a
i
e
d
es
n
i
m
d
a t
r
a
c
d
r
u
g
e
s
n
ó
i a
d
¿Que es una DMZ?
Tipos de VPN
Client-to-site [Cliente a sitio]: Solo con un software que trabaje como cliente, autentificando
nuestro user & password, seria suficiente para realizar la conexion.
Y así es, generalmente es usado para empleados de las empresas que están lejos de la
oficina e incluso es muy común y lo he visto por conocidos, Administrar la Seguridad
Informática de una red en otro lugar del continente.
Otra cosa a tener en cuenta, el software es quien se encarga a la hora de conectarnos
al sitio mediante la creación de un túnel VPN, el cual encapsula toda la información y la
encripta.
En el caso de client-to-site no hay un protocolo default o alguno que sea muy frecuente, hay
varios como el L2TP (Layer 2 Tunneling Protocol) usado generalmente en Windows XP y creo
que 2000. Es muy superior el L2TP a diferencia del PPTP (Point to Point Tunneling Protocol)
que se encuentra en todas las versiones de Windows.
Implementación de seguridad mediante filtrados.
Una vez que armamos nuestra red, diseñamos cada detalles, viene el toque final que
es el más importante de todo, y es el fin en sí de nuestro trabajo, IMPLEMENTAR SEGURIDAD.
¿Como hacemos esto?, pues bien, tenemos varias formas independientes, que si las
fusionamos se complementan formando la seguridad de la red total.
Cuando hablamos de implementar seguridad, no estamos diciendo que hay que poner un
policía o un grupo SWAT frente a la PC las 24hs sino que se implementa de una forma más
sencilla, como el poder "FILTRAR" información que no nos sirve, o que no es útil para nuestra
red.
Por ejemplo:
Si solo tenemos un servidor el cual únicamente es útil y sirve para un determinado
cliente, o sea que servimos información para una determinada IP nada mas en todo el mundo,
lo que deberíamos hacer es filtrar el resto de conexiones menos esa IP única que pertenece a
nuestro cliente.
En "pseudocódigo" sería algo así:
Aceptar
Únicamente conexión de ["IP-UNICA"] en determinado puerto y bloquear todo
el resto de conexiones que no sean la de nuestro cliente.
Es el filtrado más básico, este firewall se basa en la lectura de las cabeceras de los
paquetes y compara con las reglas establecidas previamente.
El firewall se enlaza con la capa de RED (ICMP/IP) y con la de TRANSPORTE (TCP/UDP).
El firewall determina una regla de acceso mediante seis elementos o requisitos:
IP DE ORIGEN IP DESTINO PUERTO DE ORIGEN PUERTO DESTINO PROTOCOLO ACCION
Ejemplo:
1- En la primera línea vemos como en IP de origen figura ANY, esto quiere decir
"cualquiera/alguno" Pero en este caso se usa como Cualquiera.
Entonces estamos diciendo que CUALQUIER IP, que se conecte a NUESTRA IP (IP
DESTINO) desde CUALQUIER PUERTO (PUERTO DE ORIGEN, generalmente no es importante el
IP origen) hacia un PUERTO QUE TENEMOS ABIERTO (PUERTO DESTINO) (que en este caso es
un servicio de proxy ya que el protocolo y puerto nos manifiestan esto), entonces la
ACEPTAMOS.
2- En la segunda línea vemos como bloqueamos una determinada IP en este caso 24.232.2.2 si
intenta ingresar a nuestro servicio ftp que estamos corriendo. Automáticamente el firewall
denegaría el acceso.
Este firewall como indica el nombre se enlaza con las capas de arriba de todo, las de
aplicación que son las que los usuarios tenemos contactos constantemente.
Básicamente el cortafuegos de aplicación lo que hace es dividir las dos redes... permitiendo
que la LAN se comunique con la WAN, y viceversa.
DESVENTAJAS
* Si hablamos de Vulnerabilidades puede que cuente con algunos puntos en cuanto a este
sistema, que está basado en las capas superiores por lo tanto no puede interactuar de la
misma forma que otros cortafuegos, o sea que puede recibir ataques de inundación de SYN,
Spoofing, no advierte de programas que pueden instalarse y editar registros o incluso
borrarlos, etc.
Sin dudas es el tipo de firewall que se lleva todos los premios y confianza, su complejidad es
muy robusta. Su trabajo es compatible en casi todas las capas del modelo TCP/IP, lo que lo
hace ser muy inteligente comparándolo con otros patrones de filtración.
Con SPI se compara una tabla que se crea con las conexiones ya establecidas, es muy
importante esto ya que un spoofing algo básico no daría los mismos resultados,
(a diferencia de la "filtración de paquetes" que se comparaba mediante el estado del bit SYN),
según sea el protocolo, el Firewall SPI también puede analizar por dentro del paquete recibido
con el objetivo de intentar detectar acciones maliciosas.
El estado de las conexiones en la tabla, puede guardar para uso posterior múltiples
datos que son definidos a través del firewall, como la IP origen, IP destino, puertos, tiempo de
conexión, etc.
Firewall Domestico.
[Zone Alarm].
Es el software más conocido por los usuarios finales, en la actualidad se escucha hablar
mucho de estos firewalls, los cuales se implementan en una PC hogareña y para ese único fin
de proteger ese determinado host.
Los firewalls más modernos, o en su defecto, en versiones FULL, o PRO, además del
motor de cortafuegos, vienen con complementos adicionales como pueden ser un Antivirus,
un Anti-Spam, Anti-Phishing, Anti-Spyware, etc etc..
Algunos ejemplos de estos son: Zone Alarm (en foto arriba), Comodo Firewall,
BlackICE,etc. si te dedicas a sentarte, escuchar música, navegar y navegar, este dispositivo es el
indicado para tu plataforma. (Siempre que hablemos de Windows).
Firewall de Servidores.
Los IDS tienen dos formas de reconocer un ataque producido por nuestro enemigo el
"cyberdelincuente".
El primero es mediante las tan conocidas FIRMAS que lógicamente se trabaja mediante la
"COMPARACION".
Una vez que el paquete pasa por el IDS, este lo compara con unas reglas predeterminadas que
comentan supuestos ataques.
Un ejemplo de un IDS, es el SNORT (Para mas información ingresar a la web principal
http://www.snort.org) este IDS implementa un lenguaje de creación de reglas flexibles que lo
hace bastante potente y sencillo.
El SNORT avisa cuando se produce un ataque, desde el origen de IP se produce hacia el
destino de IP, puertos utilizados, es muy veloz y no necesita procesar información.
Algunas recomendaciones:
# Snort.
# Manhunt.
# NID.
Evolución del IDS, IPS este mecanismo es realmente complejo, o al menos eso intenta
ser. Su funcionamiento tiene como objetivo la Detección, el Análisis y el Bloqueo de ataques.
Este dispositivo puede inspeccionar los flujos de datos con el fin de detectar los
ataques que pueden ser explotados mediante vulnerabilidades desde el nivel 2 (control de
acceso) del modelo OSI hasta la capa 7 (la de aplicación).
Una característica que destaca es la inspección a fondo, en la cual los paquetes pueden
ser clasificados y analizados en su totalidad mediante todos los filtros que posee.
Esa clasificación de paquetes se basa en la conocida configuración de cabecera de los
paquetes, direcciones origen y destino, etc. Si hablamos de los filtros que posee podemos decir
que están formados por un conjunto de reglas que definen determinadas condiciones que son
necesarias cumplirse para informar si un paquete es o no es dañino.
Lo bueno de los IPS es que no solo detectan la vulnerabilidad sino que mediante el Análisis de
Protocolo, lo transforma en algo así como un sistema inteligente, el cual permite detectar y
tomar acciones sobre una vulnerabilidad que todavía no ha sido anunciada.
Para resumir el funcionamiento de un IPS podemos señalarlo con 4 puntos fundamentales:
El paquete que entra es clasificado por la cabecera y la información de flujo que se
asocia.
Según la función de como se clasifique el paquete, se aplicaran determinados filtros.
Los filtros relevantes se aplican en paralelo, y si hay un positivo, se etiqueta como
sospechoso.
Si es sospechoso, se desecha y se actualiza la base de estado sobre el flujo relacionado
para descartar restos de dicho flujo entrante.
Algunas recomendaciones:
# RealSecure.
# Netscreen.
# Proventia G.
# Defense P.
Seguridad perimetral
Fuente
http://www.seguridad.unam.mx/eventos/admin-unam/FirewallsWin.pdf