Seguridad informática.

Conceptos.

SEGURIDAD.
Es un estado de alto contenido subjetivo, que nos hace sentir adecuadamente exentos
de riesgos reales o potenciales, dentro de un marco lógico de equilibrio psíquico.

INFORMATICA.
Es la ciencia que estudia el fenómeno de la información, los sistemas aplicados a ella y
su utilización, principalmente, aunque no necesariamente con la ayuda de computadores y
sistemas de telecomunicaciones como instrumentos, en beneficio de la humanidad.

SEGURIDAD INFORMATICA.
Es el conjunto de medidas preventivas, de detección y corrección destinadas a
proteger la integridad, confidencialidad y disponibilidad de los recursos informáticos.
La Tríada C.I.A.
Pilares fundamentales de la seguridad informática.
Las técnicas o métodos que se utilizan para tener una correcta organización están
basadas en estos pilares que vienen del inglés: ("Confidentiality, Integrity, Availability
[Confidencialidad, Integridad y Disponibilidad].
 Confidencialidad: Esta característica asegura que los usuarios que no sean autorizados
no tienen acceso a determinados datos a menos que estos se autoricen.
 Integridad: Cuando nos referimos a esta palabra significa que estamos seguros de que
la información de la que disponemos no ha sido borrada, ni modificada ni copiada.
 Disponibilidad: Es la característica que asegura que determinados recursos de un
sistema e información, estarán disponibles a los usuarios autorizados siempre que
estos sean requeridos.
El polo opuesto para la triada C.I.A.

En este caso ante un ataque con éxito nuestro archivo que era confidencial puede revertirse
mediante la "REVELACION" por lo tanto nuestro archivo que pensábamos que estaba
plenamente seguro ahora ha sido alterado y por lo tanto lo contrario a integridad seria
"MODIFICACION" y ese archivo que brindaba información y era un recurso disponible para
usuarios de todo el mundo ya no está debido a la "DESTRUCCION". Por lo tanto estas tres
acciones son las que tenemos que prevenir al máximo nivel que podamos siendo
administradores de un sistema es el peor riesgo que puede pasar con nuestros archivos.

Protección.

¿Qué es lo que queremos Proteger?

Bien, esta es una pregunta que todos los administradores de sistemas, tendrían que
hacerse. Estamos bajo el mando de una PC o red, como Admón. de Seguridad Informática, y
ahora
¿Qué hacemos?
¿Qué protegemos?

Tenemos mucho por proteger pero dependiendo el lugar, la empresa, el ambiente y área en el
que estemos debemos planificar que proteger y como.
1. Hardware
2. Software
3. Datos
4. Elementos Consumibles

Con lo que respecta a Seguridad Informática tenemos 4 categorías numeradas arriba, de las
cuales la más importante al momento de proteger es la de los DATOS.

 Un hardware como puede ser un disco rígido, puede ser cambiado o reemplazado por
otro. Inclusive comprado nuevamente.
 Un Software puede ser borrado, y luego puede ser instalado nuevamente.
 Los elementos consumibles como papeles para el fax y la impresora, tinta para
imprimir o escanear, y demás cosas pueden ser cambiadas y compradas.

Pero los datos no. Debido a que estos van modificándose mediante el paso del tiempo,
y son resultados de quizás un trabajo extenso realizado. Por eso es necesario para un
Administrador, emplear determinadas políticas de seguridad con esos datos, como sincronizar
horarios para realizar determinados Backup’s, archivar estos datos en diferentes lugares para
que estén disponibles en caso de que sufra un percance el original, ponerlo de forma privada y
confidencial mediantes cifrados, etc.

Creando un Plan de Seguridad.

Consideraciones que se deben tomar en cuenta aunque varíen de acuerda a cada

administración de cada empresa.

1. Para estructurar la política de seguridad hay que responder a la pregunta

¿Que es lo que vamos a proteger?
2. El segundo paso es preguntarnos
¿De quién hay que protegerse?

Dependiendo de –qué- tan importante sea para la empresa y la información –que- tan
valiosa podremos darnos una idea del nivel de riesgo al que nos enfrentamos.

En este paso ponemos en práctica lo que llamaremos "RESTRICCIONES".

Por ejemplo:
A un grupo de empleados determinados les restringimos el acceso a internet y el modo
de ejecución y escritura en los archivos, que simplemente tengan permisos para abrirlos.

3. El tercer paso es el del factor "RIESGO" Es necesario adoptar ciertas responsabilidades y

proteger la base de datos de clientes para demostrarnos y demostrarles que tan segura es
nuestra empresa.

4. Este es el paso en el cual mediante implementaciones de medidas de seguridad combinadas

con software podremos aumentar la seguridad y así proteger los recursos de la empresa. La
implementación de las medidas de seguridad consta en una combinación de: Firewalls, IDS,
Restricciones a usuarios, Caducidades de Contraseñas, Archivos criptografiados, etc.

5. Actualizar el sistema, la gente no se da cuenta que tan importante es actualizar un sistema.

Por preferencias de comodidad con versiones anteriores o de acostumbramiento con estas,
abren una brecha de inseguridad terrible, también hay que decir que no todo lo nuevo, es
mejor, y más seguro, pero generalmente es útil para mejorar la seguridad, una actualización
de un firewall, que quizás repara algunas vulnerabilidades o fallas de versiones anteriores.
Por eso debemos crear una enumeración de los programas que tenemos instalados y
luego verificar sus versiones, para posteriormente buscar actualizaciones. Esto generalmente
se chequea en un periodo de cada 10 a 15 días.

Creando grupo de trabajo y determinando Responsabilidades.

El Administrador, ha avanzado bastante, y ya dispone de suficiente experiencia como para

hacerse cargo de una red grande en su empresa importante, y solo le falta crearse un grupo de
trabajo y determinar las responsabilidades para cada uno.

Todo lo que se planea generalmente repercute en el futuro, para eso se logra un plan,
para prevenir las amenazas o riesgos potenciales y realizar una determinada acción. Por este
motivo es necesario realizar una política de seguridad pensada y con experiencia que avalen
este tema.
Realizar un plan de seguridad informática en una PC donde se utilice para jugar puede
resultar algo sencillo. Pero crear un plan de seguridad para una empresa la cual tiene mas de
100 PC’s en red con salida a internet puede ser algo delicado y complejo.
Y más sabiendo que no todos los empleados que utilizan esa computadora entienden
100% de computación, incluyendo los jefes que aunque ellos tengan la culpa si pasa algo, la
van a echar ante nosotros y no podremos decirles nada porque siguen siendo nuestros jefes.

La clave está en dividir tareas, y elegir un grupo efectivo para llevar a cabo la tarea de
planeamiento. Este grupo tiene que estar integrado por personas dedicadas a auditar las
redes.
Cada persona que integre el grupo debe tener una responsabilidad acorde con el plan
que se vaya a realizar. Una persona dedicada a la seguridad física de las PC’s no se va a dedicar
también a problemas de red, es por eso que se dividen las tareas en las empresas, y es muy
común crear un organigrama.

c
n
e
G
o
p
u
r a
i
e
d
es
n
i
m
d
a t
r
a
c
d
r
u
g
e
s
n
ó
i a
d
¿Que es una DMZ?

Significa la ZONA DESMILITARIZADA y es una zona aparte en la cual colocaremos

nuestros servidores los cuales se acceden mediante la Extranet.
Los firewalls incluyen una interfaz además de sus internas y externas, extra para ubicar
nuestra DMZ.
Las responsabilidades del Administrador van a ser proteger la información que se
encuentra en nuestra LAN aislándola para su protección contra intrusiones.

El uso de Vlan para la implementación de seguridad es muy frecuente ya que se

permite nivelar los niveles de acceso a nuestra DMZ mediante el filtrado de tráfico entre
segmentos.

¿Que es una VPN? y ¿Porque Usarlas?

Las VPN significan Redes Privadas Virtuales.

Que es eso de virtuales? bien.. digamos que existe dicha virtualidad porque a veces las
distancias geográficas impiden que las redes sean de forma FISICA, entonces mediante la
tecnología Frame relay logramos virtualizarlas y hacer que se conecten remotamente.

La información como vemos en la imagen que va desde por ejemplo MI OFICINA

claramente vemos como para llegar a destino pasa por internet, y en internet hay de todo,
gente husmeando, espías por demás, pero gracias a un tunelado que realizan las VPN se envía
encriptada la información hasta llegar a destino como podría ser a los SERVIDORES.

Tipos de VPN

Site-to-site. Sitio a sitio.

Client-to-site. Cliente a sitio.
Site-to-site [ sitio a sitio ]: Generalmente las pcs que se van a interconectar dependen de una
IP fija, esto se debe a que los cortafuegos trabajan mediante IP y no por host.
Las redes se conectan entre sí mediante firewalls, Routers u otro dispositivo especifico.
No está de mas aclarar que sea cual fuese el dispositivo usado, necesitaremos la IP del otro.
Abajo dejo un diagrama muy malo pero es para ejemplificar mejor esto... [no se rían soy malo
en diseño grafico . ]

Client-to-site [Cliente a sitio]: Solo con un software que trabaje como cliente, autentificando
nuestro user & password, seria suficiente para realizar la conexion.

Y así es, generalmente es usado para empleados de las empresas que están lejos de la
oficina e incluso es muy común y lo he visto por conocidos, Administrar la Seguridad
Informática de una red en otro lugar del continente.
Otra cosa a tener en cuenta, el software es quien se encarga a la hora de conectarnos
al sitio mediante la creación de un túnel VPN, el cual encapsula toda la información y la
encripta.

Seguridad en las VPN

La seguridad de las VPN cuando se concreta la conexión mediante cifrado con

algoritmos como el AES, 3DES, DES común.
En el caso de site-to-site el Protocolo usado es el IPSec, que tiene varios mecanismos
de seguridad, demostrando que posee la suficiente confianza con respecto a confidencialidad,
integridad y autenticidad.
El protocolo IPSec posee una IKE -Internet Key Exchange- que permite intercambiar
informacion entre los dispositivos como los firewalls, routers etc., también estos son conocidos
como -peer- (negociadores).
La cabecera de los datagramas está compuesta por:
* AH (Authentication Header): Protege parte de la cabecera IP, como las direcciones de origen
y destino.
* ESP (Encapsulating Security Payload): Este elemento se ocupa de la confidencialidad de los
datos, o sea protegiendo al paquete que sigue a la cabecera.

En el caso de client-to-site no hay un protocolo default o alguno que sea muy frecuente, hay
varios como el L2TP (Layer 2 Tunneling Protocol) usado generalmente en Windows XP y creo
que 2000. Es muy superior el L2TP a diferencia del PPTP (Point to Point Tunneling Protocol)
que se encuentra en todas las versiones de Windows.
Implementación de seguridad mediante filtrados.

Una vez que armamos nuestra red, diseñamos cada detalles, viene el toque final que
es el más importante de todo, y es el fin en sí de nuestro trabajo, IMPLEMENTAR SEGURIDAD.

¿Como hacemos esto?, pues bien, tenemos varias formas independientes, que si las
fusionamos se complementan formando la seguridad de la red total.

Cuando hablamos de implementar seguridad, no estamos diciendo que hay que poner un
policía o un grupo SWAT frente a la PC las 24hs sino que se implementa de una forma más
sencilla, como el poder "FILTRAR" información que no nos sirve, o que no es útil para nuestra
red.

Por ejemplo:
Si solo tenemos un servidor el cual únicamente es útil y sirve para un determinado
cliente, o sea que servimos información para una determinada IP nada mas en todo el mundo,
lo que deberíamos hacer es filtrar el resto de conexiones menos esa IP única que pertenece a
nuestro cliente.
En "pseudocódigo" sería algo así:

Aceptar
Únicamente conexión de ["IP-UNICA"] en determinado puerto y bloquear todo
el resto de conexiones que no sean la de nuestro cliente.

Cuando hablamos del filtrado de información, deducimos "información" como "datos".

Algunos dispositivos de Seguridad que realizan estos filtros son:

Los Firewalls principalmente (También llamados Cortafuegos) y pueden ser

implementados tanto vía Hardware como Software.

De esta rama de Firewalls resaltan dos sistemas importantes:

* Los IDS (Sistemas de Detección de Intrusos).
* Los IPS ya sea mediante Hardware o Software (Sistema de Prevención de Intrusos).
Una cosa a aclarar es que muchas de las empresas y organizaciones importantes (y
serias sobre todo) usan más de una PC destinada a la seguridad de sus propias redes.
Recordemos que en lo que respecta a la seguridad siempre, ya sea de forma virtual o forma
física. Se implementa mediante CAPAS, imaginemos un anillo rodeada de otro anillo mas
grande, y otro más grande, y otro mas y mas y mas... y cada anillo es una capa de seguridad
por lo tanto que si desde el exterior queremos ingresar al centro del anillo tenemos que saltear
varias capas.
Eso es lo que se hacen con respecto a la Seguridad Informática, todo está empleado en
capas.
Filtrado de Paquetes.

Es el filtrado más básico, este firewall se basa en la lectura de las cabeceras de los
paquetes y compara con las reglas establecidas previamente.
El firewall se enlaza con la capa de RED (ICMP/IP) y con la de TRANSPORTE (TCP/UDP).
El firewall determina una regla de acceso mediante seis elementos o requisitos:
IP DE ORIGEN IP DESTINO PUERTO DE ORIGEN PUERTO DESTINO PROTOCOLO ACCION
Ejemplo:

Regla de acceso en un firewall.

Esto seria básicamente una regla de un firewall

1- En la primera línea vemos como en IP de origen figura ANY, esto quiere decir
"cualquiera/alguno" Pero en este caso se usa como Cualquiera.

Entonces estamos diciendo que CUALQUIER IP, que se conecte a NUESTRA IP (IP
DESTINO) desde CUALQUIER PUERTO (PUERTO DE ORIGEN, generalmente no es importante el
IP origen) hacia un PUERTO QUE TENEMOS ABIERTO (PUERTO DESTINO) (que en este caso es
un servicio de proxy ya que el protocolo y puerto nos manifiestan esto), entonces la
ACEPTAMOS.

2- En la segunda línea vemos como bloqueamos una determinada IP en este caso 24.232.2.2 si
intenta ingresar a nuestro servicio ftp que estamos corriendo. Automáticamente el firewall
denegaría el acceso.

Firewall de Enlace de Aplicación o de Servidor Proxy.

Este firewall como indica el nombre se enlaza con las capas de arriba de todo, las de
aplicación que son las que los usuarios tenemos contactos constantemente.
Básicamente el cortafuegos de aplicación lo que hace es dividir las dos redes... permitiendo
que la LAN se comunique con la WAN, y viceversa.

Tiene puntos ventajosos y en contras como todo software, su seguridad es quizás

simple pero es bastante confiable, su autenticación es mediante IP.
Tiene ventajas como la de guardar información en cache, lo cual implica una menor
carga, se puede restringir acceso a los usuarios o a determinado recursos que estos quieran
acceder. Un usuario puede autenticarse mediante Telnet, FTP, etc. y una vez que se autoriza se
muestran todos las posibilidades de accesos a servicios, que realmente no se ven cuando se
carece del usuario y contraseña.

DESVENTAJAS

* Si hablamos de Vulnerabilidades puede que cuente con algunos puntos en cuanto a este
sistema, que está basado en las capas superiores por lo tanto no puede interactuar de la
misma forma que otros cortafuegos, o sea que puede recibir ataques de inundación de SYN,
Spoofing, no advierte de programas que pueden instalarse y editar registros o incluso
borrarlos, etc.

* El uso de hardware es importante, ya que emplea muchos recursos, por lo que es

preferencial, solamente emplearlo en un PC dedicado a este propósito.

Análisis de paquetes con estado SPI.

Sin dudas es el tipo de firewall que se lleva todos los premios y confianza, su complejidad es
muy robusta. Su trabajo es compatible en casi todas las capas del modelo TCP/IP, lo que lo
hace ser muy inteligente comparándolo con otros patrones de filtración.
Con SPI se compara una tabla que se crea con las conexiones ya establecidas, es muy
importante esto ya que un spoofing algo básico no daría los mismos resultados,
(a diferencia de la "filtración de paquetes" que se comparaba mediante el estado del bit SYN),
según sea el protocolo, el Firewall SPI también puede analizar por dentro del paquete recibido
con el objetivo de intentar detectar acciones maliciosas.
El estado de las conexiones en la tabla, puede guardar para uso posterior múltiples
datos que son definidos a través del firewall, como la IP origen, IP destino, puertos, tiempo de
conexión, etc.

Aplicación dependiendo la plataforma.

Firewall Domestico.
[Zone Alarm].

Es el software más conocido por los usuarios finales, en la actualidad se escucha hablar
mucho de estos firewalls, los cuales se implementan en una PC hogareña y para ese único fin
de proteger ese determinado host.
Los firewalls más modernos, o en su defecto, en versiones FULL, o PRO, además del
motor de cortafuegos, vienen con complementos adicionales como pueden ser un Antivirus,
un Anti-Spam, Anti-Phishing, Anti-Spyware, etc etc..
Algunos ejemplos de estos son: Zone Alarm (en foto arriba), Comodo Firewall,
BlackICE,etc. si te dedicas a sentarte, escuchar música, navegar y navegar, este dispositivo es el
indicado para tu plataforma. (Siempre que hablemos de Windows).
Firewall de Servidores.

Esta es otro dispositivo bastante eficaz que se ve comúnmente instalado

en medianas empresas. Se basa en instalar un software que ejecute funciones de un firewall
dentro de un determinador servidor, mediante el cual asegura toda la red y el mismo equipo.
Una de las más conocidas al momento de hablar del sistema "Windows" es el ISA
(Internet Security and Acceleration Server) es un gateway integrado de seguridad perimetral.
El cual permite proporcionar seguridad a los usuarios mediante un acceso remoto seguro a
todas las aplicaciones de la empresa.

Firewall en los Routers.

Seguimos nombrando dispositivos, y este es uno de los más conocidos y baratos.

Cisco fue quien resalto en lo que respecta de routers, creo su sistema operativo PIX, agrego
opciones a toda la gama de routers para que funcionen como firewalls, este es el Firewall
Feature Set, esto se agrega al sistema operativo del Router Cisco.

Si hablamos de que tan dinámico puede ser, es proporcional a la configuración que

nosotros los administradores asignemos, de acuerdo a las características del hardware que
poseemos podemos decir que puede ser más flexible o menos... Tiene varias funciones de
seguridad como la de análisis de transacciones de protocolos, permite registrarse como syslog,
puede bloquear java, entre otros.
IDS (Sistema de Detección de Intrusos).

Luego de terminar con las explicaciones de algunas variantes a la hora de filtrar

información, que incluso se pueden complementar unas con otras, en diferentes capas para
hacer más difícil el trabajo de un supuesto cyber delincuente. Ahora veremos algo más
complejo que son los IDS.
Una cosa a aclarar desde que un FIREWALL no es igual que un IDS. Generalmente la
gente se equivoca y compara como si se tratase de lo mismo y en realidad son dos cosas
diferentes, que se pueden complementar, en cuanto el firewall nos protege y el IDS nos vigila.
Estos dispositivos de Detección de Intrusos (IDS) están a cargo de alertar de posibles
intrusiones al sistema de nuestro enemigo el cyber delincuente.
Algunas características que poseen los IDS, es el envió de alertas mediante correo
electrónico, mensajes de texto, mediante un programa, etc.

Diferentes tipos de IDS, el NIDS & HIDS.

En este sector de Sistemas de Detección de Intrusos, podemos dividir la situación en

dos grandes caminos que ayudan a complementar conjuntamente la seguridad en nuestro
servidor.
Por un lado tenemos el "NIDS", que es el Sistema de Detección de Intrusos en una Red
como el nombre lo indica es capaz de analizar la red y comparar paquete por paquete en una
base de datos de ataques o blacklist, y alerta en caso de que sea positivo.
Hay que aclarar que el funcionamiento es básicamente un "Sniffing" al momento de
captar todos los paquetes de la red. Es muy usado por empresas de mediano y alto nivel, de
esta manera podemos no solo asegurar un equipo sino la red entera.

Por otro lado tenemos el HIDS, Sistema de Detección de Intrusos en un Host.

Este sistema de lo contrario al NIDS, solo analiza el tráfico en un determinado host.
Simplemente se instalan en equipos puntuales independientes, puede analizar a usuarios y
hacer un seguimiento ya sea el acceso a ficheros o carpetas no permitidas, borrado de archivos
críticos que pongan en peligro el sistema.

Los IDS tienen dos formas de reconocer un ataque producido por nuestro enemigo el
"cyberdelincuente".
El primero es mediante las tan conocidas FIRMAS que lógicamente se trabaja mediante la
"COMPARACION".
Una vez que el paquete pasa por el IDS, este lo compara con unas reglas predeterminadas que
comentan supuestos ataques.
Un ejemplo de un IDS, es el SNORT (Para mas información ingresar a la web principal
http://www.snort.org) este IDS implementa un lenguaje de creación de reglas flexibles que lo
hace bastante potente y sencillo.
El SNORT avisa cuando se produce un ataque, desde el origen de IP se produce hacia el
destino de IP, puertos utilizados, es muy veloz y no necesita procesar información.

El Segundo se llama Análisis de Protocolo, el cual se divide en dos mecanismos, el

primero puede crear estadísticas mediante un determinado aprendizaje, en determinado
cantidad de tiempo. Digo lo del tiempo porque el IDS va a analizar el trafico "x" tiempo, la
rutina de nuestro trafico de red, cuanto mayor tiempo tiene de aprendizaje, menos falsos
positivos nos entregara, este mecanismo es de forma manual, simplemente nosotros debemos
ingresar la información para que nuestro IDS quede configurado.
El tema es bastante extenso en relación a los IDS, ya que es posible acceder a internet
en busca de ayuda o consejos de como implementar reglas propias, incluso gente en el ámbito
profesional y técnico tienen una gran "base de datos" de reglas o tips para estar al día en lo
que respecta a seguridad y a las ultimas vulnerabilidades.

Algunas recomendaciones:
# Snort.
# Manhunt.
# NID.

IPS (Intrusion Prevention System).

Evolución del IDS, IPS este mecanismo es realmente complejo, o al menos eso intenta
ser. Su funcionamiento tiene como objetivo la Detección, el Análisis y el Bloqueo de ataques.
Este dispositivo puede inspeccionar los flujos de datos con el fin de detectar los
ataques que pueden ser explotados mediante vulnerabilidades desde el nivel 2 (control de
acceso) del modelo OSI hasta la capa 7 (la de aplicación).
Una característica que destaca es la inspección a fondo, en la cual los paquetes pueden
ser clasificados y analizados en su totalidad mediante todos los filtros que posee.
Esa clasificación de paquetes se basa en la conocida configuración de cabecera de los
paquetes, direcciones origen y destino, etc. Si hablamos de los filtros que posee podemos decir
que están formados por un conjunto de reglas que definen determinadas condiciones que son
necesarias cumplirse para informar si un paquete es o no es dañino.

Lo bueno de los IPS es que no solo detectan la vulnerabilidad sino que mediante el Análisis de
Protocolo, lo transforma en algo así como un sistema inteligente, el cual permite detectar y
tomar acciones sobre una vulnerabilidad que todavía no ha sido anunciada.
Para resumir el funcionamiento de un IPS podemos señalarlo con 4 puntos fundamentales:
 El paquete que entra es clasificado por la cabecera y la información de flujo que se
asocia.
 Según la función de como se clasifique el paquete, se aplicaran determinados filtros.
 Los filtros relevantes se aplican en paralelo, y si hay un positivo, se etiqueta como
sospechoso.
 Si es sospechoso, se desecha y se actualiza la base de estado sobre el flujo relacionado
para descartar restos de dicho flujo entrante.
Algunas recomendaciones:
# RealSecure.
# Netscreen.
# Proventia G.
# Defense P.

Seguridad perimetral

En lo referente a la protección de los equipos informáticos laboratorios en el que se

encuentren los SITE’s etc., de acuerdo a lo que se pretende proteger se parte de cercos
perimetrales electrificados, cámaras de video vigilancia, vigilantes, control de acceso a
instalaciones.

Fuente

http://www.seguridad.unam.mx/eventos/admin-unam/FirewallsWin.pdf