Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OBJETIVOS
ÍNDICE
Siempre que se habla de seguridad, se debe considerar los riesgos. Es necesario identificar lo
que tenemos y por qué lo protegemos. También se deben identificar las amenazas y la
vulnerabilidad a dichas amenazas. Si tenemos a una empresa que vende zapatos, la
preocupación de que la gente pueda entrar por la fuerza en la tienda y robar los catálogos o
incluso zapatos será menor que la de un banco, en el que se puede modificar las cuentas de
los clientes o robar dinero en efectivo.
Estas áreas son críticas y deben ser estudiadas. Es posible que tenga que preocuparse de
otros temas en función de su situación personal, pero esta lista es una buena base para
cualquier política de seguridad de red.
Coste
Los costes involucrados en la implementación de una política de seguridad fuerte pueden ser
considerables. Los cortafuegos y sus productos relacionados son caros. El personal necesario
para implementar, inspeccionar y mantener las políticas de seguridad son difíciles de encontrar
y encima es muy caro.
Comodidad
Las políticas de seguridad fuertes son más incomodas que las políticas relajadas o inexistentes.
A la gente no le gusta utilizar contraseñas difíciles de recordar, ni les gusta cambiarlas con
frecuencia. Los cortafuegos pueden hacer que ciertos servicios de internet no estén
disponibles. Cosas como el correo electrónico externo, archivos de audio y video, además de
los servicios de chat de Internet Explorer, son solo algunos ejemplos de los paquetes que los
cortafuegos probablemente no permitan.
Disponibilidad
Los cortafuegos pueden introducir lo que se llama “puntos únicos de avería”. La naturaleza de
los cortafuegos es que examinan cada paquete que entra y sale de la red. Si el cortafuego se
avería por alguna razón, es posible que las comunicaciones se detengan. La redundancia es
complicada e incluso más cara.
Estos tres aspectos se deben combinar e integrar de forma que las características de uno de
estos temas no interfieran con los otros. Por ejemplo, si no se les permite a otros acceder a
nuestros datos, se preserva la integridad y la privacidad. Si la red permanece accesible,
también se asegura la integridad. Parte del mantenimiento de la accesibilidad es evitar que
piratas informáticos (hackers) maliciosos destruyan su utilidad, como con u n virus o un ataque
de denegación del servicio (DoS).
Productividad y rendimiento
A la gente le gusta utilizar el trayecto con la menor resistencia. Si las políticas de seguridad
dificultan la conexión remota desde casa o viajando, es menos probable que la gente se
conecte y trabaje cuando estén ausentes. Los cortafuegos pueden ralentizar las transmisiones
considerablemente dependiendo de lo detallados que sean los métodos de filtrado.
Una de las formas más habituales de recoger información de una red es utilizando lo que se
llama un rastreador de paquetes (packet sniffer) o analizador de red. Muchos de estos
programas son totalmente gratuitos y sencillos de utilizar. Una vez se ha comprometido un host,
se puede cargar en el software del rastreador y después escuchar en el puerto Ethernet
buscando cosas como “Contraseña” (Password). “Login” y “su” en el flujo de paquetes, además
del tráfico que le sigue. De este modo, los atacantes pueden averiguar contraseñas de sistemas
en los que ni siquiera estén intentando entrar. Las contraseñas en texto sin cifrar son muy
vulnerables a este ataque. Todo esto puede resultar incluso más sencillo para gente que actué
internamente. Pueden cargar el software ellos mismos y hacer lo mismo. Recuerde que la
mayor parte de las actividades maliciosas en las redes de computadoras se producen desde
dentro de la empresa.
3.2.2 Falsificación de IP
La falsificación (spoofing) de IP se produce cuando una maquina finge ser otra máquina. La
máquina que falsifica lo que hace es convencer a un servidor de que su dirección de origen es
la de una maquina con la que intento comunicarse previamente. Las máquinas que se
transmiten datos entre sí lo hacen proporcionando direcciones de origen y desti no en el
paquete IP. Si se falsifica dicho paquete en el momento adecuado, podemos convencer a la
otra computadora de que somos el origen y receptor pretendidos. Esta técnica se puede utilizar
para averiguar cuentas de usuarios, contraseñas y otra información peligrosa. Otra forma de
hacerlo es utilizando encaminamiento de origen de IP; un host atacante es una opción que se
puede utilizar para especificar una ruta directa hacia su destino, además del trayecto de retorno
hacia el origen. La ruta puede literalmente exigir y puede implicar la utilización de otros routers
u hosts que normalmente no se utilizarían para reenviar los paquetes hasta su destino. Se
puede hacer esto suplantando a un cliente de un servidor dado en quien se confía de la manera
siguiente:
1. En primer lugar, el atacante podría cambiar la dirección IP de su máquina para que sea
la misma que la de otra máquina en la que se confía.
2. Entonces, este atacante crearía una ruta de origen hasta el servidor especificado, el
trayecto exacto que deberían seguir los paquetes IP hasta el servidor y desde el
servidor de vuelta hasta la máquina del atacante, utilizando el cliente en quien se confía
como último salto en la ruta hasta el servidor.
3. El atacante envía una solicitud de cliente al servidor utilizando esta ruta de origen.
4. El servidor acepta la solicitud de cliente como si proviniera directamente del cliente en
quien confía y a continuación devuelve la respuesta a dicho cliente.
5. El cliente es quien confía. Utilizando el encaminamiento de origen, reen vía el paquete al
host del atacante.
Otra forma de engañar a un cliente, que es incluso más sencilla, es simplemente esperar hasta
que se apague su máquina y entonces suplantar a la maquina cliente. Una forma de hacerlo
sería utilizar NFS para obtener el acceso a los directorios y archivos del servidor (NFS utiliza
solamente direcciones IP para autenticar a los clientes). Después de unas horas, basta con
configurar una maquina con el mismo nombre y dirección IP e iniciar conexiones con el servidor
como si fuera el cliente real.
La Denegación del servicio (DoS). Denial of Service) es un ataque diseñado para conseguir que
una computadora o red sean inútiles o incapaces de proporcionar los servicios normales. Los
ataques de DoS más habituales estarán dirigidos al ancho de banda o a la conectividad de red.
Los ataques de ancho de banda inundan la red con tanto tráfico que se consumen todos los
recursos de la red. Haciendo que les resulte imposible a los usuarios normales el conectarse.
Los ataques de conectividad inundan una computadora con tantas solicitudes de conexión que
se consumen todos los recursos disponibles del sistema operativo, y la computadora ya no
puede procesar las solicitudes de usuarios normales. Otro tipo de ataque de DoS es el llamado
ataque de Denegación distribuida del servicio (DoS). Distributed Denial of Service). Este ataque
utiliza múltiples computadoras para lanzar un ataque de DoS sincronizado contra uno o más
objetivos. Utilizando tecnología tipo cliente/servidor, el atacante es capaz de multiplicar la
efectividad (también se le llama amplificación) del DoS de manera significativa utilizando los
1. En primer lugar. el atacante crea una dirección de origen aleatoria para cada
paquete.
2. Después se activa el indicador SYN en cada paquete. lo que supone una
solicitud de abrir una nueva conexión con el servidor desde la dirección IP falsa.
3. La víctima responde entonces a la dirección IP falsa y espera una confirmación
que no llega nunca (habitualmente unos tres minutos).
4. Esto provoca que la tabla de conexiones de la víctima se llene mientras e spera a
estas respuestas.
5. Cuando se llena la tabla, se ignoran todas las conexiones nuevas.
6. Se puede utilizar una inundación de SYN para otros tipos de ataques. como la
inhabilitación de un extremo de una conexión TCP como preparación para un
ataque de secuestro de sesión o impidiendo la autenticación o conexión entre
servidores.
Ataque por tierra. El Ataque por tierra utiliza la falsificación de IP en combinación con
una conexión TCP inicial. Envía un paquete en el que el indicador SYN de la cabecera
está activo durante la apertura de una conexión TCP. Después, se modifican las
direcciones IP del paquete de IP subyacente. En un Ataque por tierra se modifican las
direcciones IP de origen y destino para que sean idénticas a la dirección del host de
destino. Una vez el host de destino recibe el paquete, responde a la solicitud de SYN.
Cuando responde el host de destino crea primero un paquete con el indicador ACK
activado y después cambia la dirección de destino por la dirección de origen y viceversa.
Por tanto. si ambas direcciones son idénticas. entonces obviamente la máquina
comienza a enviarse el paquete a sí misma, por lo que se mete en una guerra de ACK
consigo misma, y continúa creando una situación de DoS.
Inundación de ICMP. Este ataque de DoS envía una gran cantidad de paquetes de
solicitud de eco de ICMP a la máquina objetivo que no puede responder con la
suficiente rapidez como para ocuparse de todo el tráfico de la red. En primer lugar. el
atacante falsificará su IP de origen, porque si no lo hace su máquina sería una víctima
de su propio ataque al dedicar recursos no sólo para enviar el paquete sino también
para recibir las respuestas al paquete. Ahora, simplemente continúa enviando paquetes.
y mientras el objetivo tiene que utilizar recursos para recibir u contestar a los paquetes.
Multiplique esto por un ataque distribuido entre múltiples máquinas y se acabara
fácilmente con la máquina objetivo. Se pueden programar los servicios del Sistema de
detección de intrusos (IDS. Intrusión detection system) en routers y cortafuegos para
limitar las solicitudes de eco de ICMP o descartarlas totalmente, impidiendo su entrada
en la subred.
Ataque de los pitufos. El ataque de los pitufos (smurf) es el que se aprovecha de una
característica de la pila de IP llamada difusiones dirigidas. Un ataque de pitufos inundara
al router con paquetes de solicitud de eco de ICMP (pings). Como la dirección IP de
destino de cada paquete es la dirección de difusión de nuestra red, el router hará una
difusión del paquete de solicitud de eco de ICMP a todos los hosts de la red. Cuantas
más maquinas estén conectadas a la red, más tráfico de solicitudes respuestas de eco
de ICMP se generarán. Si el atacante decide falsif icar la dirección IP de origen del
paquete de solicitud de eco de ICMP, el tráfico de ICMP resultante no solo
congestionará la red (la red intermedia) sino que también congestionará la red de la
dirección IP de origen falsificada llamada red víctima, por el envió de los paquetes de
respuesta de eco de ICMP. Para evitar que una red se convierta en intermedia, tendría
que desactivar el direccionamiento de difusión en cualquier router de red que lo permita
o configurar el cortafuegos para que filtre las solicitudes de eco de ICMP. Para evitar
convertirse en la víctima del propio ataque, configure el cortafuegos o los routers para
que filtren las respuestas de eco de ICMP o limiten el tráfico de eco aun pequeño
porcentaje del tráfico global de a red.
Ataque de lágrima. La mayoría de las redes tienen un tamaño máximo de paquete que
pueden manejar. A este tamaño de paquete se le llama Unidad Máxima de
Transferencia (MTU, Maximun Transfer Unit). Si la red subyacente no puede transportar
un paquete dado porque es demasiado grande, es necesario descomponer el paquete
en fragmentos más pequeños, a esto se le llama fragmentación. Una vez los fragmentos
de paquete han llegado a su destino final, se reensamblan el paquete a partir de los
fragmentos. Tanto la fragmentación como el reensamblado se realizan en el nivel IP de
TCP/IP. Cuando el nivel IP recibe un paquete de IP, habitualmente realiza lo siguiente:
Los ataques de lágrima explotan que estos procedimientos confían en las cabeceras de
paquete de los fragmentos. Si se solapan estos desplazamientos de fragmento, ent onces se
puede provocar el derribo del sistema, lo que supone un DoS.
Explotando estas debilidades los atacantes pueden obtener el acceso a una computadora con
los permisos de la cuenta que ejecuta la aplicación, que habitualmente tiene permisos para
hacer un daño importante.
Una de las formas más modernas de ataques de nivel de aplicación explota el grado de
apertura de varias tecnologías nuevas que se utilizan a menudo en la Web hoy en día, como
por ejemplo las nuevas especificaciones HTML. Las funciones de los navegadores de Web y
otros protocolos populares como el IRC (chat). Estos ataques, que incluyen app lets de Java y
los controles ActiveX, implican el envió de programas dañinos a través de Internet hasta
nuestra red cargándolos a través del navegador de la víctima.
Cada vez más las principales publicaciones están subrayando las intrusiones en la seguridad
de la red. Esto se debe a dos importantes razones:
Las personas y los grupos que asaltan los sistemas de seguridad de red corporativa
revelan sus intrusiones en foros públicos.
Las irrupciones en estos entornos infligen daños económicos y sociales.
Es importante comprender los significados de Intranet, extranet e Internet debido a que son
términos y conceptos básicos en el diseño de seguridad de redes. Los términos definen los
segmentos generales de la red.
Una seguridad general comienza con la comprensión de cómo estás redes diferentes se
interconectan o interactúan entre ellas. Cada una necesita un nivel y un tipo de seguridad
diferente. Se describe a continuación los tipos generales de infraestructura de red:
3.3.1.1 Intranet.
Se definen como redes internas sobre las que un usuario o una empresa tienen control. Por
ejemplo una página web www.negocios.com define una intranet como una red privada
3.3.1.2 Extranet.
Las extranets son redes de acceso externo para los asociados de empresa a empresa,
principales u otras redes sobre las que el usuario no tiene control. El sitio web
www.negocios.com define una extranet como una red privada que utiliza protocolo Internet y el
sistema de telecomunicaciones público para compartir de forma segura parte de la información
de la empresa u operaciones con proveedores, colaboradores, clientes u otras empresas. Una
extranet se puede ver como parte de la Intranet de una empresa que se extiende a usuarios
que están fuera de la empresa. Un ejemplo de extranet es el acceso que comparten las
entidades gubernamentales con los contratistas militares. Las extranets requieren procesos de
seguridad adicionales y procedimientos que vayan más allá que los de las intranets.
3.3.1.3 Internet.
El termino Internet se utiliza sobre todo para describir la interconectividad entre redes
autómatas (diferentes empresa o redes que están fuera de su control) que sirve para
proporcionar una conectividad colectiva. Una Internet también puede verse como una Intranet o
una extranet. La mayor Internet es, por supuesto, el World W ide Web, a la que se hace
referencia como Internet. El acceso a Internet representa un tipo de riesgo especial para la
seguridad. Las amenazas pueden proceder de millones de ubicaciones muy lejanas imposibles
de rastrear, para así poder llegar hasta una persona o incluso un origen. Las intrusiones en su
red y su sistema pueden pasar desapercibidas a menos que se implanten medidas de
seguridad apropiadas un firewall.
Las amenazas departamentales más habituales son PC desatendidas pero autorizados que
cualquiera puede aprovechar y utilizar, comandos y puertos de red que están activados pero
que no se utilizan y que permiten a un individuo no autorizado entrar y conectar un equipo
portátil para así tener acceso a la red. Por ejemplo si se tiene DHCP activado, obtener una
dirección IP disponible resultara más fácil porque DHCP asigna la dirección al dispositivo de
conexión. Mientras existan controles simples para mitigar estos riesgos, los firewall internos
pueden reducir el riesgo de un daño global si se omitieran estos controles.
Los puntos de entrada y salida de redes SOHO están limitados normalmente aun único punto
de demarcación y los servicios de firewall se pueden proporcionar de forma local o desde un
ISP (pagando una mensualidad). Se puede agregar equipos de firewall de bajo coste y
software, para proporcionar servicios locales de firewall en la demarcación de Internet.
3.3.2.2 Requisitos
Una vez definidos los propósitos de la red, se recomienda identificar los requisitos específicos
de seguridad de red. Entre los más habituales de seguridad de red están el control de acceso,
la disponibilidad y la integridad de los datos. Elabore detenidamente una lista de preguntas
sencillas, pero importantes, que ayuden a cuantificar los temas de seguridad fundamentales.
Una vez recopiladas, también se recomienda revisar las preguntas para asignarles prioridades
y ver la viabilidad. Se puede dar por ejemplo algunas preguntas relacionadas con el diseño de
la red:
En este momento, cree haber unificado y resumido todos los requisitos. Tras definir sus
aplicaciones y usuarios, puede que descubra que aparecen requisito s nuevos o adicionales. Si
es así, vuelva atrás y agréguelos; no los deje de lado. Todavía puede agregar, mover y realizar
cambios según las necesidades. Este proceso puede llevar varios días, semanas o incluso
meses, hasta estar totalmente definido. Normalmente, cuando más grande y sofisticada sea la
red, más tiempo se necesitará para definir totalmente los requisitos.
Por ejemplo se puede plantear que de acuerdo a la cantidad de direcciones IP internas que se
manejen en el planeamiento de direccionamiento en una red y la cantidad de direcciones que
tendrán acceso fuera de la Intranet y que cruzarán el firewall, se pueden plantear entre otra
preguntas:
Estos requisitos de NAT y de los firewall son solo ejemplos. Este mismo proceso se aplica a
cualquier nivel de seguridad a las aplicaciones implantadas en la red. Es necesario identificar el
tipo de acceso que se va a facilita a los usuarios, dependiendo si están en su Intranet o si
tienen acceso a recursos de la Intranet a través de accesos de Internet o de extranet. A
continuación se incluyen algunos ejemplos:
b. Especificaciones arquitectónicas
Entre las áreas en las que hay que centrarse debe haber algunas de las que se indican a
continuación:
Seguridad
- Acceso a firewall
- Redundancia
- Intranet
- Internet
- Extranet
- Sistemas y periféricos
3.3.2.3 Presupuesto
Cuando haya finalizado de definir los requisitos de disponibilidad, puede definir un presupuesto
para estimar el capital y los gastos de mantenimiento, así como los costos del trabajo.
Los costos típicos de los productos para firewall pueden varias de acuerdo al tipo de solución a
implementar si es para un ISP, seguridad departamental o SOHO. Los precios varían desde
unos cientos de dólares hasta los miles de dólares.
A la hora de definir presupuestos, asegúrese de tener en cuenta las horas de mano de obra
necesarias para administrar y mantener la red, así como las soluciones de seguridad. En el
caso de solución SOHO, un par de horas al mes puede ser todo lo que se necesite para
actualizar el software antivirus y revisar las versiones de software de los productos y así estar
actualizado en los temas de seguridad. Para entornos grandes el número de horas se puede
medir por el número de ingenieros necesarios para mantener una gran implementación.
Si pueden utilizar varios métodos para realizar la elección final. Los criterios de selección
basados en el costo, la disponibilidad, las pruebas, la asistencia técnic a y las relaciones
empresariales se pueden utilizar para seleccionar productos o para hacer selecciones de mayor
consideración basadas en el diseño y las pruebas.
Especificaciones de seguridad:
- Firewall,
- Listas de control de acceso
- Seguridad física
- Análisis de riesgo.
Especificaciones de fabricantes para todos los componentes:
- Cables
- Contenedores
- Conectores
- Modelos de servidores, conmutadores y enrutadores aprobados
- Versiones de software
ING. MG. EDWARD EDDIE BUSTINZA ZUASNABAR Página 19
UNIVERSIDADUNIVERSIDAD
PERUANA LOSPERUANA
ANDES LOS ANDES SEGURIDAD Y DESARROLLO DE APLICACIONES EN INTERNET
El laboratorio de pruebas y validación aislado se utilizara para comprobar los productos de los
proveedores, probar configuraciones, probar nuevos métodos e ideas y validar la
interoperatibilidad. Además las pruebas de versiones de mantenimiento anteriores a la
implementación de la producción es un paso básico en el proceso de implantación, diseñado
para minimizar el riesgo de trastorno en los servicios de los clientes.
Una vez implantado el diseño se debe decidir por quien va ocuparse del servicio técnico y
cuando va asumir esa responsabilidad. Lo habitual es un espacio de 48 y 72 horas de servicio
continuado y sin errores antes de la transición desde el grupo de ingenieros hasta el grupo de
operaciones. A veces, los equipos del servicio técnico son los que realizan la implementación,
especialmente en pequeñas empresa de tecnología de la información. Los procedimientos de
ampliación tienen que estar formalizados y dar explicaciones detalladas para que la plantilla del
servicio técnico conozca cómo se realizará la ampliación.
Las topologías de red están fuera del objetivo de este curso, se mencionaran las que más se
utilizan actualmente y donde se ubican los firewall dentro de cada una de ellas.
Anillo
Estrella
Ethernet/bus
Malla
Jerárquica/agregada
3.3.3.1 Anillo
En una topología anillo, los dispositivos están conectados de un extremo a otro para así tomar
esta forma. Las primeras topologías de anillo, como la Interfaz de fibra de datos distribuidos
(FDI, Fiber distributed Data Interface), una tecnología OSI de capa 2 y una Red óptica sincronía
(SONET, Synchronous Optical Network), una tecnología OSI de capa 1, funcionan bien. Estas
La Figura 1 muestra una topología de anillo FDDI. Las flechas oscuras representan el flu jo de
tráfico y la dirección en la fibra/anillo primarios, mientras que las flechas claras representan el
anillo/fibra de reserva secundario.
Internet
Anillo FDDI
Servidor
Concentrador
FDDI
La Figura 2 muestra lo que ocurra cuando se pierde un concentrador. Los concentradores que
están directamente conectados al concentrador que ha fallado ajustan sus puertos para relegar
las conexiones erróneas y conectar las fibras primaria y secundaria y así restaurar la
conectividad.
Internet
Anillo FDDI
Servidor
Los concentradores FDDI típicos son dispositivos de acceso de capa 2 y no tienen las
capacidades de los firewall. Se agregan características de los firewall entre el concentrador
FDDI y el enrutador o el conmutador. Las instalaciones FDDI se consideran redes heredadas.
3.3.3.2 Estrella
Las topologías de estrella se parecen a una red controlada de forma centralizada. Cada
extremo se conecta mediante un concentrador central con un circuito de punto a punto. El uso
de conmutadores Ethernet es un ejemplo de implementación de una topología de estrella en un
entorno LAN. Esta es la forma más sencilla de proporcionar conectividad Ethernet a los
servidores o a los dispositivos de acceso a la red, como se muestra en la Figura 3.
Servidor
Servidor
Router
Servidor
En la Figura 3 las características de firewall se agregan en uno de los radios que derivan del
punto central agregado. En las redes de área extensa, muchas implementaciones también
utilizan un modelo parecido al de estrella, más conocido como concentrador y periferia. Las
razones para implementar una topología de concentrador y periferia de área extensa,
normalmente se basan más en la economía que en el control centralizado y la administra ción.
3.3.3.3 Ethernet/Bus
A partir de Ethernet coaxial la transición dio lugar al concentrador Ethernet. El concentrador
proporciona un método adecuado para agrupar conexiones Ethernet en un chasis central
utilizando parejas de cables CAT5 trenzados no blindados (UTP) con un conector RJ-45.
En lo referente a las necesidades de seguridad que hay que aplicar a cada sistema, o en el
caso de usuarios de total confianza para un concentrador, es imprescindible asegurar el acceso
al concentrador desde un enrutador.
3.3.3.4 Malla
En una topología malla, todos los dispositivos de capa 3 están conectados entre sí
proporcionando un salto a cada dispositivo de capa 3 (un salto en este contexto es un
segmento IP).
3.3.3.5 Jerárquica/agregada
En las redes grandes, las topologías agregadas, como muestra la Figura 4 centran el tráfico en
una infraestructura de núcleo para reducir los costos de las topologías (malla) altamente
conectadas y la cogestión asociada a los diseños lineales. Aquí es donde radica la dificultad del
plan. Las rutas de acceso en cada una de las áreas exteriores o dominios se podrían basar en
ubicaciones geográficas, edificios del campus o departamentos. La idea es hacer grupos de
acuerdo con las asociaciones lógicas dentro de la Intranet. Desde la perspectiva del diseño, el
ancho de banda se ha asignado para admitir las demandas del tráfico del más alto nivel entre
dominios a través del núcleo. Al crear el diseño, es importante que el flujo de tráfico entre áreas
se analice cuidadosamente para asegurarse de que no hay atascos en el núcleo.
Nucleo
Extranet Internet
Las características de firewall y la seguridad se aplican a dispositivos de capa 3 del núcleo que
proporcionan acceso a Internet/extranet, así como acceso a diferentes grupos lógicos, según
las necesidades.
El perímetro de red se puede diseñar utilizando varias técnicas para proporcionar diferentes
niveles de seguridad, acceso y rendimiento. A continuación se presentan los tipos de técnicas
de diseño de firewall más habituales que proporcionan una seguridad excelente.
DMZ contiene servidores y dispositivos de capa 3 que mejoran la seguridad evitando que la
Intranet este expuesta a Internet. Los servidores que están conectados dentro de la DMZ
pueden ser servidores proxy, que la red utiliza para proporcionar acceso Web a los usuarios
internos, y los servidores de red privada virtual (VPN, Virtual Private Network), que se utilizan
para proporcionar conexiones seguras a los accesos remotos, y otras aplicaciones del servidor,
como el correo y DNS que necesitan acceso a la red externa.
DMZ 1
Servidores
Proxy
Nucleo
Internet
Conm utador
Eternet
Servidores
Proxy
DMZ 2
Figura 5. Diseño básico del DMZ con capacidades de análisis interno y externo
Un uso habitual del host bastión es un sistema asegurado que no reenvía direcciones IP entre
Internet y una Intranet. Se puede tener acceso a los datos del host bastión tanto desde la
ING. MG. EDWARD EDDIE BUSTINZA ZUASNABAR Página 29
UNIVERSIDADUNIVERSIDAD
PERUANA LOSPERUANA
ANDES LOS ANDES SEGURIDAD Y DESARROLLO DE APLICACIONES EN INTERNET
Intranet como desde Internet, pero las dos redes nunca intercambian datos directamente. El
acceso Web se puede alojar y actualizar en el host bastión desde la Intranet mientras el host
bastión bloquea el acceso a redes desde Internet y la Intranet.
Área 100
Intranet
Host bastion
BGP4
Internet
Área 110
Intranet
El uso de una puerta de enlace de filtrado es un método muy habitual para denegar servicios a
una Intranet. El firewall tradicional extiende el concepto de puerta de enlace de filtrado
agregando la capacidad de presentar el tráfico de red en niveles ISO más altos.
Las directivas de uso aceptable definen los usos apropiados de los recursos de la red
corporativa. Al proporcionar directivas de seguridad razonables y cerciorarse de que los
sistemas y los equipos están asegurados correctamente, se crea un entorno de seguridad más
fácil de administrar. Además, las directivas escritas permiten a los administradores controlar a
los violadores de la directiva (los empleados no podrán decir que dicho comportamiento no se
había prohibido). Los temas que normalmente se definen en una directiva de uso aceptable son
los siguientes:
Además de una directiva general que controle los sistemas corporativos, se necesitaran varias
directivas específicas para asegurar que los sistemas se utilizan y administran de acuerdo con
las expectativas de la administración. Las directivas especificas hacen referencia a los métodos
de seguridad detallados necesarios para salvaguardar la red y los sistemas de la red ante
acciones perjudiciales, ya sean intencionadas o no. Las directivas específicas incluyen lo
expuesto a continuación, pero no se deberían limitar solo a ello.
Las cuentas de usuario y las contraseñas están en la primera línea de defensa desde la
perspectiva directa del usuario. Cada usuario controla su cuenta y su contraseña. Esta directiva
proporciona una definición de los estándares de la organización para las cuentas y contraseñas
correctamente administradas. El siguiente listado contiene muchos elementos y ejemplos de las
partes de la cuenta y la contraseña de una directiva de seguridad.
Establecer que las cuentas de usuario deberían tener unos privilegios mínimos para
realizar las funciones necesarias. No todo el mundo necesita tener acceso a nivel de
raíz o de administración a cada sistema.
Cada usuario debería tener una única cuenta de acceso.
Parámetros de contraseña aceptables. Las mejores contraseñas deberían tener un
mínimo de siete caracteres alfanuméricos y no deberían basarse en una palabra del
diccionario. Otras de las mejores prácticas son las de cambiar las contraseñas
periódicamente, evitando volver a utilizarlas, y prohibiendo expresamente compartirlas o
apuntarlas.
Las cuantas de usuario deberían desactivarse automáticamente tras un número
razonable de intentos de inicio de sesión erróneos. Se puede utilizar un tiempo de
inactividad, o puede hacer que el usuario contacte con el servicio técnico para que se le
vuelva a activar la cuenta.
Desactivar cuentas de usuario a las que no se ha tenido acceso durante más de 30
Crear cuentas de usuario para los proveedores y activarlas solo cuando estén en uso. A
continuación, desactivas estas cuentas una vez finalizado el trabajo.
Software
Actualizar los archivos de firma de virus todas las noches, o cada hora, mediante
procesos automatizados.
Ejecutar exámenes de virus periódicamente. Un archivo de firma antiguo puede que no
detenga nuevos virus. Realizar un examen completo del disco para buscar virus que
antes no se ha detectado.
Utilizar software de detección de virus en todos los servidores de entrada de correo
electrónico y de archivos que residan en servidores de archivos comunes.
Desactivar los servidores de correo electrónico que ejecutan de forma automática los
archivos ejecutables o secuencias de comandos cuando se tiene acceso a un correo
electrónico.
Seguridad física
Una directiva de seguridad típica corregirá la seguridad lógica y de software. Las directivas de
seguridad física solucionan las acciones que una empresa debería ejecutar para reducir los
riesgos en su infraestructura de telecomunicaciones debido a intrusiones, maliciosas o no, que
son posibles cuando alguien tiene acceso físico a la infraestructura. Algunos ejemplos son:
Los Sistemas de detección de intrusos (IDS, Intrusion Detection Svstems) están diseñados para
saber cuándo se le está atacando o investigando a nuestro sistema, habitualmente recopilan
información de orígenes diferentes en posiciones estratégicas de la red, analizan la información
y envían alarmas, descartan datos o segmentos completos, implementan medidas de reacción
y realizan varias otras respuestas. No son enteramente pasivos en el sentido de que no se
esperan simplemente a que algo suceda. Se investigan a sí mismos para ver si tienen
debilidades y buscan cualquier anomalía estadística en los datos que capturan. La mayor parte
de la detección de intrusos funciona examinando tres áreas: detección de utilización indebida,
detección de anomalías y reconocimiento de firma.
A veces se le llama análisis estadístico. Este método implica el hallar desviaciones a partir de
patrones normales de comportamiento, de ahí el término anomalía. La forma más habitual que
tiene la gente de enfocar la detección de intrusos en la red es detectar estas anomalías
estadísticas. La idea que subyace en este enfoque es medir una línea de base de utilización de
la CPU, actividad de disco, conexiones de usuarios, actividad de archivos, etc. A continuación
La mayoría de los productos se basan en examinar el tráfico buscando patrones de ataque bien
conocidos, lo que supone que para cada técnica bien conocida de los piratas hay que
programar en el sistema una firma para esta técnica.
La firma puede ser algo tan simple como una coincidencia de patrones o de una cadena de
caracteres. Un ejemplo clásico de esto es buscar en cada paquete del conductor el patrón /cgi -
bin/phf?, que podría indicar que alguien está intentando acceder al lote de órdenes CGl
vulnerable de un servidor Web. Algunos sistemas de IDS utilizan grandes bases de datos que
contienen cientos (o miles) de cadenas como esta. Inspeccionan la red y activ an alarmas y/o
registran eventos para cada paquete que ven que contiene una de estas cadenas.
BIBLIOGRAFIA
[1]. Firewall, Keith E. Strassberg. Richard J. Gondek, Gary Rollie. Publicado por Mc Graw
Hill. Año 2002
[2]. Manual de Routers Cisco. George C. Sackett traducido por Ricardo de Cordova
Herralde. Publicado por Mc Graw Hill. Año 2002.
ENLACES DE INTERES