ELEMENTOS FUNDAMENTALES
Los elementos fundamentales para un completo programa de seguridad son: ‡la protección de los datos de intranet, ‡sus aplicaciones y su hardware se incluye que los usuarios solo puedan realizar las tareas y solo puedan obtener la información para las que tienen autorización. ‡La palabra <<seguridad>> denota protegerse contra los ataques de piratas informáticos maliciosos, pero también debería de controlar los efectos debidos a errores o fallos en los equipos. La idea es disponer de un programa de seguridad completo. Cuando más detallado sea el programa más segura estará la intranet frente a peligros imprevistos.

CONCEPTOS BÁSICO DE SEGURIDAD
Antes de discutir las herramientas concretas que se pueden usar para la seguridad de la intranet es mejor entender los conceptos básicos esenciales en cualquier sistema de seguridad. ‡CONOCER AL ENEMIGO. ‡CONOCER LOS RIESGOS Y LOS COSTOS. ‡EXAMINAR LAS SUPOSICIONES. ‡RECUERDE QUE LAS PERSONAS SON PERSONAS. ‡IDENTIFICACIÓN DE LOS PUNTOS DE ACCESO. ‡TENGA EN CUENTA LA SEGURIDAD FÍSICA. ‡SEA CONSIENTE DE LOS EFECTOS DEL CAMBIO.

Hay amenazas de todas las formas y tamaños. incluyendo internet. Aun que se debe prestar mayor atención a las amenazas internas no hay que olvidar las amenazas que vienen de más allá del cortafuegos. En muchos estudios se indica que la mayor parte de las amenazas vienen de la red interna (en un 80% o 95%). TIPOS DE AMENAZAS Las amenazas pueden provenir de dentro de la intranet o de cualquier red externa a la que se este conectado. No existe una intranet totalmente segura. Hay algunas más normales que otras. . Dependiendo de cómo este configurada la intranet.AMENAZAS A LA SEGURIDAD DE LA INTRANET Cualquier intranet y cualquier dato que circula en ella es vulnerable a un ataque.

Vulnerabilidad Red corporativa Amenaza Se puede exponer la red corporativa a un ataque atreves de la conectividad que ofrece la intranet y los protocolos que utiliza. Los servidores que están conectados directamente la intranet pueden ser objetos de ataques y. las grandes computadoras. por tanto. mas tarde. La información que se transmite por la intranet puede ser objeto de ataques. conectado directa o indirectamente a la intranet son potencialmente vulnerables. . Servidor de la intranet Transmisión de datos Servicios disponibles repudio Un ataque de ciertos individuos puede desactivar los sistemas de red o la misma red Puede repudiarse una comunicación electrónica. Cualquier sistema de red. La confidencialidad e integridad de dicha información puede estar en peligro ante individuos no autorizados. se puede ver y alterar toda la información que contienen. Uno o más participes en un dialogo electrónico puede. negar que ha participado en el dialogo. bases d dato y sistemas de archivos.

Entre los tipos de código malicioso están: ‡Virus: es un segmento de código que se replica. Puede incluir código malicioso y una vez instalado en el sistema puede hacer cosas no esperadas (e indeseables). Es un programa que dice ser lo que no es. . ‡Gusano. ‡Caballo de Troya. La mejor defensa contra el código malicioso es mantenerlo completamente fuera de la intranet. pegándose el mismo a otros programas en la memoria de la computadora o en el disco. A diferencia de un virus un gusano es auto contenido y no necesita de otro programa que lo contenga. El código malicioso puede atacar a las computadoras personales y a sistemas sofisticados como los servidores de la intranet. Es un programa que llega a una red y se reproduce. Desgraciadamente no es tarea fácil.CÓDIGO MALICIOSO El código malicioso se refiere al software imprevisto que puede realizar muchas acciones en la intranet y los sistemas conectados.

Hay que ser consientes del valor de la información que se pone en intranet. Hay que tener en cuenta que los competidores y enemigos se podrían beneficiar de cualquier secreto que pudiesen localizar en l intranet. El ataque físico o la destrucción de hardware también entran dentro de esta categoría AMENAZAS DE LOS PIRATAS INFORMÁTICOS Los piratas informáticos pueden acceder a la intranet por varias razones. mientras que otros pueden querer robar la información o dañar la red y sus sistemas.AMENAZAS FÍSICAS Y A LA INFRAESTRUCTURA Entre los ejemplos de amenazas físicas y a la infraestructura están las sobretensiones y los desastres naturales como las inundaciones y los rayos. Algunos tan solo quieren fisgonear un poco. . ESPIONAJE CORPORATIVO Según se van trasladando los secretos de los armarios a archivadores de internet puede crecer el espionaje electrónico.

VULNERABILIDAD EN LA SEGURIDAD Existen distintos puntos vulnerables que hay que tener en cuenta al implantar un programa de seguridad. . autenticación de mensajes y políticas de seguridad blandas. FRAUDE Y ROBO La mayoría de las compañías usan algún tipo de computadoras para el sistema de contabilidad. muchas compañías están empezando a comprar bienes y servicios por internet. Los empleados son el grupo más familiarizado con las computadoras y las aplicaciones por lo que saben como causar el mayor daño. Además. La amenaza de fraude y robo crece según se va pasando a sistemas de comercio y contabilidad electrónicos.EMPLEADOS DESCONTENTOS Los empleados descontentos pueden producir daños y sabotajes en un sistema de computadoras. En la siguiente sección se describen algunos de los puntos vulnerables mejor conocidos de una red intranet/internet entre los que están los sistemas de contraseñas y TCP/IP.

Asegúrese de que las contraseñas se cambian a menudo y asegúrese de ese compromiso. ‡Mezcla de letra. Los ataques por contraseña implican comprometer una contraseña de un sistema. Los usuarios deberían seleccionar las contraseñas teniendo en cuenta lo siguientes criterios. números y símbolos. ‡No deberían de estar en un diccionario . ‡Que tengan un mínimo de 8 caracteres. ‡Tanto letras minúsculas como mayúsculas. Se estima que las contraseñas poco seguras ocasionan el 80% de los problemas de seguridad en una red.SISTEMA DE CONTRASEÑAS Los sistemas de contraseñas son con diferencia el método más explotado de vulnerar una red.

Más aun. las aplicaciones que utilizan TCP/IP como protocolo de transporte pueden ser vulnerables a un ataque.LENGUAJE TCP/IP TCP/IP. no es un lenguaje inherentemente seguro. . La idea no era limitar el acceso sino expandirlo. Cuando se definió TCP/IP. es el lenguaje de la intranet y el internet. TCP/IP se creó con la idea de interconectar distintos lugares militares. Muchos de los protocolos de intranet/internet se han mejorado recientemente para contener funciones de seguridad. la seguridad no era tema importante. Los ataques más habituales que explotan las habilidades del protocolo TCP/IP son probablemente el fisgonear la red y la suplantación de IP. y muchos de los protocolos relacionados. de investigación y universidades.

Ataque por fisgoneo/análisis de red. Los intrusos pueden acceder fácilmente a archivos y contraseñas usando el hardware y el software de los analizadores de red y así pueden fisgonear en ella. La suplantación de IP es una práctica en la que una computadora atacante asume la identidad de una computadora valida de la red para conseguir acceder a una tercera computadora y a cualquiera de los servicios de información que proporciona. Los paquetes pueden contener información de contraseñas o datos confidenciales. Suplantación de IP. . El software y hardware capturan los paquetes de TCP/IP según pasan de una computadora a otra por la red.

.

Requiere algún tiempo y quizás una cierta vigilancia pero pude impedir algunos ataques a la red y a la intranet. Una política de seguridad débil o pobremente implantada puede abrir agujeros de seguridad que convierta en vulnerable a la intranet. Los certificados digitales identifican unívocamente a los individuos y a las organizaciones y son una solución relativamente nueva a estos problemas de autenticación de usurarios y sistemas. POLÍTICAS DE SEGURIDAD DÉBILES. Las compañías deberían de ofrecer una política de seguridad a todos los empleados con respecto a su sistema y redes. Se pude hacer de forma sencilla y barata para cerrar todos los agujeros de seguridad de la intranet. ¿Cómo se puede verificar que realmente se esta conectando al lugar cuyo URL pretendía? TCP/IP y HTTP por si solos permiten de manera relativamente sencilla suplantar a un host.gov. a una persona o a una organización.AUTENTICACIÓN DE LOS MENSAJES.gov le envía un mensaje. Autenticarse quien se es cuando se comunica con alguien puede ser un elemento de seguridad en la intranet y en la internet. ¿cómo se puede verificar que el remitente es realmente la persona que se dice que es? De la misma forma cuando alguien se conecta a http://www. Si alguien con una dirección como president@whitehouse.whitehouse. .

Empiece respondiendo a las siguientes preguntas: ¿Qué hay que proteger? ¿Cuáles son las amenazas a lo que se quiere proteger? Si. Requiere algún tiempo y quizás una cierta vigilancia pero pude impedir algunos ataques a la red y a la intranet. por ejemplo. FIJACIÓN DE OBJETIVOS. Un completo programa de seguridad tiene como base una política comprensible y sólida. Se deben determinar los objetivos y a partir de los objetivos determinar las prioridades. su objetivo principal es proteger el sistema de base de datos que ya se tenía de ataques externos. El primer paso para crear una política de seguridad en la intranet es fijar los objetivos que se desean conseguir. la mayor prioridad del programa de seguridad y las políticas asociadas podría ser un cortafuegos y su administración. .IMPLANTACIÓN DE UNA POLÍTICA DE SEGURIDAD.

COSTOS FRENTE A RIESGOS. . Antes de asignar los objetivos y prioridades de seguridad se debe realizar un inventario de las posibles amenazas y vulnerabilidades que se han visto anteriormente y comparar el costo de las brechas en la seguridad frente al costo de implantar y administrar las medidas de seguridad contra esa brecha. Si el costo de las contramedidas es mayor que el eventual costo de la brecha de seguridad entonces puede que no valga la pena la contramedida. solo un loco compraría un auto de 500 dólares y le pondría una alarma de 1000 dólares para protegerlo. Después de todo.

SERVIDORES PROXY El servidor proxy proporcionara una puerta controlada a través del cortafuegos y hacia afuera de la red externa desprotegida.MODALIDADES DE SEGURIDAD EN UNA INTRANET CORTAFUEGOS El trabajo de un cortafuegos es definir y defender el perímetro de una red. .

.

-RECIBE LAS PETICIONES DE CONEXIÓN DE LA COMPUTADORA FUENTE. -DE ESA FORMA SE CONSIGUE UNA SEGURIDAD SUPERIOR YA QUE LAS COMPUTADORAS FUENTE Y DESTINO NO ESTÁN NUNCA REALMENTE CONECTADAS. -UN CORTAFUEGOS NO TIENE EN CUENTA EL CONTENIDO DE LOS PAQUETES SERVIDOR PROXY -SE CONECTA TANTO A LA FUENTE COMO AL DESTINO. AL MISMO TIEMPO EL SERVIDOR PROXY ESTABLECE UNA CONEXIÓN CON LA COMPUTADORA DESTINO Y DE IGUAL FORMA TERMINA ESA CONEXIÓN.DIFERENCIA ENTRE CORTAFUEGOS Y SERVIDORES PROXY CORTAFUEGOS -FUNCIONA CON CADA UNO DE LOS PAQUETES. . ESTABLECE LA CONEXIÓN Y TERMINA ESA MISMA CONEXIÓN. -SOLO CONTROLA EL TRAFICO DE PAQUETES Y REACCIONA DE ACUERDO CON LAS REGLAS QUE SE LE DAN.

La principal diferencia es que el servidor no tiene en cuenta los protocolos que pasan atraces de el. Las ventajas de un servidor SOCKS provienen de que un único servidor proxy puede manejar todo el trafico de aplicaciones diferentes. . No es necesario administrar un servidor proxy para cada aplicación (por ejemplo ftp. SOCKS es un protocolo en si mismo. http y gopher) que se usan en la intranet.SERVIDORES PROXY SOCKS (CIRCUITO) El servidor proxy SOCKS funciona de la misma forma que muchos otros servidores proxy. muchas aplicaciones que desean usar un servidor proxy SOCKS deberán de tener un mecanismo de comunicación con el servidor SOCKS. Por ello. O bien el software TCP/IP o la propia aplicación deben de soportar el protocolo SOCKS.

discusiones. etc. mientras que para aplicaciones de almacenar y retransmitir (correo. búsqueda. Para aplicaciones cliente/servidor interactivas (web. .) son mas apropiados los protocolos como la capa de conectores seguros (SSL) o la tecnología de comunicaciones privadas (PCT). el acceso seguro y control de las aplicaciones y la implantacion de protocolos de seguridad. La intranet puede usar tanto aplicaciones de tipo cliente/servidor como de almacenar y retrnsmitir que requieran distintos modos de seguridad. directorios. etc.COMO CONSEGUIR SEGURIDAD EN LAS APLICACIONES DE INTRANET existen distintos apectos sobre seguridad de las aplicaciones entre ellos las politicas de seguridad.) son mas utiles los protocolos como MIME seguro (S/MIME).

Cifrado y desifrado El cifrado trata los requisitos de confidencialidad y control de acceso consiguiendo que las personas no autorizadas no puedan acceder a los datos.CIFRADO. Asegura que solo las personas autorizadas para ver o modificar los datos de un servidor corporativo pueden acceder a dichos datos. ‡Control de acceso. DESCIFRADO Y FIRMA DIGITAL Para que las personas se comuniquen. Los elementos que trata la criptografía por claves son los siguientes. colaboren y accedan a información confidencial tanto en un entorno de intranet como de internet existen cierto requisitos que deben satisfacerse para asegurar que se protejan los recursos. Asegura que los datos de una conexión cliente/servidor o en una conexión punto a punto no quede abierta a personas no autorizadas. El cifrado modifica unos datos en forma legible a un formato ilegible. Este proceso de Cifrado y decifrado se lleva a cabo con la ayuda de una o varias claves. . ‡Confidencialidad.

‡Autenticación. autenticación y aceptación. en el hecho de que se puede usar para asegurar a un lector (quien lo acepta) cual es la fuente de la información. Además. Los elementos que trata la firma digital son: ‡Integridad. Cuando alguien rechaza estar involucrado en una situación con problemas o niega haber tenido ninguna intervención en un problema.FIRMA DIGITAL Se trata de los requisitos de integridad. Proporciona la prueba de quien es la fuente de los datos de manera que se puede verificar la autenticidad de quien inicio la conexión o quien envió el mensaje. la firma digital permite asegurar que se detecta cualquier cambio en los datos. La firma digital viaja con los datos o asociada a un archivo de texto con los datos. ‡Aceptación. . Asegura que no se han alterado los datos desde que se crearon en origen. Una firma digital es análoga a la firma manual.

CRIPTOGRAFÍA POR CLAVES Hay 2 métodos básicos en la criptografía por claves: ‡Criptografía simétrica o clave privada. una de las claves es publica y otra es privada los mensajes cifrados con la clave publica solo se pueden descifrar con la clave privada y. La criptografía de clave publica usa un par de claves relacionadas matemáticamente. ‡Criptografía asimétrica o clave publica. al contrario. . los mensajes que se cifren con clave privada solo se pueden descifrar con la clave publica. Un mensaje se cifra usando una clave secreta y se de cifra usando la misma clave. Con este método se resuelven muchos de los problemas que tenia la criptografía simétrica. este método no funciona bien en aquellas situaciones donde se intercambian datos cifrados entre mas de unas personas. Este tipo de criptografía no es practico para una intranet.

Es una autoridad en quien se puede confiar que vigila por la identidad de personas o servidores para quien emite certificados. ‡Autoridad de certificación (CA). Si alguien quiere suplantar a otra persona lo único que necesita hacer es generar una clave publica/privada y publicar la clave publica con el nombre de otro. ‡Certificado de clave publica. .CERTIFICADOS Y AUTORIDADES DE CERTIFICACIÓN Uno de los problemas con la criptografía de clave asimétrica es la confianza. Es un documento digital junto con la identidad de una persona o servidor a un conjunto de clave publica/privada.

de manera de que se necesita integrar a ambos en la arquitectura del servidor de la intranet. . Además los clientes de correo electrónico de la intranet puedan requerir la capacidad de identificar y autenticar a otros usuarios de correo electrónico mediante comunicación segura punto a punto. ya sea mediante contraseñas o con certificados de clave publica.AUTENTIFICACIÓN DE CLIENTES es el proceso por el cual un servidor identifica y autentifica un usuario/cliente. Este proceso debería requerir que el servidor de intranet disponga de la capacidad de autentificar las aplicaciones cliente que establecen un canal seguro.

Una ACL permite o limita el acceso a un recurso de la intranet basado en elementos como los nombres de los usuarios las contraseñas y los grupos. El protocolo SSL3 soporta todos los requerimientos de la autenticación de cliente mediante certificación. solicitar y almacenar certificados personales y entregar un certificado personal al servidor cuando se le solicite. ‡El servidor debe de ser capaz de solicitar un certificado al servidor.AUTENTICACION MEDIANTE CERTIFICACION El acceso a la información almacenada a un servidor de intranet se puede controlar asignando certificados de usuarios a cuentas o grupos de usuarios y asignando permisos de control de acceso a la cuenta de usuarios o de grupo utilizando el mecanismo estándar de la lista de control de acceso (ACL) que debería formar parte de los servidores de intranet. ‡La versión 3 de la capa de conectores seguros (SSL3) es un nuevo estándar para el protocolo de canal seguro que usan muchas clientes y servidores de una intranet. es decir tanto el cliente como el servidor deben de manejar certificados. . verificar los certificados del cliente y casar los certificados del cliente recibidos con la lista de control de acceso estándar usada en el servidor. ‡El cliente debe de ser capaz de verificar los certificados del cliente. La autenticación de clientes utilizando un canal seguro y certificados requiere: ‡El protocolo de canal seguro ha de ser capaz de autenticar bidireccionalmente.

solicitar y almacenar certificados personales y usar la clave privada del usuario para firmar mensajes. El protocolo de seguridad de un canal seguro debe de ser capaz de proporcionar operaciones de firma y envoltorio (cifrado) de mensaje bidireccional. El protocolo S/MIME soporta todos los requisitos de autenticación de cliente mediante certificados. .COMUNICACIÓN SEGURA PUNO A PUNTO Los requisitos para una comunicación segura punto a punto son los similares a un canal seguro. La aplicación final (usada comúnmente en la comunicación punto a punto) debe de ser capaz de verificar los certificados recibidos. S/MIME es un nuevo protocolo estándar para la comunicación segura punto a punto que usan muchas de las aplicaciones de una intranet.

. ‡Mejor autenticación. ‡Administración más sencilla. ‡Mejor forma de identificar al usuario. Cuando se utiliza la autenticación mediante certificado se puede simplificar la administración y reducir los costos. los nombres de DNS o las direcciones de correo electrónico: ‡No se envían contraseñas desde el cliente al servidor. se consigue una mejor autenticación. La autenticación de clientes mediante certificación tiene las siguientes ventajas sobre otros tipos de autenticación de clientes mediante contraseñas como las direcciones IP. un nombre de dominio o la dirección de correo electrónico.VENTAJAS DE LA AUTENTICACIÓN MEDIANTE CERTIFICADOS. Los certificados contienen información que se puede comprobar sobre la identidad del usuario en lugar de la autenticación basada en IP del usuario. ‡Mejora en la experiencia del usuario usando una única conexión. Como los certificados se basan en la tecnología de clave publica.

cuando se usa un canal seguro autenticado por el servidor (autenticación de cliente no basada en certificados) entre el cliente y el servidor. . distribuida para cada conexión segura a servidores de la intranet. de forma que la contraseña no fluya por la red libremente. puede ser suficiente la autenticación mediante contraseñas en aquellos casos donde es aceptable la gestión de contraseñas distribuidas.AUTENTICACIÓN MEDIANTE CONTRASEÑA Aun que la seguridad de clave publica se esta extendiendo. El canal seguro autenticado por el servidor proporciona la posibilidad para el cliente de verificar la identidad del servidor y usar un canal cifrado entre el cliente y el servidor. aun hay una necesidad para la autentificación de clientes con autentificación por contraseñas.

Existen muchos protocolos que se pueden usar para establecer canales seguros los mas habituales son los siguientes: . A esto se le conoce como canal seguro.PROTOCOLOS PARA COMUNICACIONES SEGURAS Actualmente existen protocolos estándar que consiguen realizar comunicaciones seguras. Como resultado del proceso de autenticación se establece una conexión cifrada. Estos protocolos se clasifican de la forma en que se dividen las siguientes secciones. CANALES SEGUROS Un canal seguro se crea en una relación cliente/servidor cuando una de las partes (normalmente el servidor) autentica a otro.

Las implementaciones de PCT son compatibles con SSL. El protocolo SHTTP firma y cifra los documentos. ‡Seguridad de la capa de transporte (TLS). El protocolo TLS es un intento de combinar los 2 protocolos de canal seguro (SSL y PCT) en un único protocolo. ‡Tecnologías de comunicaciones privadas (PCT). mientras que la relación de cliente y servidor se usa para negociar los parámetros de la seguridad. en especial en autenticacion y eficiencia al protocolo. ‡HTTP seguro (SHTTP). El protocolo SSL trata en si mismo de ofrecer un canal cifrado y firmado entre el cliente y el servidor.‡Capa de conectores seguros (SSL). es similar al SSL pero añade una función al anterior. . El protocolo SHTTP fue el primer protocolo publicado que intentaba resolver los problemas de seguridad en el nivel de canal y del mensaje. El protocolo ssl tiene 2 versiones usadas ampliamente: la versión 2 y la versión 3.

‡Prety good privacy (PGP). ‡Servicios de seguridad de objetos MIME (MOSS).MENSAJES Y DOCUMENTOS SEGUROS Se crea una comunicación punto a punro segura en un entorno de almacenar y enviar donde las partes usan seguridad basada en documentos o mensajes para enviar datos de un lado a otro.este protocolo usa criptografía de clave publica de manera imilar a S/MIME sin embargo se diferencia en sus métodos de gestión de certificados. . Los mensajes y documentos se pueden firmar mediante firmas digitale y/o cifrar usando envoltorios digitales.los tipos mas habituales de comunicación punto a punto son los siguientes: ‡MIME seguro (S/MIME). El protocolo S/MIME es el protocolo mas reciente y el que mas utiliza en las implementaciones comerciales. El protocolo MOSS es una combinación de los estándares correo mejorado privado (PEM) (ya desaparecido) y MIME que pretendía aunar los estándares PEM yMIME para proporcionar un nuevo protocolo actualizado. El protocolo MSPforma parte del sitema de mensajería de mensajería de la defensa (DMS) del gobierno de los estados unidos. ‡Protocolo de seguridad de mensajes (MSP).

El protocolo de transacciones seguras (SET) es un nuevo estándar que resuelve los problemas del procedimiento de pagos en internet.COMERCIO ELECTRÓNICO SEGURO El comercio electrónico seguro lo usan los consumidores o empresas que necesitan realizar transacciones seguras financiera electrónicas. .

SERVICIO Ciente/servidor Punto a punto Canal seguro Documentos seguros SSL x SHTTP x S/MIME x x x x x x x El cliente/servidor firma con la clave personal del x usuario El servidor firma con la clave del servidor x .

Sign up to vote on this title
UsefulNot useful