o
Copias de seguridad (Son
fundamentales para poder restablecer el
servicio, en caso que el ataque sea destructivo)
Gran parte de los ataques se basan en fallos de diseño en protocolos y en los
sistemas
operativos
utilizados.
Lo
recomendable
es
mantenerse
informado
sobre
todos los tipos de ataques existentes
y
las actualizaciones que permanentemente
se lanzan, principalmente de sistemas operativos.
Las siguientes son medidas preventivas:
°
Mantener las máquinas actualizadas y seguras físicamente.
°
Mantener
personal
especializado
en
cuestiones
de
seguridad
(o
subcontratarlo).
°
Aunque una máquina no contenga información valiosa, hay que tener en
cuenta que puede resultar
útil para un atacante, a
la
hora de ser empleada
en un DoS coordinado o para ocultar su verdadera dirección.
°
No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma
evitamos ser empleados como "multiplicadores" durante un ataque.
°
Establecer auditorias de seguridad y sistemas de detección.
°
Mantenerse
informado
constantemente
sobre
cada
unas
de
las
vulnerabilidades
encontradas
y
parches
lanzados.
Para
esto
es
recomendable
estar
suscrito
a
listas
que
brinden
este
servicio
de
información.
°
Por último, pero quizás lo más importante, la capacitación continua del
usuario.
8.4 Tecnologías asociadas a la seguridad de la información
Hay un gran
número de tecnologías asociadas a la seguridad de la información. El
área de aplicabilidad de la seguridad es sumamente grande, al igual que las
tecnologías
y
productos existentes. Dentro del tema “seguridad de
la información”
se
enmarcan
desde
la
criptografía,
hasta
los
controles
de
acceso
biométricos.
En
este capítulo nos concentraremos
en solo
algunas de las tecnologías existentes
relacionadas con las redes de telecomunicaciones.
8.4.1 Criptografía
8.4.1.1 Criptografía de clave secreta
La criptografía de clave secreta, o de claves simétricas, consiste en el
uso de
un
secreto
compartido
entre
las
partes
que
desean
compartir
una
información.
Este
secreto es el que se utiliza tanto para cifrar como para descifrar una información, y
de allí el nombre de clave simétrica. Este método plantea un problema (a veces de
difícil solución),
y
es el de
hacer llegar a
todos las partes involucradas el secreto
que
han de compartir, por
un canal que se considere seguro, así como de
conseguir que estos mantengan las claves a buen recaudo.
Las técnicas más comunes en la criptografía de clave secreta son el cifrado
de
bloque (block cipher) y el cifrado de flujo (stream cipher).
Dentro
del cifrado
de
bloque, los cuatro
modos
de
operación
más comunes son
ECB, CBC, CFB y OFB. Ejemplos de algoritmos de cifrado de bloque de calve
secreta son DES, 3DES, Blowfish, IDEA
Los cifrados en flujo se clasifican en dos tipos; cifrados en flujo síncronos y
cifrados
en
flujo
asíncronos.
Ejemplos
de
algoritmos
de
cifrado
de
flujo
de
clave
secreta son SEAL y el RC4. Este último, es ampliamente usado actualmente.
Las aplicaciones de ejemplos que se pueden mencionar son:
Encriptación de archivos en discos duros
Encriptación de claves de usuarios, ya sea en archivos o en bases de datos
Seguridad en redes inalámbricas (por ejemplo, WLAN usa WEP, basado en
RC4)
Utilización de tarjetas inteligentes (smart cards), en las que puede
distribuirse una clave compartida entre los usuarios de algún sistema
Seguridad en las comunicaciones. Por ejemplo, SSL es un protocolo de
comunicación que proporciona principalmente tres servicios básicos de
seguridad: confidencialidad, autenticación e integridad. SSL
hace
uso
tanto
de claves asimétricas (basada en la existencia de un par de claves, la
pública
y
la privada) como de claves simétricas (basada en
la
utilización de
una
única
clave
secreta).
La
justificación
de
dicha
combinación
viene
dada
por cuestiones de eficiencia, puesto que
las transformaciones criptográficas
realizadas mediante técnicas de criptografía asimétrica son mucho más
lentas que las realizadas con criptografía simétrica. SSL negocia en una
primera
fase
utilizando
criptografía
asimétrica
(p.e.
RSA),
y
cifra
posteriormente
la comunicación utilizando criptografía simétrica (RC4,
RC5,
IDEA...).
8.4.1.2 Criptografía de clave pública
A diferencia de las de clave simétrica, las técnicas criptográficas que hacen uso de
las claves asimétricas
(o claves publicas)
no exigen que se comparta
ningún tipo
de secreto. Cada participante en la comunicación tiene un par de claves, que
tienen
la particularidad de que lo que una de ellas cifra es descifrado por
la otra
y
viceversa. En este esquema cada una de las partes hace pública una de las
claves y mantiene secreta la otra. Así, cuando uno de los participantes en la
comunicación
desee
enviar
un
mensaje
a
otro
lo
cifrará
con
la
clave
pública
del
destinatario, garantizando de esta forma que sólo el destinatario será capaz de
leerlo.
Ejemplos
de
esquemas
de
encriptación
de
calve
pública
son
RSA,
Rabin,
DSA,
Diffie-Hellman, ElGamal, Merkle-Hellman
Este tipo de mecanismos es ideal para los casos en
los que
no es posible
compartir una clave secreta entre las partes que deban compartir alguna
información. Se pueden mencionar los siguientes ejemplos:
Acceso a información confidencial a través de
Internet
(consulta de estados
de cuentas bancarios, por ejemplo)
Pagos de servicios por Internet
Aplicaciones del
tipo B2B y B2C (Business to Business
y Business to
Consumers),
como
por
ejemplo,
envío
de
formularios
completados
en
Internet, transferencia de archivos, e-banking y e-commerce en general
Seguridad en las comunicaciones. Por ejemplo, SSL, como se mencionó
anteriormente, utiliza tanto claves asimétricas como claves simétricas
Identificación y autentificación. Gracias al uso de firmas digitales y otras
técnicas criptográficas es posible identificar a
un individuo o
validar el
acceso
a
un
recurso
en
un
entorno
de
red
con
más
garantías
que
con
los
sistemas de usuario y clave tradicionales.
Certificación. La certificación es un esquema mediante el cual agentes
fiables (como una entidad certificadora) validan la identidad de agentes
desconocidos (como usuarios comunes).
8.4.1.3 Firmas digitales
En Uruguay, la
legalidad de las “firmas digitales” fue
legislada el 17 de septiembre
de
2003,
en
el DECRETO
REGLAMENTARIO
DEL
USO
DE
LA
FIRMA
DIGITAL
[64].
Dicha reglamentación establece las definiciones
legales de
varios
términos, entre
los que podemos destacar:
a) Firma
Digital
es
el
resultado
de
aplicar
a
un
documento
un
procedimiento
matemático que requiere información de exclusivo conocimiento del
firmante, encontrándose ésta bajo su absoluto control. La
firma digital debe
ser susceptible de
verificación por
terceras partes, de manera tal que dicha
verificación
permita,
simultáneamente,
identificar
al
firmante
y
detectar
cualquier alteración del documento digital posterior a su firma.
b) Prestador
de
servicios
de
certificación
es
una
tercera
parte
que
expide
certificados digitales, pudiendo prestar además, otros servicios relacionados
con la firma digital.
c)
Certificado Digital es un documento digital firmado digitalmente por un
Prestador de servicios de certificación, que
vincula la identidad del titular del
mismo con una clave pública y su correspondiente clave privada.
Se
establece
además
que
“La
firma
digital
tendrá
idéntica
validez
y
eficacia
a
la
firma autógrafa, siempre que esté debidamente autenticada por claves u otros
procedimientos seguros de acuerdo a la tecnología informática...”
8.4.2 Firewall
Un “Firewall” o “Cortafuego” es un dispositivo o conjunto de dispositivos que
restringe la comunicación entre dos o más redes. Sus funciones básicas consisten
en
bloquear
tráficos
indeseados
y
ocultar
hacia
el
exterior
la
información
interna
[65]. Su
utilización
típica
es
separar
a
las
redes
internas
(LAN,
asumidas
como
“confiables” o “seguras”) de las redes públicas no seguras, como es el caso de
Internet.
Existen varias definiciones formales de Firewalls, o Cortafuegos, más o menos
detalladas,
pero
todas
basadas
en
los
mismos
principios
básicos.
Se
presentan a
continuación algunas de ellas:
Un ©ortafuegos (o firewall en inglés), es un elemento de hardware o
software utilizado en una
red de computadoras para prevenir algunos tipos
de
comunicaciones
prohibidas
por las
políticas
de
red,
las
cuales
se
fundamentan en las necesidades del usuario. [66]
Un Firewall es un conjunto de programas relacionados, ubicados en un
Servidor
de
“Gateway”
de
red
(“network
gateway
server”),
que
protege
los
recursos de una red privada de usuarios de otras redes. (El término también
implica la política de seguridad que es usada en los mencionados
programas).
Una
corporación
con
una
red
interna
(“Intranet”)
que
permite
a
sus empleados acceder a Internet, instala un Firewall para prevenir los
accesos externos a su propia red y para controlar que recursos externos
pueden ser accedidos por sus propios empleados. [67]
Otras definiciones pueden encontrarse en [68], [69] y [70]
Algunos
textos
contienen
definiciones
que
pueden
ser
más
coloquiales,
como
la
siguiente
Los “muros de seguridad” son simplemente una adaptación moderna del
viejo
sistema
de
seguridad
medieval:
un
foso
profundo
alrededor
del
castillo. Este diseño obligaba a cualquiera que entrara o saliera del castillo a
pasar por un solo puente levadizo, donde podía ser inspeccionado por la
Policía
de
Entrada
y
Salida.
En
las
redes,
es
posible
el
mismo
truco:
una
compañía
puede
tener
muchas
LAN
conectadas
de manera
arbitraria,
pero
todo el tráfico de o a la compañía es obligado a pasar a través de un puente
levadizo electrónico (“Muro de seguridad”, o “Firewall”) [¹]
Todas
las definiciones anteriores pueden ser
validas.
Un Firewall o Cortafuego es
un sistema que cumple la función de control de tráfico entre dos redes, una
generalmente considera “segura” (red interna)
y
otra considerada “no segura” (red
externa). El control realizado por el Firewall debe adecuarse a las políticas de
seguridad establecidas en la Empresa, a los efectos de garantizar la seguridad de
la información en la red “segura” o interna. Cabe aclarar que el control no se limita
a
protegerse contra accesos externos, sino también a
limitar el tipo de acceso que
existe desde la red “segura” o interna a la “no segura” o externa.
Puede decirse que el cometido principal de un Firewall o cortafuego es
implementar
las políticas de seguridad definidas por la Empresa, en
lo referente al
acceso a la información “entre redes”.
Para lograr este objetivo, se pueden detallar las siguientes funciones:
Bloqueo de tráfico no deseado (entrante y/o saliente)
o
Filtrado de paquetes
o
Bloqueo de servicios
o
Bloqueo de acceso a determinados sitios Web
Monitorizar y detectar actividad sospechosa
o
Registro de “incidentes”
“Esconder” la red interna
o
Traducir direcciones públicas en privadas y viceversa (NAT)
o
Tener acceso a Internet desde varias maquinas con una sola IP
publica
Direccionar tráfico entrante a sistemas internos que lo requieran
o
Servidores Web, Correo, etc.
Otras funciones que pueden obtenerse en Firewalls o cortafuegos son:
Gerenciamiento de ancho de banda
Autenticación de usuarios
Implementación de VPN (Virtual Private Networks)
Implementación de DMZ (Zona “de militarizada”)
Administración remota
Web caching
Anti virus
Bloquear
correos
electrónicos
entrantes
no
deseados,
o
con
adjuntos
“sospechosos”
Filtros de contenidos
Registrar el tráfico entre las redes
NAT
Las direcciones IP públicas son limitadas, y están controladas por organismos
internacionales. Cuando una empresa desea conectarse a Internet, típicamente
recibe
un
conjunto
reducido
de
direcciones
IP
públicas
(generalmente
una
sola).
Dado
que
por
lo
general
se
desea
que
todas
(o
un
gran
número)
de
las
computadoras de la empresa tengan acceso a Internet, se debe
compartir la IP
pública entre un gran número de máquinas. Para resolver este problema se ha
diseñado una solución conocida como NAT (Network Address Translation).
La
implementación
de
NAT
consiste
en
instalar
un
“gateway”,
o
“pasarela”,
entre
Internet
y
la
LAN.
Este
“gateway”
dispone
de
dos
interfaces
de
red.
Una
de
ellas
conectada a
la red pública (quien
tiene asignada
la
IP pública)
y
la otra conectada
a
la
LAN
(con
una
dirección
IP
privada).
Todos
los
paquetes
que
entran
o
salen
desde la LAN a Internet, pasan por este “gateway”. Cuando, por ejemplo, una
computadora
de
la
LAN
(interna)
envía
un
paquete
a
Internet,
el
“gateway
NAT”
reemplaza la dirección IP privada del PC de origen, por su propia dirección IP
pública. Asimismo, registra en su memoria la dirección IP interna (origen) y la
dirección IP externa y el número de puerto (destino).
El servidor remoto, recibe un paquete que contiene como origen la dirección IP
pública del “gateway NAT” (es decir, la única dirección
IP pública de la Empresa),
y
dirige su respuesta a esta
IP. Cuando esta respuesta es recibida por el “gateway
NAT”,
éste
revisa
en
sus
tablas
almacenadas
en
memoria
cual
es
la
dirección
IP
interna a la que debe enviar esta respuesta (en base a la
IP
y
puerto desde donde
recibe el paquete de respuesta).
Una
vez obtenida la
IP interna, sustituye
la
IP de
destino del paquete, y envía el mismo hacia la LAN
La mayoría de los Firewalls implementan NAT, como tecnología de acceso a
Internet,
y
como
primer
medida
de
seguridad.
NAT deja
las
direcciones
internas
(privadas) ocultas hacia Internet. Sin embargo, hay que
hacer notar que NAT
funciona únicamente cuando el origen de la comunicación es interno.
Por
lo
general,
las
empresas
deben
recibir
también
tráfico
originado
en
Internet.
Por ejemplo, si se dispone de
un servidor de correo electrónico, los correos
entrantes
llegan desde
Internet hacia la Empresa. Lo mismo sucede con las
páginas web, servidores FTP, etc.
Es decir, por lo general
no es posible bloquear totalmente el
tráfico desde Internet
hacia
las
Empresas,
ya
que
esto
impediría
el
funcionamiento
de
varios
servicios
esenciales.
Arquitecturas de Firewalls
Existen varias arquitecturas de cortafuegos. Las arquitecturas más sencillas se
corresponden al esquema de “un router con filtros”. En este caso,
los paquetes
entrantes deben pasar por
un
único equipo para pasar de Internet a la Red interna
(LAN).
En esta arquitectura, los equipos que deben quedar expuestos a Internet (por
ejemplo,
servidores
de
correo,
servidores
HTTP,
servidores
FTP,
etc)
están
en
la
LAN interna. Un atacante que tenga acceso a estos equipos, tendrá por tanto
acceso a un equipo dentro de la LAN de la Empresa, y esto puede comprometer a
la seguridad.
Por otro
lado, el acceso a servicios externos es realizado desde los
PCs internos, directamente a través del Router Esta arquitectura es
fácil de
implementar
y
es
utilizada por organizaciones que
no precisen grandes
niveles de
seguridad. La siguiente figura esquematiza esta arquitectura.
Red
externa
Firewall
LAN
Host
PC
PC
Una
arquitectura
alternativa
es
la
conocida
como
“Dual-Homed
Host”.
Consiste
en
poner
entre
la
red
externa
y
la
interna
un
equipo
(“Host”),
con
dos
tarjetas
de
red. En
este
Host
deben
existir “proxies” para cada
uno
de
los
servicios que se
deseen
proveer
hacia
el
exterior.
El
servicio
de
“IP
Forwarding”
debe
estar
deshabilitado, de manera que no sea posible acceder desde el exterior
directamente
a
hosts
o
equipos
internos,
sino
que
todo
el
tráfico
debe
ser
realizado a través de los “proxies”. La arquitectura “Dual-Homed Host” se
representa a continuación:
Portal para Investigadores y Profesionales
Facebook 
Del.icio.us 
Mister Wong