ADMINISTRACIN DE REDES

CONTENIDO 1. Elementos de la seguridad 2. Elementos a proteger 3. Tipos de riesgos 4. Mecanismos de seguridad fsica y lgica. 5. Control de acceso, respaldos, autentificacin y elementos de proteccin perimetral.

INTRODUCCIN
El incremento y uso cada vez mayor de las computadoras en el mundo ha hecho posible que las cadenas de redes cada da sean ms extensas y desarrolladas. Ao tras ao son ms los incidentes de seguridad reportados, pues estos se duplican en cantidad, an cuando los mismos son una parte pequea del total, reflejando una tendencia clara y demostrando de por qu las organizaciones deben tomar la seguridad de la informacin como un objetivo a seguir serio y sistemtico. La administracin informtica, implica tanto la tecnologa y herramientas existentes que permiten poner filtros y barreras en las interconexiones fuera de nuestro medio, como el hecho de entender y crear una nueva cultura hacia el interior de la institucin, ya que los riesgos sin saber se pueden encontrar dentro de la misma institucin, sin ni siquiera saberlo. En este aspecto, el administrador de red juega un papel determinante ya que l mismo mediante un conjunto de tcnicas debe mantener una red operativa, eficiente, segura, constantemente monitoreada y con una planeacin adecuada y propiamente documentada. Es objetivo de este trabajo contribuir a esclarecer dudas sobre las funciones de un administrador de red y un responsable de seguridad informtica, que aunque en muchas ocasiones laboren juntos, ambos tienen funciones especficas que los hace ser uno contrapartida del otro y no aliados como se suele pensar. La no previsin o el descontrol en la seguridad de la informacin ha sido determinante en los resonantes fracasos de muchas entidades, dado que sus consecuencias operativas y econmicas resultan insuperables. El riesgo por los incidentes de seguridad no se limita a empresas altamente desarrolladas, sino a cualquier organizacin donde los sistemas informticos desempeen algn rol crtico en las actividades operativas, como por ejemplo: comunicaciones, bases de datos, estaciones de trabajo. Por ello, la forma en cmo las empresas y organizaciones encaren su propia seguridad, podr ser y de hecho ha sido, un factor determinante entre el xito o el fracaso de su misin.

ELEMENTOS DE SEGURIDAD DE RED

Bastion host Un bastion host es una aplicacin que se localiza en un server con el fin de ofrecer seguridad a la red interna, por lo que ha sido especialmente configurado para la recepcin de ataques, generalmente provee un solo servicio (como por ejemplo un servidor proxy). Un bastin host es un sistema identificado por el administrador de firewall como un punto crtico en la seguridad de la red. Generalmente, los bastion host tendrn cierto grado de atencin extra para configurar y disear su seguridad, pudiendo tener software modificado para asegurar su buen desempeo.

Diseo A diferencia del filtro realizado a travs de un router, que permite o no el flujo directo de paquetes desde el interior al exterior de una red, los bastin host (tambin llamados en ingls application-level gateways) permiten un flujo de informacin pero no un flujo de paquetes, lo que permite una mayor seguridad de las aplicaciones del host. El diseo del bastin consiste en decidir qu servicios ste incluir. Se podra tener un servicio diferente por host, pero esto involucrara un costo muy elevado, pero en caso de que

se pueda abordar, se podran llegar a tener mltiples bastin host para mantener seguros mltiples puntos de ataque. Definida la cantidad de bastin hosts, se debe ahora analizar que se instalar en cada uno de ellos, para esto se proponen distintas estrategias:

Que la plataforma de hardware del bastin host ejecute una versin segura de su sistema operativo, diseado especficamente para proteger al sistema operativo de sus vulnerabilidades y asegurar la integridad del firewall.

Instalar slo los servicios que se consideren esenciales. La razn de esto es que si el servicio no est instalado, ste no puede ser atacado. En general, una limitada cantidad de aplicaciones proxy son instaladas en un bastin host.

El bastin host podra requerir autentificacin adicional antes de que un usuario ingrese a sus servicios.

En caso de alojar un proxy, este puede tener variadas configuraciones que ayuden a la seguridad del bastion host, tales como: configurados para soportar slo un subconjunto de aplicaciones, permitiendo el acceso a determinados hosts y/o proveyendo toda la informacin de los clientes que se conecten.

Tipos de bastion host Los bastiones pueden clasificarse en tres tipos: single-homed bastin host, dual-homed bastin host y multihomed bastin host.

Single-homed bastin host Es un dispositivo con una interfaz nica de red, frecuentemente se utiliza para una puerta de enlace en el nivel de aplicacin. El router externo est configurado para enviar los datos al Bastin Host y los clientes internos enviar los datos de salida al host. Finalmente el host evaluar los datos segn las directrices de seguridad.

Dual-homed bastin host Es un dispositivo que tiene al menos dos interfaces de red. Sirve como puerta de enlace al nivel de aplicacin y como filtro de paquetes. La ventaja de usar este host es crear un quiebre entre las red externa e interna, lo que permite que todo el trfico de entrada y salida pase por el host. Este host evitar que un hacker intent acceder a un dispositivo interno. Multihomed bastin host Un Bastin host interno puede ser clasificado como multihomed. Cuando la poltica de seguridad requiere que todo trfico entrante y salida sea enviado a travs de un servidor proxy, un nuevo servidor proxy debera ser creado para la nueva aplicacin streaming. Cuando se utiliza un bastin host como interno, debe residir dentro de una organizacin de la red interna, en general como puerta de acceso para recibir todo el trfico de un bastin host externo. Lo que agrega un nivel mayor de seguridad.

Aplicaciones El uso de bastin host puede ser extendible a variados sistemas y/o servicios: Web server. DNS (Domain Name System) server. Email server. FTP (File Transfer Protocol) server. Proxy server. Honeypot. VPN (Virtual Private Network) server. Deep-Secure Bastion.

A continuacin se expone un ejemplo de una red donde se utilizan dos bastiones host, como se observa se forma una capa adicional de seguridad entre el internet y la red interna. Para tener acceso a la red interna, un atacante debe pasar por el router externo, alguno de los bastiones y el router interno. El paso por todas estas etapas como presenta una dificultad para el atacante, es de esperar que por el tiempo que le demore traspasar todas las capas, el administrador de red ya debiese haber reconocido la intrusin y haber tomado una posicin defensiva.

Arquitectura usando dos Bastin host

Cortafuegos Esquema de computadoras Cortafuegos. una red que utiliza de un

Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto Esquema de una red de computadoras que utiliza un de dispositivos configurados para cortafuegos permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a

Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.

Tipos de cortafuegos Nivel de aplicacin de pasarela Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento. Circuito a nivel de pasarela Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad. Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la direccin MAC.

Cortafuegos de capa de aplicacin Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los computadores de una organizacin entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red. Cortafuegos personal Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal. Ventajas de un cortafuegos Bloquea el acceso a personas no autorizadas a redes privadas. Limitaciones de un cortafuegos Las limitaciones se desprenden de la misma definicin del cortafuegos: filtro de trfico. Cualquier tipo de ataque informtico que use trfico aceptado por el cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguir constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos: Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase a travs de l. El cortafuegos no puede proteger de las amenazas a las que est sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espas corporativos copiar datos sensibles en medios fsicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. El cortafuegos no puede proteger contra los ataques de ingeniera social. El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informticos a travs de archivos y software. La solucin real est en que la organizacin debe ser consciente en instalar software antivirus en cada mquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente.

 El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo trfico est permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.

Polticas del cortafuegos Hay dos polticas bsicas en la configuracin de un cortafuegos que cambian radicalmente la filosofa fundamental de la seguridad en la organizacin: Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El cortafuegos obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten. Esta aproximacin es la que suelen utilizar las empresas y organismos gubernamentales. Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado. Esta aproximacin la suelen utilizar universidades, centros de investigacin y servicios pblicos de acceso a internet. La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso, mientras que en la poltica permisiva es posible que no se haya contemplado algn caso de trfico peligroso y sea permitido por omisin.

Lista de control de acceso Una lista de control de acceso o ACL (access control list) es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL permiten controlar el flujo del trfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin. Sin embargo, tambin tienen usos adicionales,

como por ejemplo, distinguir trfico interesante (trfico suficientemente importante como para activar o mantener una conexin) en RDSI. En redes informticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que estn disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar trfico entrante y saliente y en este contexto son similares a un cortafuegos. Existen dos tipos de listas de control de acceso: Listas estndar, donde solo tenemos que especificar una direccin de origen; Listas extendidas, en cuya sntaxis aparece el protocolo y una direccin de origen y de destino.

Proxy

Servidor proxy conectando indirectamente dos ordenadores.

Un proxy, en una red informtica, es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Su finalidad ms habitual es la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc.

Detalles tcnicos

Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en lugar de otro ordenador. Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor al que est accediendo. Cuando navegamos a travs de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es ste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud. Servicio Proxy o Proxy Web Su funcionamiento se basa en el del Proxy HTTP y HTTPs, pero la diferencia fundamental es que la peticin se realiza mediante una Aplicacin Web embebida en un Servidor HTTP al que se accede mediante una direccin DNS, esto es, una pgina web que permite estos servicios. Proxy Cach Su mtodo de funcionamiento es similar al de un proxy HTTP o HTTPs. Su funcin es precargar el contenido web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma informacin de la misma mquina u otras. Caractersticas La palabra proxy se usa en situaciones en donde tiene sentido un intermediario. El uso ms comn es el de servidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino. De ellos, el ms famoso es el servidor proxy web (comnmente conocido solamente como proxy). Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. Tambin existen proxy para otros protocolos, como el proxy de FTP. El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre ordenadores. Como se ve, proxy tiene un significado muy general, aunque siempre es sinnimo de intermediario.

Ventajas

En general (no slo en informtica), los proxy hacen posible:

Control: slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy.

Ahorro. Por tanto, slo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real.

Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer cach: guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As no tiene que volver a contactar con el destino, y acaba ms rpido.

Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn prohibidas.

Modificacin. Como intermediario que es, un proxy puede falsificar informacin, o modificarla siguiendo un algoritmo. Anonimato. Si todos lo usuarios se identifican como uno slo, es difcil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificacin.

Desventajas En general, el uso de un intermediario puede provocar: Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algn trabajo que no toque. Por tanto, ha de controlar quin tiene acceso y quin no a sus servicios, cosa que normalmente es muy difcil. Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de cach y guarda copias de los datos. Incoherencia. Si hace de cach, es posible que se equivoque y d una respuesta antigua cuando hay una ms reciente en el recurso de destino. En realidad este problema no existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que la versin que tiene en cache sigue siendo la misma que la existente en el servidor remoto. Irregularidad. El hecho de que el proxy represente a ms de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicacin directa entre 1 emisor y 1 receptor (como TCP/IP). Funcionamiento

Un proxy permite a otros equipos conectarse a una red de forma indirecta a travs de l. Cuando un equipo de la red desea acceder a una informacin o recurso, es realmente el proxy quien realiza la comunicacin y a continuacin traslada el resultado al equipo inicial. En unos casos esto se hace as porque no es posible la comunicacin directa y en otros casos porque el proxy aade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una pgina web) en una cach que permita acelerar sucesivas consultas coincidentes. Con esta denominacin general de proxy se agrupan diversas tcnicas. Proxy de web / Proxy cache de web Se trata de un proxy para una aplicacin especfica; el acceso a la web. Aparte de la utilidad general de un proxy, proporciona una cach para las pginas web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al mismo tiempo libera la carga de los enlaces hacia Internet.

Funcionamiento 1. El cliente realiza una peticin (p. ej. mediante un navegador web) de un recurso de Internet (una pgina web o cualquier otro archivo) especificado por una URL. 2. Cuando el proxy cach recibe la peticin, busca la URL resultante en su cach local. Si la encuentra, contrasta la fecha y hora de la versin de la pgina demanda con el servidor remoto. Si la pgina no ha cambiado desde que se cargo en cach la devuelve inmediatamente, ahorrndose de esta manera mucho trfico pues slo intercambia un paquete para comprobar la versin. Si la versin es antigua o simplemente no se encuentra en la cach, lo captura del servidor remoto, lo devuelve al que lo pidi y guarda o actualiza una copia en su cach para futuras peticiones. El cach utiliza normalmente un algoritmo para determinar cundo un documento est obsoleto y debe ser eliminado de la cach, dependiendo de su antigedad, tamao e histrico de acceso. Dos de esos algoritmos bsicos son el LRU (el usado menos recientemente, en ingls Least Recently Used) y el LFU (el usado menos frecuentemente, Least Frequently Used). Los proxies web tambin pueden filtrar el contenido de las pginas Web servidas. Algunas aplicaciones que intentan bloquear contenido Web ofensivo estn implementadas como proxies Web. Otros tipos de proxy cambian el formato de las

pginas web para un propsito o una audiencia especficos, para, por ejemplo, mostrar una pgina en un telfono mvil o una PDA. Algunos operadores de red tambin tienen proxies para interceptar virus y otros contenidos hostiles servidos por pginas Web remotas. Un cliente de un ISP manda una peticin a Google la cual llega en un inicio al servidor Proxy que tiene este ISP, no va directamente a la direccin IP del dominio de Google. Esta pgina concreta suele ser muy solicitada por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y crea una respuesta en mucho menor tiempo. Cuando el usuario crea una bsqueda en Google el servidor Proxy ya no es utilizado; el ISP enva su peticin y el cliente recibe su respuesta ahora s desde Google. Otras funciones Como mtodo extra y de ayuda en las descargas mediante aplicaciones P2P; el cual es usado en Lphant y algunos Mods del Emule. (ver Webcach en aplicaciones P2P). Ventajas Ahorro de Trfico: las peticiones de pginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto, aligera el trfico en la red y descarga los servidores destino, a los que llegan menos peticiones. Velocidad en Tiempo de respuesta: el servidor Proxy crea un cach que evita transferencias idnticas de la informacin entre servidores durante un tiempo (configurado por el administrador) as que el usuario recibe una respuesta ms rpida. Demanda a Usuarios: puede cubrir a un gran nmero de usuarios, para solicitar, a travs de l, los contenidos Web. Filtrado de contenidos: el servidor proxy puede hacer un filtrado de pginas o contenidos basndose en criterios de restriccin establecidos por el administrador dependiendo valores y caractersticas de lo que no se permite, creando una restriccin cuando sea necesario. Modificacin de contenidos: basndose en la misma funcin del filtrado, y llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para bloquear direcciones y Cookies por expresiones regulares y modifica en la peticin el contenido.

Desventajas

Las pginas mostradas pueden no estar actualizadas si stas han sido modificadas desde la ltima carga que realiz el proxy cach. Un diseador de pginas web puede indicar en el contenido de su web que los navegadores no hagan una cach de sus pginas, pero este mtodo no funciona habitualmente para un proxy. El hecho de acceder a Internet a travs de un Proxy, en vez de mediante conexin directa, impide realizar operaciones avanzadas a travs de algunos puertos o protocolos. Almacenar las pginas y objetos que los usuarios solicitan puede suponer una violacin de la intimidad para algunas personas.

Proxies transparentes Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para reforzar las polticas de uso de la red o para proporcionar seguridad y servicios de cach. Normalmente, un proxy Web o NAT no es transparente a la aplicacin cliente: debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuracin. Una ventaja de tal es que se puede usar para redes de empresa. Un proxy transparente combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).

Reverse Proxy / Proxy inverso Un reverse proxy es un servidor proxy instalado en el domicilio de uno o ms servidores web. Todo el trfico entrante de Internet y con el destino de uno de esos servidores web pasa a travs del servidor proxy. Hay varias razones para instalar un reverse proxy: Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege los servidores web. Cifrado / Aceleracin SSL: cuando se crea un sitio web seguro, habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es realizado por el reverse proxy, el cual est equipado con un hardware de aceleracin SSL (Security Sockets Layer).

Distribucin de Carga: el reverse proxy puede distribuir la carga entre varios servidores web. En ese caso, el reverse proxy puede necesitar reescribir las URL de cada pgina web (traduccin de la URL externa a la URL interna correspondiente, segn en qu servidor se encuentre la informacin solicitada). Cach de contenido esttico: Un reverse proxy puede descargar los servidores web almacenando contenido esttico como imgenes u otro contenido grfico.

Proxy NAT (Network Address Translation) / Enmascaramiento Otro mecanismo para hacer de intermediario en una red es el NAT. La traduccin de direcciones de red (NAT, Network Address Translation) tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ah el enmascaramiento). Esto es lo que ocurre cuando varios usuarios comparten una nica conexin a Internet. Se dispone de una nica direccin IP pblica, que tiene que ser compartida. Dentro de la red de rea local (LAN) los equipos emplean direcciones IP reservadas para uso privado y ser el proxy el encargado de traducir las direcciones privadas a esa nica direccin pblica para realizar las peticiones, as como de distribuir las pginas recibidas a aquel usuario interno que la solicit. Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x Esta situacin es muy comn en empresas y domicilios con varios ordenadores en red y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta seguridad, puesto que en realidad no hay conexin directa entre el exterior y la red privada, y as nuestros equipos no estn expuestos a ataques directos desde el exterior. Mediante NAT tambin se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una mquina concreta que haya sido determinada para tal fin en el propio proxy. La funcin de NAT reside en los Cortafuegos y resulta muy cmoda porque no necesita de ninguna configuracin especial en los equipos de la red privada que pueden acceder a travs de l como si fuera un mero encaminador.

Proxy abierto Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no conectado a su red. En esta configuracin el proxy ejecutar cualquier peticin de cualquier ordenador que pueda conectarse a l, realizndola como si fuera una peticin del proxy. Por lo que permite que este tipo de proxy se use como pasarela para el envo masivo de correos de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como el DNS o la navegacin Web, mediante el cacheo de peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuracin abierta a todo internet, se convierte en una herramienta para su uso indebido. Debido a lo anterior, muchos servidores, como los de IRC, o correo electrnicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras (BlackList).

Cross-Domain Proxy Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc) que tienen restricciones para establecer una comunicacin entre elementos localizados en distintos dominios. En el caso de Ajax, por seguridad slo se permite acceder al mismo dominio origen de la pgina web que realiza la peticin. Si se necesita acceder a otros servicios localizados en otros dominios, se instala un Cross-Domain proxy2 en el dominio origen que recibe las peticiones ajax y las reenvia a los dominios externos. En el caso de flash, tambin han solucionado creando la revisin de archivos xml de Cross-Domain, que permiten o no el acceso a ese dominio o subdominio.

MECANISMOS DE SEGURIDAD FSICA Y LGICA

Antes de analizar la seguridad fsica, se tratarn las siguientes seguridades complementarias. Seguridad tcnica: Las medidas tcnicas de seguridad se ocupan de la implementacin de los controles de seguridad sobre los sistemas de cmputo y de red. Estos controles son manifestaciones de las polticas y los procedimientos de la organizacin. En las empresas como en las casas ya se cuenta con conexiones permanentes a las redes o a Internet y estas deben de estar protegidas mediante muros de fuego que actan de manera que su homnimo arquitectnico entre dos habitaciones de un edificio. Puede ser fsico (equipo) lgico (software). Las conexiones de acceso remoto pueden ser intervenidas para obtener acceso no autorizado hacia las organizaciones y, por consiguiente, deben de estar protegidas. Este tipo de conexiones pueden ser por marcacin telefnica o atreves de Internet. Puesto que estas conexiones entran a la red de la empresa o a la computadora tiene que tener un sistema de autentificacin como los mdems de retroalimentacin (que contienen en si mecanismos de autentificacin); las contraseas dinmicas son apropiadas para utilizarse como un mecanismo de autentificacin mientras las contrasea dinmica sea combinada con algo conocido por el usuario; tambin existen programas y dispositivos de encriptacin para asegurar que la informacin no es altera desde su creacin hasta su lectura por el receptor. El monitoreo en redes debe de llevarse a cabo para detectar diversos tipos de actividades inesperadas de virus, cdigos maliciosos o uso inapropiado de esta, existen programas como los sniffers para ver el trfico o todo aquello que pasa por la red, tambin existen equipos como los IDSs (Intrusin Detection System) que cuentan con mecanismos para hacer anlisis de paquetes y errores en las redes.

Seguridad administrativa: Esta se basa en polticas y normas que se deben de implantar y seguir. Las polticas proporcionan las reglas que gobiernan el cmo deberan ser configurados los sistemas y cmo deberan actuar los empleados de una organizacin en circunstancias normales y cmo deberan reaccionar si se presentan circunstancias inusuales. Define lo que debera de ser la seguridad dentro de la organizacin y pone a todos en la misma situacin, de modo que todo el mundo entienda lo que se espera de ellos. Toda poltica debe de tener un propsito y procedimiento bien especfico que articule claramente por qu fueron creadas tales polticas oprocedimientos y qu beneficios se espera la organizacin derivada de las mismas. Cada poltica y procedimiento debe tener una seccin que defina su aplicabilidad. Por ejemplo: una poltica de seguridad debe aplicarse a todos los sistemas de cmputo y redes. Una poltica de informacin, puede aplicarse a todos los empleados. La seccin de responsabilidad de una poltica o procedimiento, define quin se har responsable por la implementacin apropiada del documento. Quienquiera que sea designado como el responsable de aplicar una poltica o procedimiento de ser capacitado de manera adecuada y estar consciente de los requerimientos del documento. Las polticas de informacin definen qu informacin es confidencial y cual es de dominio pblico dentro de la organizacin, y cmo debe estar protegida esta misma. Esta poltica est construida para cubrir toda la informacin de la organizacin. Las polticas de seguridad definen los requerimientos tcnicos para la seguridad en un sistema de cmputo y de redes. Define la manera en que un administrador de redes o sistema debe de configurar un sistema respecto a la seguridad que requiere la empresa o el momento. Esta configuracin tambin afecta a los usuarios y alguno de los requerimiento establecidos en la poltica y debe de comunicarse a la comunidad de usuarios en general de una forma pronta, oportuna y explcita. Las polticas de uso de las computadoras extienden la ley en lo que respecta a quin puede utilizar los sistemas de cmputo y cmo pueden ser utilizados. Gran parte de la informacin en esta poltica parece de simple sentido comn, pero si las organizaciones no las establecen especficamente, toda la organizacin queda expuesta a demandas legales por parte de los empleados. Las polticas de uso de Internet y correo electrnico se incluyen con frecuencia en la poltica ms general del uso de las computadoras. Sin embargo, en ocasiones se plantea en una poltica aparte, debido a la naturaleza especfica del uso de Internet. Las organizaciones conceden conectividad a Internet a sus empleados para que stos puedan realizar sus labores con mayor eficacia y de este modo beneficia a las organizaciones. Desgraciadamente, Internet proporciona un mecanismo para que los empleados hagan uso de los recursos de cmputo.

Las polticas de respaldo y normalizacin de actividades despus de un desastre tienen que ser muy bien especificadas para que en un lapso muy corto de tiempo, la empresa u organizacin regrese a sus actividades y las prdidas econmicas sean mnimas o nulas.

LA SEGURIDAD FSICA: La seguridad fsica debe ser empleada junto con la seguridad administrativa y tcnica para brindar una proteccin completa. Ninguna cantidad de seguridad tcnica puede proteger la informacin confidencial si no se controla el acceso fsico a los servidores, equipos y computadoras. Igualmente, las condiciones climticas y de suministro de energa pueden afectar la disponibilidad de los sistemas de informacin. El acceso fsico es importante, todos los equipos delicados deben de estar protegidos del acceso no autorizado; normalmente esto se consigue concentrando los sistemas en un centro de datos. Este centro est controlado de diferentes maneras, se puede limitar el acceso con dispositivos, o instalar cerraduras de combinacin para restringir los accesos a empleados y personas ajenas a las instalaciones. Los sistemas de cmputo son sensibles a las altas temperaturas. Los equipos de cmputo tambin generan cantidades significativas de calor. Las unidades de control de clima para los centros de cmputo o de datos deben de ser capaces de mantener una temperatura y humedad constante. Los sistemas de extincin de incendios para los equipos deben ser los apropiados, estos no tienen que tener base de agua para que no daen los equipos. Para evitar prdidas y daos fsicos a equipos y computadoras hay que contar con una instalacin elctrica adecuada, no hay que saturar la toma de corriente (que es muy comn), se recomienda utilizar fuentes reguladas como no-breaks y reguladores para la proteccin de equipos. Si existen instalaciones especficas para los equipos y computadoras se recomienda utilizar fuentes redundantes y una planta de energa auxiliar. Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente polticas claras de recuperacin. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se

prevn, otros, como la deteccin de un atacante interno a la empresa que intenta acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup de la sala de cmputo, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Las principales amenazas que se prevn en Seguridad Fsica son: 1. Desastres naturales, incendios accidentales, tormentas e inundaciones 2. Amenazas ocasionadas por el hombre 3. Disturbios, sabotajes internos y externos deliberados. Evaluar y controlar permanentemente la seguridad fsica de las instalaciones de cmputo y del edificio es la base para comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso fsico permite:

Disminuir siniestros Trabajar mejor manteniendo la sensacin de seguridad Descartar falsas hiptesis si se produjeran incidentes Tener los medios para luchar contra accidentes

LA SEGURIDAD LGICA: Cada empresa debe de desarrollar un procedimiento para identificar la vulnerabilidad en sus sistemas de cmputo; normalmente las exploraciones son realizadas por el departamento de seguridad y los ajustes son realizados por los administradores del sistema canalizndolos a los programadores y/o proveedores del sistema. Existen algunas herramientas para realizar estas pruebas, tambin se puede recurrir a pruebas de desempeo y anlisis de cdigo, pero tambin se puede recurrir a la experiencia de uso de los usuarios.

Luego de ver como el sistema puede verse afectado por la falta de seguridad fsica, es importante recalcar que la mayora de los daos que puede sufrir un centro de cmputo no ser sobre los medios fsicos sino contra informacin por l almacenada y procesada. As, la seguridad fsica slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica que la asegure. Estas tcnicas las brinda la Seguridad Lgica. La Seguridad Lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo. Los objetivos que se plantean sern: Restringir el acceso a los programas y archivos Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. Que la informacin transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro. Que la informacin recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin. Es recomendable que este tipo de seguimientos sean realizados a la par con procedimientos de Escaneo de vulnerabilidades internas y externas para conocer los puntos dbiles de la organizacin en cuanto a software y poder ofrecer soluciones integradas de seguridad.

CONTROL DE ACCESO, RESPALDOS, AUTENTIFICACIN Y ELEMENTOS DE PROTECCIN PERIMETRAL.

CONTROL DE ACCESO A RED Control de acceso a red (del ingls Network Access Control, NAC]) es un enfoque de la seguridad en redes de computadoras que intenta unificar la tecnologa de seguridad en los equipos finales (tales como antivirus, prevencin de intrusin en hosts, informes de vulnerabilidades), usuario o sistema de autenticacine y reforzar la seguridad de la red de acceso. OBJETIVOS DEL CONTROL DE ACCESO A RED El control de acceso a red (NAC) representa una categora emergente en productos de seguridad, su definicin es controvertida y est en constante evolucin. Los objetivos principales de este concepto se pueden resumir en: Mitigar ataques de da cero El propsito clave de una solucin NAC es la habilidad de prevenir en los equipos finales la falta de antivirus, parches, o software de prevencin de intrusin de hosts y acceder as a la red poniendo en riesgo a otros equipos de contaminacin y expansin de gusanos informticos. Refuerzo de polticas Las soluciones NAC permiten a los operadores de red definir polticas, tales como tipos de ordenadores o roles de usuarios con acceso permitido a ciertas reas de la red, y forzarlos en switches y routers. Administracin de acceso e identidad Donde las redes IPs convencionales refuerzan las polticas de acceso con base en direcciones IP, los dispositivos NAC lo realizan basndose en identidades de usuarios autenticados, al menos para usuarios finales de equipos porttiles y sobremesa

RESPALDOS Los respaldos o copias de seguridad tienen dos objetivos principales:

Permitir la restauracin de archivos individuales Permitir la restauracin completa de sistemas de archivos completos

El primer propsito es la base para las peticiones tpicas de restauraciones de archivos: un usuario accidentalmente borra un archivo y le pide restaurarlo desde el ltimo respaldo. Las circunstancias exactas pueden variar, pero este es el uso diario ms comn de los respaldos. La segunda situacin es la peor pesadilla de un administrador de sistemas y en este caso para el de redes, por la situacin que sea, el administrador se queda observando un hardware que sola ser una parte productiva del centro de datos. Ahora, no es ms que un pedazo de acero y silicn intil. Lo que est faltando en todo el software y los datos que usted y sus usuarios haban reunido por aos. Supuestamente todo ha sido respaldado. Respaldos en la red Por s misma, una red no puede actuar como una media de respaldo. Pero combinada con tecnologas de almacenamiento masivo, puede hacerlo muy bien. Por ejemplo, combinando un enlace de red de gran velocidad a un centro de datos remoto conteniendo grandes cantidades de almacenamiento en disco, repentinamente las desventajas sobre el respaldo a discos, mencionadas anteriormente, dejan de ser desventajas. Al hacer respaldos sobre la red, las unidades de disco ya se encuentran en otra ubicacin, fuera del sitio, por lo que no es necesario transportar unidades de discos frgiles a otro lado. Con suficiente ancho de banda, se mantiene la ventaja de la velocidad que puede obtener por hacer los respaldos a discos. Sin embargo, este enfoque todava no soluciona el problema del almacenamiento de los archivo (aunque se puede utilizar el mismo enfoque de copiar a las cintas luego de hacer el respaldo, como se mencion anteriormente). Adems, los costos de un centro de datos remoto con un enlace de alta velocidad al centro de datos principal hace esta solucin extremadamente costosa. Pero para los tipos de organizacin que necesitan el tipo de funcionalidades que esta solucin ofrece, es un costo que pagaran con gusto.

LA AUTENTICACIN

La autenticidad es una de las 4 categoras principales de riesgos y amenazas existentes para la seguridad de la informacin en nuestros das. Dada la gran cantidad de usuarios en servidores, sitios web y en general en los grandes sistemas y redes, los riesgos de suplantacin de personalidad, repudio de transaccionalidad, prdida de identidad, violacin de autora y dems son de aparicin diaria en los ambientes del manejo de la informacin. Por esta razn los hombres y mujeres de la tecnologa tanto en las empresas dedicadas a la seguridad como en los entes gubernamentales e instituciones no gubernamentales que conformas comunidades virtuales de seguridad el tema ha impulsado al fabricacin, diseo e implementacin de mecanismos de proteccin que permitan identificar al usuario realmente sin menoscabo de las funciones clsicas de control de acceso seguro y manejo de la administracin de este tema. Este ltimo factor (la administracin del control de acceso y l autenticidad) se ha convertido en un elemento decisorio es el manejo de la seguridad. Los mtodos deben tratar de ser sencillos y fciles de administrar pues en grandes redes y sistemas de 10000 y ms usuarios si el mtodo no es fcil la administracin es inalcanzable. Qu es un sistema o protocolo de autenticacin y control de acceso? Es un mtodo basado en procesos operaciones y algoritmos de encriptacin o no encriptacin que tienen 2 objetivos fundamentales: Controlar el acceso a un software, servidor, aplicacin o sistema informtico en red o sin ella. Verificar que el usuario que desee el acceso a un software, servidor, aplicacin o sistema informtico en red o sin ella sea quien realmente clama ser o posa de ser. Protocolos de autenticacin y control de acceso Un protocolo de autenticacin es el intercambio programado de mensajes entre un objeto usuario y un objeto servidor teniendo como finalidad la autenticacin, autorizacin de uso de recursos informticos a los que tiene.

ELEMENTOS DE LA PROTECCIN PERIMETRAL

No es un componente aislado: es una estrategia para proteger los recursos de una organizacin conectada a la red Es la realizacin prctica de la poltica de seguridad de una organizacin. Sin una poltica de seguridad, la seguridad perimetral no sirve de nada Condiciona la credibilidad de una organizacin en Internet

SEGURIDAD PERIMETRAL Ejemplos cometidos de la seguridad perimetral Rechazar conexiones a servicios comprometidos Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos nodos. "Proporcionar un nico punto de interconexin con el exterior Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet Auditar el trfico entre el exterior y el interior Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red, cuentas de usuarios internos. DEFINICIONES Permetro: La frontera fortificada de nuestra red. INCLUYE Routers Cortafuegos Sistemas de Deteccin de Intrusiones Redes Privadas Virtuales Software y servicios Zonas desmilitarizadas y subredes controladas (screened subnets)Curso 2005-06 Nuevos Servicios Telemticos 6

ROUTER FRONTERA: El ltimo router que controlamos antes de Internet. Primera y ltima lnea de defensa. Filtrado inicial y final. CORTAFUEGOS: Dispositivo que tiene un conjunto de reglas para especificar qu trfico se acepta o se deniega. Dos procedimientos complementarios: Bloqueo de trfico Habilitacin de trfico

Definiciones Sistema de Deteccin de Intrusiones: Sistema formado por un conjunto de sensores localizados estratgicamente en la red interna para detectar ataques. Se basan en firmas (signatures) conocidas de ataques. Dos tipos Sistema de deteccin de intrusiones de red (NIDS) Sistema de deteccin de intrusiones de estacin (HIDS) Red Privada Virtual: Sesin de red protegida establecida a travs de canales no protegidos (e.g. Internet). Se materializa en dispositivos en el permetro para establecer sesiones cifradas. Arquitectura Software y Servicios: Aplicaciones instaladas en una red interna. El propsito principal de la seguridad perimetral es proteger los datos y servicios proporcionados por las aplicaciones. Zona desmilitarizada y subred controlada: Pequeas porciones de la red con servicios accesibles desde el exterior. Zona desmilitarizada: Situada delante del cortafuego, tras el router frontera. Red controlada: Situada tras el cortafuego Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente.

WEBGRAFA

 http://thelogicsecurityblog.wordpress.com/elementos-de-red/

http://www.monografias.com/trabajos30/seguridad-redes/seguridad-redes.shtml

http://www.internet-solutions.com.co/ser_fisica_logica.php

 http://es.wikipedia.org/wiki/Control_de_acceso_a_red

http://www.sophos.com/es-es/security-news-trends/security-trends/your-naccompliance.aspx

 http://es.scribd.com/doc/43219233/Control-de-Acceso

http://iso27002.wiki.zoho.com/11-4-Control-de-acceso-en-red.html

 http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-isa-es-4/s1-disaster-backups.html