6.

REDES SEGURAS
1. REDES SEGURAS
2. CORTAFUEGOS O FIREWALL.
2.1. CORTAFUEGOS DE NIVEL DE RED.
2.2. CORTAFUEGOS DE NIVEL DE APLICACIN.

3. PROXY.
4. IDS (SISTEMAS DETECTORES DE INTRUSOS)

1. REDES SEGURAS

NIVELES OSI.
SEGURIDAD EN LAS CAPAS.
REDES PRIVADAS VIRTUALES.
INTRODUCCION
ANALOGIA CON LAS LAN
Qu ES UNA VPN?
VPN DE ACCESO REMOTO Y PUNTO A PUNTO.
MANTENER EL TRAFICO EN EL TUNEL VPN.
ENCRIPTACION Y PROTOCOLOS DE SEGURIDAD EN UNA RED PRIVADA VIRTUAL.

ASIGNACIN DE LAS CAPAS OSI A LA PILA DE PROTOCOLOS TCP/IP

SEGURIDAD EN LAS CAPAS

ELEMENTOS DE SEGURIDAD EN CADA UNA DE LAS CAPAS OSI Y TCP/IP

REDES PRIVADAS VIRTUALES

Los accesos remotos permiten a los usuarios, proveedores e invitados acceder a la LAN, an
cuando fsicamente estn fuera de la LAN. El servicio ms seguro que proporcionan este
tipos de conexin es a travs de VPN (Red Privada Virtual).
Virtual: Virtual porque no necesita de un circuito dedicado para funcionar.
Private: Privada porque proporciona mecanismos de encriptacin con distintos
algoritmos.
Network: Red que una vez establecida, funciona y se administra como una LAN estndar
Tipos de VPN.
Por Hardware:
Firewall: Adems de inspeccionar el trfico, permiten la implementacin de tneles
seguros.
Gateway: Dispositivos construidos para implementar VPN especficamente. Tienen gran
velocidad y soportan mayor cantidad de tneles que los Firewalls.
Servidores de acceso: permiten la implementacin directa de VPN. Esta funcin puede
negociarse con el ISP.
Por Software:
Con el sistema operativo: Linux, Windows NT, Windows 2000.
Con aplicaciones especficas para la creacin, administracin y monitoreo de VPN.

Una VPN cumple los cuatro principios de seguridad:

Confidencialidad: Esta conexin realiza una encriptacin de datos, de forma que

todos los datos son cifrados y encapsulados en otra trama.
No repudio: Las personas que realizan la conexin VPN deben de identificarse en el
servidor VPN, por lo que slo podrn conectarse a aquello que se les ha dado
permiso para realizar este tipo de conexin.
Integridad: Un sistema de hash acompaa a los datos para comprobar la no
modificacin, prdida o deterioro de los mismos durante el trayecto.
Autentificacin: La contrasea proporcionada al usuario permite que slo sea ste
el que se conecte a la red mediante este servicio.

INTRODUCCIN A LAS VPN

Una VPN es una red privada que utiliza una red pblica (usualmente Internet)
para conectar sitios remotos o usuarios entre s.
Una VPN usa conexiones "virtuales " enviadas a travs de Internet desde la red
privada de tu empresa hasta el lugar remoto donde se encuentre el empleado o
empleada.
Mediante una VPN, tu empresa puede garantizar la seguridad -cualquier persona
que intercepte los datos cifrados no los podr leer.

VPN: COMUNICAR LANs POR INTERNET

Disponemos de varias LANs remotas y una lnea alquilada. Las lneas arrendadas son
independientes de Internet, sin embargo, son capaces de conectar las LANs. Las empresas
que eligen esta opcin lo hacen debido a la necesidad de seguridad y fiabilidad en la
conexin entre sus oficinas remotas.
Conseguir una VPN? Una LAN establece una VPN con otra LAN. Cada VPN con las
propiedades:
Rapidez.
Fcil traslado de datos.
Capaz de ocultar el traslado de comunicaciones.
Confiabilidad.
Bajo coste aadir VPNs una vez establecida la primera.
Funcionamiento de una VPN: Los datos podran viajar por Internet cada vez que se desee
con privacidad y seguridad, a pesar de que viaja por Internet, junto con el resto del trfico.
Cada componente remoto de la red se puede comunicar de forma segura y fiable a travs de
Internet como medio para conectarse a la LAN privada.
Una VPN puede crecer para dar cabida a ms usuarios y diferentes lugares con mucha ms
facilidad que una lnea alquilada.
La escalabilidad es una ventaja que tienen las VPN sobre las lneas arrendadas.
La distancia no importa, porque las VPN pueden conectar fcilmente mltiples

Qu hace una VPN?

El propsito de una VPN es el de ofrecer una conexin privada segura y fiable entre las
redes de ordenadores en una red pblica existente, por lo general en Internet.
Una VPN bien diseada ofrecer a tu negocio los siguientes beneficios:
Conexiones extendidas a travs de mltiples ubicaciones geogrficas sin necesidad de
utilizar una lnea dedicada.
Mayor seguridad para el intercambio de datos.
Flexibilidad para oficinas remotas y usuarios/as para utilizar la Intranet de la empresa a
travs de una conexin a Internet como si estuvieran directamente conectados a la red.
Ahorro de tiempo y dinero a las/os empleadas/os para viajar si el trabajo pueden
hacerlo desde los lugares de trabajo virtuales.
Mejora de la productividad de los empleados y empleadas remotos.
Una empresa debe exigir las siguientes caractersticas esenciales VPN:
Seguridad - La VPN debe proteger los datos mientras estn viajando por la red pblica.
Si los intrusos intentan capturar los datos, deben ser incapaces de leerlos o utilizarlos.
Fiabilidad La/os empleada/os y oficinas remotas deben ser capaces de conectarse a la
VPN en cualquier momento (menos en las horas restringidas), y la VPN debe
proporcionar la misma calidad de conexin para cada usuaria/o, incluso cuando se
llegue al nmero mximo de conexiones simultneas.
Escalabilidad - Como crece tu empresa, debe ser capaz de extender sus servicios VPN
para ayudar al crecimiento sin tener que reemplazar la tecnologa VPN

VPN DE ACCESOS REMOTO

Una VPN de acceso remoto y consiste en usuarios o proveedores que se conectan con la empresa desde
sitios remotos (oficinas, domicilios, etc.) utilizando Internet como vnculo de acceso. Una vez
autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.
VPN de acceso remoto. Una VPN de acceso remoto permite a los usuarios individuales establecer
conexiones seguras con una red remota. Los usuarios pueden acceder a los recursos de seguridad en la
red como si estuvieran directamente conectados a los servidores de la red.
Ejemplo: una empresa que necesita una VPN de acceso remoto es una gran empresa con cientos de
vendedores itinerantes, como una empresa de paquetera donde todos sus empleadas/os estn
localizados fuera de la empresa pero realizando labores para la empresa.
Hay dos componentes necesarios para una VPN de acceso remoto:
1. Un servidor de acceso de red / Gateway / Pasarela de medios / Servidor de Acceso Remoto
(RAS). (Nota: Tambin usa NAS en el sentido de almacenamiento conectado a red). Un RAS
consiste en que un usuario se conecta a travs de Internet con el fin de utilizar una VPN. La RAS
requiere al usuario sus credenciales vlidas para acceder a la VPN. Para autenticarse, el RAS utiliza
su propio proceso de autenticacin o bien accede a un servidor de autenticacin independiente
que se ejecute en la red.
2. El software de cliente. Las/os empleadas/os que quieran utilizar la VPN desde sus ordenadores
necesitan software cliente en sus equipos para poder establecer y mantener una conexin VPN. La
mayora de los sistemas operativos incorporan el software necesario para poder conectarnos a
redes VPN de acceso remoto, aunque algunos pueden requerir instalar una aplicacin especfica en
su lugar. El software de cliente establece la conexin de tnel contra un RAS, al que el usuario
accede porque conoce la direccin de Internet del servidor NAS. El software cliente tambin
gestiona el cifrado necesario para mantener la conexin segura.

VPN PUNTO A PUNTO.

Una VPN de acceso remoto: Es ideal para empleadas/os fuera de la empresa, pero
qu pasa si los que necesitan realizar una conexin VPN son las sucursales en las
que trabajan decenas o incluso cientos de empleados?

A continuacin, vas a ver otro tipo de VPN utiliza para mantener a las empresas
conectadas de LAN a LAN.

Una VPN punto a punto permite a las oficinas en varios lugares fijos establecer
conexiones seguras entre s a travs de una red pblica como Internet.
Una VPN punto a punto extiende la red de la compaa, por lo que los recursos del
equipo de un sitio estn a disposicin de los empleados en otros lugares.
Un ejemplo de una empresa que necesita una VPN punto a punto es una empresa
con decenas de sucursales en todo el mundo.

MANTENER EL TRFICO EN EL TNEL VPN

La mayora de las VPN se basan en un tnel para crear una red privada que se
extiende a travs de Internet (Un archivo a travs de Internet, ste se divide en
paquetes que se envan y se reciben por los ordenadores emisor y receptor).

Tnel: proceso de colocar un paquete entero dentro de otro paquete antes de ser
transportado a travs de Internet. El paquete exterior protege el contenido de la
vista pblica y asegura que el paquete se mueve dentro de un tnel virtual. Esta
estratificacin de los paquetes se llama encapsulacin.

Los ordenadores u otros dispositivos de red que estn situados a ambos extremos
del tnel se llaman interfaces de tnel y pueden encapsular los paquetes de salida
y volver a abrir los paquetes entrantes. Los usuarios o administradores (en uno o
ambos extremos del tnel) pueden configurar las interfaces de tnel para que
utilicen un protocolo de tnel determinado, tambin llamado protocolo de
encapsulacin. Un protocolo de tnel es una forma estndar de encapsular
paquetes.

TNEL VPN

El propsito del protocolo de tnel es aadir una capa de seguridad que protege a
cada paquete en su viaje a travs de Internet. El paquete viaja con el mismo
protocolo de transporte que se ha utilizado sin el tnel, este protocolo define la
forma en que cada equipo enva y recibe datos a travs de su ISP. Cada paquete
interno mantiene el protocolo de pasajero, tal como el protocolo de Internet (IP),
que define la forma en que viaja en la LAN en cada extremo del tnel.
El protocolo de tnel usado para la encapsulacin aade una capa de seguridad
para proteger el paquete en su viaje a travs de Internet.

ENCRIPTACIN Y PROTOCOLOS DE SEGURIDAD EN UNA RED PRIVADA VIRTUAL.

Cmo se aseguran los datos para su transporte a travs de la insegura Internet?

El cifrado es el proceso de codificacin de datos para que slo un ordenador con el
decodificador adecuado sea capaz de leerlos. Puedes utilizar la encriptacin para proteger
tus archivos en tu ordenador o para enviar correos electrnicos codificados.
Una clave de cifrado indica los clculos a realizar en los datos con el fin de cifrar o descifrar.
Las formas ms comunes de cifrado son las de clave simtrica de cifrado o/y la de clave
asimtrica o encriptacin de clave pblica:
En el cifrado de clave simtrica, todos los equipos (o usuarios) comparten la misma
clave utilizada para cifrar y descifrar un mensaje.
En el cifrado de clave pblica, cada equipo (o usuario) tiene un par de claves pblica y
privada. Una computadora utiliza su clave privada para cifrar un mensaje, y otro que
utiliza la clave pblica correspondiente para descifrar el mensaje.
Una VPN, adems, de un par de claves para aplicar el cifrado, necesita un protocolo VPN
punto a punto como (IPSec: Protocolo de Seguridad de Internet) o la encapsulacin de
enrutamiento genrico (GRE). GRE proporciona la trama para empaquetar el protocolo para
el transporte de pasajeros a travs del protocolo Internet (IP). Esta trama incluye
informacin sobre qu tipo de paquete est encapsulado y la conexin entre el emisor y el
receptor.

IPSec

IPSec es un protocolo usado para proteger el trfico en redes IP, incluida Internet. Puede
cifrar los datos entre varios dispositivos como: router a router, Firewall a router, o desde
escritorio a router, y el escritorio hasta el servidor. IPSec se compone de 2 sub-protocolos
que utilizan las instrucciones de VPN para asegurar las necesidades de sus paquetes:
ESP (Encapsulado de seguridad) cifra la carga til del paquete con una clave simtrica.
AH o Cabecera de Autenticacin, utiliza una operacin de hash en la cabecera del
paquete para ayudar a ocultar la informacin del paquete determinado (como la
identidad del remitente) hasta que llega a su destino.
Los dispositivos de red pueden utilizar IPSec en uno de los dos modos de codificacin. En el
modo de transporte, los dispositivos cifran los datos que viajan entre ellos. En el modo de
tnel, los dispositivos construyen un tnel virtual entre dos redes. Como puedes imaginar,
las VPN IPSec se utilizan en modo de tnel IPSec con ESP y AH trabajando juntos.
En un acceso remoto VPN, los tneles suelen ser punto a punto (PPP), que forma parte de
los protocolos nativos utilizados en Internet. Sin embargo, VPN de acceso remoto utilizan
uno de los tres protocolos basados en PPP:
L2F (Layer 2 Forwarding, de Cisco): usa cualquier sistema de autenticacin que admite PPP.
PPTP (Point-to-point Tunel Protocol, punto-a-punto Protocolo de tnel): Soporta 40-bit y 128-bit de
encriptacin y cualquier esquema de autenticacin que admite PPP.
L2TP (Layer 2 Tunneling Protocol): combina las caractersticas de PPTP y L2F y es totalmente
compatible con IPSec, tambin se aplica en las VPN de punto a punto.

2. CORTAFUEGOS O FIREWALL

En empresas y organizaciones grandes con elevado nmero de equipos hay que

utilizar defensas anlogas al tamao de stas. La mayor parte de los ataques se
producen desde Internet, y las empresas salen a internet desde sus equipos, pues
la mejor forma de defenderse es interponer una barrera que filtre el acceso desde
internet a la empresa. Esta barrera se conoce como cortafuegos.
Un Firewall (ingls: cortafuegos) es un dispositivo hardware o software que tiene
como propsito proteger una red de otras redes a las cuales est conectada.
Estos dispositivos se sitan en un punto en el cual pueden canalizar todo el trfico
que entra y sale de la red que tienen como objetivo proteger.
Para lograr esta proteccin efectan filtrados mediante reglas que se aplican al
trfico que los atraviesa. Definir estas reglas ser algo que t como tcnico/a
tendrs que realizar, teniendo en cuenta, por ejemplo, la direccin origen y la
direccin destino del trfico.
Segn el tipo de filtrado que realicen se pueden distinguir dos tipos de Firewall:
Firewall de nivel de red y Firewall de nivel de aplicacin.

2.1. CORTAFUEGOS DE NIVEL DE RED.

Aunque se llame cortafuegos de nivel de red, es capaz de examinar el nivel de

transporte y de red de los paquetes que los atraviesan. Lo que hace es analizar las
cabeceras TCP e IP, y extrae los parmetros ms relevantes. Por ejemplo, IP de
origen y destino, puerto TCP de origen y destino. Con estos parmetros puede
filtrar el trfico segn las reglas que en l se hayan definido.
Tipos de polticas de configuracin de las reglas de los cortafuegos:
Permisiva: Se permite el paso de todo el trfico excepto el contemplado por alguna regla. Se parte
de una regla por defecto que en este caso sera una regla que dejara pasar todo el trfico con
independencia de sus parmetros. Para bloquear cierto tipo de trfico se tendran que definir reglas
explcitas para ello.
Restrictiva: Se caracteriza por denegar todo el trfico excepto el que est explcitamente permitido.
Para esto se crea una regla por defecto que deniegue todo el trfico con independencia de sus
parmetros. Para permitir algn tipo de trfico se tienen que definir reglas explcitas para ello.

Segn el lugar fsico donde se ubique el Firewall en la red recibir diferentes

nombres, podemos clasificar los cortafuegos en funcin de su localizacin:
Perimetrales: Se sitan en la zona ms externa de la red, y suele ser el mismo router de conexin el
que realiza las funciones de cortafuegos. En otros casos es un equipo llamado HOST bastin el que
realiza esta funcin.
De sistema: Se colocan directamente sobre el ordenador que se quiere proteger. Es muy comn
que el cortafuegos est integrado en el sistema operativo.

2.2. CORTAFUEGOS DE NIVEL DE APLICACIN.

Los Firewalls de nivel de red tienen como limitacin no poder filtrar trfico a nivel
de aplicacin que es donde surgen las necesidades reales en el uso de las
aplicaciones. Por ejemplo, podras filtrar el trfico FTP con un Firewall de nivel de
red, pero no podras filtrar el uso de cierto comando FTP.
Surgen los Firewalls de aplicacin que analizan el trfico de cada protocolo de
aplicacin y permite reglas de filtrado en funcin de los parmetros del protocolo
de cada aplicacin por separado.
El inconveniente de los Firewalls de aplicacin es que requiere un mdulo de
control para cada aplicacin. Este tipo de Firewalls puede aparecer como HOST
independientes o bien como mdulos de software integrados en el sistema a
proteger.

2.3. ARQUITECTURA DE UN FIREWALL

Segn el tipo de cortafuegos instalado tendremos diferentes tipos de arquitecturas:

Arquitectura Screening Router. Aprovecha la capacidad de algunos routers (screening

routers) de hacer enrutado selectivos, para bloquear o permitir el trnsito de paquetes
mediante ACLs en funcin de ciertas caractersticas de las tramas, de forma que el
router acte como pasarela de toda la red. Generalmente, hay que usar las IPs origen y
destino para determinar el filtrado con lo que el router se convierte en la pasarela de
toda la red. Tambien se puede usar, los puertos de origen y destino o el tipo de
mensaje. Y si an quieres ms posibilidades podras utilizar las interfaces de entrada y
salida en el router.
Arquitectura Dual-Homed HOST. Este modelo se crea con mquinas equipadas con dos
o ms NIC, llamadas dual-homed HOSTs, y en las que una de las NIC suele conectar a la
red interna a proteger y la otra a la red externa a la organizacin. En esta configuracin
el screening router y el HOST bastin coinciden en el mismo equipo. Ahora bien, el
sistema ha de ejecutar al menos un servidor PROXY por cada uno de los servicios que
quieras que pase a travs del cortafuegos. Esta es la arquitectura ms utilizada hoy.
Arquitectura Screened Subnet. Es la arquitectura ms segura, pero la ms compleja. En
esta configuracin hay que usar 2 routers, denominados exterior e interior, conectados
ambos a la red perimtrica.

ARQUITECTURAS DE UN FIREWALL

3. PROXY

El proxy permite controlar el trfico desde la red o intranet hacia el exterior o Internet. As
aades seguridad a la empresa, pues puedes controlar cul es el trfico permitido.
El PROXY es un intermediario que recibe peticiones de recursos de la red de nodos clientes
y las gestiona en la red global, encargndose de responder a estas peticiones. Por el PROXY
circula todo el trfico desde la empresa hacia la red externa o Internet, por lo que puedes
establecer reglas para que no resuelva las peticiones que no cumplen reglas establecidas.
Tipos habituales:
PROXY web: sirve para interceptar las conexiones con la web y puede ser til para
incrementar la seguridad, rapidez de navegacin o anonimato.
PROXY para navegacin annima: Al ser el PROXY el que accede al servidor web, este
sabe quin ha hecho la peticin dentro, pero puede decirlo o no, es decir, el PROXY sabe
quin es el usuario que lo est utilizando. El servidor web puede entonces haber
recibido la peticin desde la IP del PROXY, y piensa que el usuario que lo accede es el
propio PROXY, en lugar del usuario real que hay detrs del PROXY. Hay proxies annimos
que NO informan de quin realiza las peticiones y los hay que s informan del usuario
real que est conectado a travs del l.
Desventajas de un Proxy:
Que los usuarios reciban informacin no actualizada o que el PROXY se sobrecargue
cuando las peticiones son elevadas.
Adems, es un objetivo para los hackers que quieren atacar de forma annima, si toman

3.1. FUNCIONAMIENTO Y CARACTERISTICAS

Las caractersticas de un PROXY son:

Permite definir los permisos de los usuarios de la red interna sobre servicios, dominios, IP externas.
Todos los usuarios de la red interna comparten IP, desde el exterior no se pueden diferenciar.
Tanto el trfico de la red interna hacia internet y viceversa pasa por el PROXY, se puede auditar el
uso de internet.
Permite almacenar las pginas recientemente consultadas en una CACH para aumentar el
rendimiento de la red. Ej: la pgina almacenada en CACH de un PROXY se carga ms rpido.
Ventajas.
Control de usuarios: slo el intermediario hace el trabajo real, por tanto, se pueden limitar y
restringir los derechos de los usuarios, y dar permisos slo al PROXY.
Menos equipamiento. Slo uno usuario (el PROXY) ha de estar equipado para hacer el trabajo real.
Mejor respuesta. Si varios clientes piden el mismo recurso, el PROXY hace CACH: guarda la
respuesta de una peticin para darla cuando otro usuario la pida. As no se vuelve a contactar con
el destino, y acaba ms rpido.
Seleccin de la informacin. El PROXY puede negarse a responder peticiones si detecta que estn
prohibidas.
Prdida de identidad. Si todos los usuarios se identifican como uno slo, el recurso accedido no los
diferenciar. Pero esto puede ser malo, cuando hay que hacer necesariamente la identificacin.
Desventajas.
Sobrecarga. Un PROXY ha de hacer el trabajo de muchos usuarios.
Intromisin. Intermediario entre origen y destino, ciertos usuarios no desean PROXY cach o datos.
Falta de actualidad. Si hace de CACH, puede dar una respuesta obsoleta. Este problema no existe

PROXY WEB Y PROXY CACH

PROXY de web o PROXY CACH de web se trata de un PROXY para una aplicacin especfica: el
acceso a la web. Aparte de la utilidad general de un PROXY, te proporciona una CACH para las
pginas web y los contenidos descargados, que es compartida por todos los equipos de la red, con
la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al mismo tiempo
libera la carga de los enlaces hacia Internet.
Funcionamiento.
1. El cliente realiza una peticin (p. ej. mediante un navegador web) de un recurso de Internet (una
pgina web o cualquier otro archivo) especificado por una URL.
2. Cuando el PROXY CACH recibe la peticin, busca la URL resultante en su CACH local. Si la
encuentra, contrasta la fecha y hora de la versin de la pgina demanda con el servidor remoto.
Si la pgina no ha cambiado desde que se cargo en CACH la devuelve inmediatamente,
ahorrndose de esta manera mucho trfico pues slo intercambia un paquete para comprobar
la versin. Si la versin es antigua o simplemente no se encuentra en la CACH, lo captura del
servidor remoto, lo devuelve al que lo pidi y guarda o actualiza una copia en su CACH para
futuras peticiones.
Los proxies web tambin pueden filtrar el contenido de las pginas Web servidas. Algunas
aplicaciones que intentan bloquear contenido Web ofensivo estn implementadas como proxies
Web.
Un cliente de un ISP manda una peticin a Google la cual llega en un inicio al servidor PROXY que
tiene este ISP, no va directamente a la direccin IP del dominio de Google. Esta pgina concreta
suele ser muy solicitada por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su
PROXY por un cierto tiempo y crea una respuesta en mucho menor tiempo.
Cuando el usuario crea una bsqueda en Google el servidor PROXY ya no es utilizado; el ISP enva
su peticin y el cliente recibe su respuesta ahora s desde Google.

Ventajas y Desventajas

Ventajas:
Disminuye del Trfico: Al centralizarse todas las peticiones de pginas Web en el
servidor PROXY y ste resolver algunas de estas peticiones, se disminuye el trfico que
desde nuestra red se solicita a Internet directamente.
Mejora el tiempo de respuesta: El servidor PROXY crea un CACH que utiliza con todas
las peticiones similares, para el usuario supone una respuesta ms rpida de lo habitual.
Aumenta los Usuarios: Al poder responder rpido puede cubrir ms usuarios, para
solicitar, a travs de l, los contenidos Web.
Selecciona los contenidos: el servidor PROXY puede filtrar pginas o contenidos
basndose en criterios de restriccin del administrador dependiendo valores y
caractersticas de lo que no se permite, creando una restriccin cuando sea necesario.
Bloquea contenidos: basndose en la misma funcin del filtrado, protege la privacidad
en Internet, puede ser configurado para bloquear direcciones y Cookies.
Desventajas:
No actualiza. Falta de actualizacin de las pginas mostradas almacenadas en la CACH.
Un/a diseador/a de pginas web puede indicar en el contenido de su web que los
navegadores no hagan una CACH de sus pginas, pero este mtodo no funciona
habitualmente para un PROXY.
El PROXY puede impedir el acceso a algunos puertos y protocolos. Esto sucede si tratas
de utilizar servicios poco habituales para los usuarios/as de la red, por ejemplo FTP.

PROXY EN WINDOWS CON WINGATE: INSTALACIN

Partimos de la red Windows que t administras y que por tanto est funcionando
con el protocolo TCP/IP. Una vez descargado el programa lo instalas en el HOST
bastin, es decir, el ordenador que hace de intermediario entre la red de rea local
y la red externa o Internet.
Durante la instalacin te har algunas preguntas. Te recomiendo que no uses el
DHCP, es decir, asignacin de direcciones IP dinmicamente. Si tienes una intranet
pequea es mejor tener cada ordenador con una IP fija, asignada por ti "a mano",
de esta forma tendrs un control mayor sobre tu red.
Inicia la instalacin de Wingate, y las respuestas a las diferentes pantallas del
instalador son sencillas, pero tienes que tener en cuenta que:

Debes aceptar las condiciones de uso del programa.

Escoge la opcin de PROXY server.
No uses el usuario del sistema operativo para la base de datos.
Si tienes ms de un ordenador en la red, instala ENS, de lo contrario no hace falta.
Deja activadas las actualizaciones.

PROXY EN LINUX. FREE PROXY.

FreePROXY es un software gratuito, se trata de un PROXY que permite que una sola
conexin a Internet compartida por otros ordenadores en una red sea controlada
por l. Visto de otro modo, FreePROXY es un mecanismo para proporcionar acceso
controlado a Internet. Los controles pueden ser por filtros avanzados de seguridad,
por nombre de usuario y contrasea de verificacin o por filtrado de IP.
El servidor web, aunque integrado en FreePROXY, se llama FreeWeb. FreePROXY
puede funcionar como un servidor web, y como un PROXY.
Si quieres comenzar a usar FreePROXY debes ejecutarle en uno de los siguientes
sistemas operativos: Windows XX.
Despus de instalarlo ejecuta FreePROXY Control Centre, que estar en la ruta:
Inicio Programas FreePROXY FreePROXY Control Centre.
El Control Centre cargar Default.cfg automticamente la primera vez que se
ejecute.
Selecciona Start/Stop del men de FreePROXY y selecciona START FreePROXY como
servicio (SERVICE).

4. IDS: SISTEMAS DETECTORES DE INTRUSOS

Un IDS es un mecanismo de defensa ante ataques.

Ejemplo: un Firewall con una poltica de acceso al puerto 80 de un servidor web a cualquier
mquina de Internet; ese cortafuegos comprobar el puerto de destino de las tramas entrantes,
pero no la naturaleza de esas tramas. La llegada de tramas iguales con destino al puerto 80 las
deja pasar y alguna de esas tramas alcanzan el servidor por llevar el puerto 80 de destino podran
ser un ataque o un hacker intentando acceder a nuestro sistema de ficheros para encontrar el
archivo de contraseas aprovechando un bug del servidor web.
Un hacker externo ataca a un usuario autorizado que intenta obtener privilegios que no le
corresponden en un sistema, nuestro entorno de trabajo no estar nunca a salvo de intrusiones.
Intrusin: conjunto de acciones que intentan comprometer la integridad, confidencialidad o
disponibilidad de un recurso. Analizando la definicin vemos que una intrusin no siempre
consiste en un acceso no autorizado a una mquina, tambin puede ser una denegacin de
servicio.
Sistemas de Deteccin de Intrusos (IDS): sistema utilizado para detectar las intrusiones o intentos
de intrusin en un sistema. Ningn sistema informtico puede considerarse completamente
seguro, pero incluso aunque nadie consiga violar nuestra polticas de seguridad, los sistemas de
deteccin de intrusos se encargarn de mostrarnos todos los intentos, no dejndonos caer en
ninguna falsa sensacin de seguridad: si somos conscientes de que a diario hay gente que trata de
romper nuestros sistemas, no caeremos en la tentacin de pensar que nuestras mquinas ests
seguras porque nadie sabe de su existencia o porque no son interesantes para un pirata.

4.1. CLASIFICACIN DE SISTEMAS IDS. TIPOS:

Clasificacin en funcin de los sistemas que vigilan: pueden ser IDS de RED o de
HOST.
Clasificacin en funcin de las tcnicas que emplean (de cmo vigilan): podrn ser
detectores de ANOMALAS detectores de USO INDEBIDO.
Clasificacin en funcin de su localizacin

Clasificacin segn su funcin:

CLASIFICACIN EN FUNCIN DE LOS SISTEMAS QUE VIGILAN

1.

IDS de red: monitoriza los paquetes que circulan por nuestra red en busca de elementos que denoten
un ataque contra alguno de los sistemas ubicados en ella. El IDS puede situarse en cualquiera de los
HOSTs o en un elemento que analice todo el trfico. A estos elementos se les llama "sensores y se
utilizan en dominios de colisin.
2.
IDS de HOST: Si tienes solo un ordenador sensible, por ejemplo el servidor, ser un IDS de HOST el que
debes instalar en esa mquina para que proteja ese sitio informtico. En este caso la forma de actuar
del IDS de HOST es muy parecida a la de un antivirus residente, pues el IDS trabaja en la "sombra" y de
forma silenciosa buscando patrones que puedan denotar un intento de intrusin y te alerta cuando
detecta un intento de intrusin. Cuando esto ocurre t irs arbitrando las medidas oportunas en cada
uno de los casos, y la prxima vez que ocurra, el IDS de HOST tomar las medidas oportunas en cada
caso ya estudiado. Algunas de estas medidas ya son conocidas por el propio IDS de HOST.
CLASIFICACIN EN FUNCIN DE CMO ACTAN ESTOS SISTEMAS (TCNICAS DE DETECCIN DE INTRUSOS):
1. Deteccin de anomalas. Una anomala es cualquier intento de intrusin en nuestro sistema, por lo
se debe establecer el comportamiento habitual del sistema para detectar patrones que
estadsticamente se desven del patrn. Cuando el comportamiento se desve de la media de una
forma excesiva podremos afirmar que hay una intrusin.
Lo difcil es disear un buen patrn de comportamiento, ya que la complejidad es alta. Una vez
establecido, buscar qu desviacin se considera un ataque y cul no. El objetivo no es obtener muchos
falsos positivos, pero si que no se pasen por alto los ataque. No es una tarea fcil.
2. Deteccin de usos indebidos. Su funcionamiento presupone que podemos establecer patrones para
los diferentes ataques conocidos y alguna de sus variaciones. En la deteccin de anomalas se conoce lo
normal y detecta lo inusual, en este caso se comparan los comportamientos de todos los ataques
conocidos con lo que est ocurriendo. En este caso debes de tener la BBDD siempre actualizada y an
as, si un ataque es totalmente nuevo, no podr detectarlo hasta que no se incorpore a la base de datos.

ARQUITECTURA DE UN IDS

Cuando se tenga que implantar un IDS se optar probablemente por una

combinacin de las categoras antes explicadas.
Es frecuente que haya varias subredes en la empresa y por tanto te encuentres con
que la situacin de los sensores debera de ser en todas estas subredes. Adems, si
la red est segmentada tambin tendrs que colocar un sensor en cada segmento
de sta. As, tendrs que tener en cuenta todos los factores de la topologa de la
red para colocar los sensores.
Otra decisin importante, es elegir el tipo de respuesta que el IDS dar ante una
deteccin de ataque. Quiz te gustara que el IDS se pudiera comunicar con el
Firewall para indicarle las nuevas reglas que debe aplicar para evitar este ataque
que se est produciendo. Por ejemplo, si el IDS detecta un intento de ataque al
servidor web desde la direccin IP w.x.y.z, el IDS le dir al Firewall que aada una
regla que deniegue todo el trfico desde esa direccin hacia nuestra red.

ARQUITECTURA IDS

Una vez situados los sensores de red estos no son infalibles, pues se han podido disear
mtodos para evadirlos, o bien se trate de un ataque nuevo que no detecten, por lo que
ahora te planteas fortalecer el IDS instalado con otro tipo de IDS. Como lo que ms te
preocupa son los ordenadores o servidores que tienen instalados algn tipo de servicio,
probablemente sea un decisin acertada vigilar qu ocurre en estos equipos. Por lo que
decides instalar HIDS en estos equipos tan sensibles. Estos HIDS se encargarn de
examinar los log del sistema y de las aplicaciones ms importantes buscando trazas de
intrusin y tambin se ocupar de comprobar la integridad de los archivos esenciales
del sistema, con el fin de prever una modificacin no autorizada de los mismos.

Ejemplos de IDS.
Snort: sniffer capaz de actuar como sistema de deteccin de intrusos en redes de trfico moderado;
su facilidad de configuracin y su adaptabilidad, funciona en sistemas UNIX y Windows, y adems
se trata de un sistema no muy caro. Es una buena herramienta y es menos caro que Network Flight
Recorder o ISS RealSecure, aunque estos ltimos son ms potentes.
Tripwire: comprobador de integridad para ficheros y directorios en UNIX: compara un conjunto de
estos objetos con la informacin sobre los mismos almacenada en la base de datos, y, alerta al
administrador en caso de que algo haya cambiado. La idea es Crear un fichero resumen de cada
fichero o directorio importante para nuestra seguridad nada ms instalar el programa. Almacenas
esos resmenes en un medio seguro, de forma que si alguno de los ficheros es modificado, por
ejemplo por una versin infectada del mismo fichero, o aadiendo una contrasea al fichero de
contraseas, Tripware lo detectar y te avisar la prxima vez que realices la comprobacin.
Tripware utiliza MD5 y CRC-32 entre otras funciones de hash para generar los resmenes, y como
recuerdas, estos hash son imposibles de generar iguales si los ficheros son diferentes.