Академический Документы
Профессиональный Документы
Культура Документы
FACULTAD DE INGENIERA
ESCUELA DE SISTEMAS Y COMPUTACIN
SEGURIDAD EN REDES
Fecha: 17/06/2015
Ao lectivo
2014-2015
SEGURIDAD EN REDES
QUE ES:
Definicin de Redes: Son conjuntos que permiten que dos o ms equipos terminales
de datos se conecten a travs de vnculos de telecomunicaciones, compartiendo
informacin y equipamiento (ej.: fax, scanner, impresoras, etc.)
Definicin de Seguridad en Redes: La seguridad en redes consiste en un conjunto de
medidas preventivas, programadas para enfrentar riesgos de origen fsico, como
catstrofes naturales o incendios, de origen humano, como sabotaje, robo o hurto y de
origen tcnico como un virus informtico o intrusin.
Desde el punto de vista de seguridad una Red es un entorno de computacin con varios
ordenadores independientes comunicados entre s.
Las redes suponen un incremento:
Cuantitativo: el nmero de ordenadores a proteger se dispara.
Cualitativo: aparecen un conjunto de nuevas vulnerabilidades y amenazas.
La explosin de Internet es el cambio ms significativo en el mundo informtico en los
ltimos aos.
Internet tambin puede considerarse como la revolucin ms importante en el mundo
de la informacin desde la aparicin de la imprenta.
CONCEPTOS:
La incorporacin de las Comunicaciones
Actualmente todos los mbitos de cualquier pas del mundo, ya sean stos los negocios,
la educacin, la banca, las decisiones militares o las decisiones polticas de los
gobiernos, estn fuertemente afectados por un nuevo fenmeno denominado
globalizacin.
Este fenmeno apoyado sobre las comunicaciones de voz y datos en tiempo real, sin
demoras ni retardos, y costos cada vez ms accesibles han cambiado el mundo.
La informacin
El poder est en la informacin, y esta debe considerarse como un activo de la
organizacin, por lo cual esta debe ser protegida y debe mantener su integridad,
operatividad y privacidad.
Redes
Las organizaciones actuales deben desarrollar sistemas funcionales de comunicacin
de datos, redes y estas son la columna vertebral de los nuevos negocios y
organizaciones.
Es muy importante definir cul es el nivel ptimo de seguridad dentro de las redes y
garantizar la continuidad de los procesos dentro de las organizaciones.
La seguridad a nivel informtica significa que el sistema est libre de peligro, dao
o riesgo.
Objetivo General:
Busca mantener la integridad, disponibilidad y confidencialidad de la informacin
dentro de la red, para que la organizacin mantenga la continuidad en sus
procesos.
Cuando hablamos de integridad queremos decir que los objetos del sistema slo pueden
ser modificados por personas autorizadas y en forma controladas. Por otro lado
disponibilidad significa que los objetos del sistema deben permanecer accesibles a las
personas autorizadas. Por ltimo, podemos definir confidencialidad en el sistema
cuando la informacin contenida en el mismo no es brindada hacia entidades externas.
Para alcanzar dicho objetivo debemos plantearnos y definir:
Objetivos Especficos:
Qu recursos se quieren proteger dentro de una red?
De qu deberamos protegernos?
En qu grado se necesita proteger?
Qu medidas y herramientas implantar para alcanzar un ptimo nivel de
seguridad sin perder de vista la relacin costo/beneficio?
Definidos estos puntos podremos disear las polticas de seguridad adecuadas a
implementar y crear un permetro de defensa que permita proteger las fuentes de
informacin.
Las normas de control interno que conforman las medidas de seguridad para sistemas
interactivos y procesos en redes privadas, se dividen en seguridad lgica y fsica.
Que recursos se deben proteger
Los recursos que se deben proteger no estn estandarizados, los mismos dependen de
cada organizacin y de los productos o servicios a los que la misma se dedique.
Bsicamente los recursos que se han de proteger son:
Hardware, que es el conjunto formado por todos los elementos fsicos de un
sistema informtico, entre los cuales estn los medios de almacenamiento.
Software, que es el conjunto de programas lgicos que hacen funcional al
hardware
Datos, que es el conjunto de informacin lgica que maneja el software y el
hardware.
Para los tres elementos a proteger existen cuatro tipos de amenazas:
1.
2.
3.
Modificacin, es cuando se altera algn objeto del sistema, una vez adentro del
mismo.
4.
Fabricacin es cuando se cambia algn objeto del sistema por otro de aspecto
igual pero con un objetivo distinto.
Sin embargo debemos tener en cuenta que cuando nos referimos a seguridad en redes
el bien ms preciado a proteger es la informacin que circula por la misma.
De qu deberamos protegernos
Primeramente debemos definir qu es lo que queremos proteger, y en base a ello
identificar cules son los riesgos para la seguridad del sistema.
La siguiente es una clasificacin bsica de riesgos:
Riesgos de origen fsico: dentro de este tipo de riesgos encontramos dos tipos:
1.
Los desastres naturales: entre los cuales encontramos los terremotos, tormentas
elctricas, inundaciones y humedad.
2.
3
Personas: son el factor de riesgo ms importante a tener en cuenta. stos pueden
o no tener intencin puede causar enormes prdidas. El objetivo es buscar agujeros del
sistema por donde ingresar y causar problemas. Hay dos tipos de atacantes: los pasivos,
son aquellos que entran en el sistema pero no destruyen y los activos, que son entran y
modifican al sistema. Los posibles atacantes son:
1. Personal: se trata de cualquier empleado de la organizacin que por error o
desconocimiento efecte algn tipo de accidente.
2. Ex empleados: son personas interesadas en atacar el sistema, en especial si fueron
despedidos. Hay que tener en cuenta que conocen a la el sistema y saben cules
son las debilidades del mismo, por donde pueden ingresar virus, troyanos o dems
amenazas lgicas.
3. Crackers: tienen como objetivo los entornos de seguridad media para curiosear, para
utilizarlas como enlace hacia otras redes, para probar nuevas formas de ataques o
por diversin. Pude tratarse de personas con distintos grados de conocimiento.
4. Terroristas: se trata de cualquier persona que ataca al sistema para causar algn
tipo de dao.
5. Intrusos remunerados: es grupo de atacantes ms peligroso ya que se trata de
piratas con gran experiencia en problemas de seguridad y un amplio conocimiento
del sistema, contratados por un tercero para robar secretos o para dar la imagen de
la empresa.
Amenazas lgicas: se trata de un conjunto de programas creados para daar los
sistemas informticos. Entre ellos encontramos los siguientes:
1. Software incorrecto: se trata de errores cometidos por los programadores en forma
involuntaria, los cuales se denominan bugs. A los programas que aprovechas estos
errores e ingresan en el sistema se los llama exploits.
2. Herramientas de seguridad: estas son armas de doble filo ya qu de la misma forma
que el administrador las utiliza para detectar y solucionar fallos en sus sistemas o
en la subred completa, un potencial intruso las puede utilizar para detectar fallos y
atacar.
3. Puertas traseras: tambin denominados atajos, son colocados en los programas
para tener mayor velocidad en la deteccin y depuracin de fallos.
4. Bombas lgicas: son partes de cdigo de ciertos programas que permanecen sin
realizar ninguna funcin hasta que son activadas, a partir de ese momento tienen
una funcin que no es la original sino una funcin daina.
5. Canales cubiertos: son canales de comunicacin que permiten transferir informacin
violando las polticas de seguridad del sistema.
6. Virus: es un programa, desarrollado intencionalmente, para instalarse en las
computadoras de un usuario, sin su consentimiento. Se trata de un conjunto de
instrucciones que alteran el funcionamiento de otros programas o sistemas
operativos y tambin de los archivos, entre otras posibles funciones.
En qu grado se necesita proteger
2.
3.
Mecanismos de separacin
4.
El proxy es un software, que se instala en una PC (que es aconsejable que sea exclusiva
para ese programa) conectada a una red local, buscando funcionar como una puerta
lgica.
Pueden tener varias aplicaciones, pero generalmente funcionan como firewall.
En el servidor proxy pueden acceder clientes o posibles clientes (clientes virtuales),
proveedores, o instituciones financieras, protegiendo el servidor donde se encuentran
los datos alojados.
2- Gateways a nivel-aplicacin
El gateway se caracteriza por ser un dispositivo que filtra datos.
Tanto los puentes como los routers pueden hacer de gateway, a travs de los cuales
entran y salen datos.
Los gateways nivel-aplicacin permiten al administrador de red la implementacin de
una poltica de seguridad estricta que la que permite un ruteador filtra-paquetes.
Mucho mejor que depender de una herramienta genrica de filtra-paquetes para
administrar la circulacin de los servicios de Internet a travs del firewall, se instala en
el gateway un cdigo de proposito-especial (un servicio Proxy) para cada aplicacin
deseada. Si el administrador de red no instala el cdigo Proxy para la aplicacin
particular, el servicio no es soportado y no podrn desplazarse a travs del firewall.
3- Ruteador filtra-paquetes
Este ruteador toma las decisiones de negar/permitir el paso de cada uno de los paquetes
de
datos
que
son
recibidos.
El ruteador examina cada datagrama para determinar si este corresponde a uno de sus
paquetes filtrados y determina si ha sido aprobado por sus reglas. Si se encuentra la
correspondencia y las reglas permiten el paso del paquete, este ser desplazado de
acuerdo a la informacin a la tabla de ruteo. En cambio si las reglas niegan el paso, el
paquete es descartado.
Medidas de Seguridad Lgicas con relacin al usuario:
Como dijimos antes, un Firewall no puede protegerse contra aquellos ataques que se
efecten dentro de un punto de operacin, es por eso que existen ciertas medidas de
control de identificacin y autenticacin de los usuarios.
PASSWORD
La confidencialidad de una informacin puede verse afectada si acceden a ella personas
que
no
estn
autorizadas
para
hacerlo.
Para evitar esto se utilizan mecanismos que restringen el acceso de los usuarios a
determinadas computadoras y determinados sectores de la informacin de la empresa.
Estos mecanismos, por lo general, son programas que habilitan el acceso de una
persona a una computadora y a un sector de informacin luego de haberla identificado
para
saber qu
privilegios
(nivel
de
acceso)
tiene
el
sistema.
El mtodo de identificacin ms utilizado es el de password, aunque tiene un grado de
seguridad bajo si no se lo utiliza correctamente. Con respecto a la misma podemos
establecer que:
IDENTIFICACIN DE USUARIOS
Cuando las persona quieren ingresar a nuestro sistema es necesario identificarlos y
autorizarlos. El objetivo de esto es autenticar que esa persona sea quien dice ser
realmente. Para ello, existen distintos mtodos, que se dividen en tres categoras, de
acuerdo a lo que utilizan para verificar la identidad, las cuales pueden ser:
Algo que el usuario sepa
Algo que este posee
Una caracterstica fsica del usuario (autenticacin biomtrica)
A.
Verificacin de la voz:
Este mtodo consiste en identificar una serie de sonidos y sus caractersticas para
validar al usuario. Para que sea eficaz, debe haber ausencia de ruidos. Este sistema
cuenta con algunas desventajas que lo hacen vulnerables ante los ataques, como por
ejemplo el modelo de simulacin en los que un atacante reproduce las frases o palabras
que el usuario legtimo pronuncia para acceder al sistema o el tiempo que pierde el
usuario hablando con el analizador ms el que necesita para autenticar al mismo. En el
mercado hay dos tipos de sistemas de verificacin de voz, lo s que se basan en textos
preestablecidos y los basados en textos independientes. En general este sistema es
acompaado por otro dispositivo.
B.
Verificacin de escritura:
Verificacin de huellas:
Este modelo de autenticacin biomtrica se divide en dos, por un lado los que analizan
patrones retinales y por otro lado los que analizan el iris. Este es un sistema muy efectivo
para la autenticacin. Ambos sistemas tienen algunas desventajas:
La escasa aceptacin entre los usuarios
La falta de confianza por parte de los usuarios
Su elevado precio
E.
Este mtodo es uno de los ms rpido dentro de los sistemas biomtricos, con una
probabilidad de error aceptable, ya que en un segundo es capaz de determinar si una
persona es vlida o no. La ventaja de este sistema es que al mismo tiempo que autentica
al usuario actualiza su base de datos, ante la posibilidad de cambios, sin olvidar la gran
aceptacin que tuvo por parte del pblico.
CRIPTOGRAFIA
Es un mtodo de seguridad que sirve para resguardar archivos, comunicaciones,
identificaciones y claves. Todos los archivos bsicos o maestros de la red, as como
toda trasferencia de datos deben estar encriptados. La idea de este mtodo es
transformar el texto normal a u texto cifrado , con lo cual el enemigo lee el texto cifrado,
no el original. Para poder acceder al verdadero es necesario una clave que solo conocen
el emisor y el receptor.
Hay dos conceptos que deben ser tenidos en cuenta:
1.
2.
FIRMAS DIGITALES
Son bloques de datos que han sido codificados con una clave secreta y una clave
pblica.
Es un sistema mediante el cual el emisor enva un mensaje firmado al receptor y de esta
forma se evitan algunas situaciones como las siguientes:
El transmisor no pueda repudiar el contenido del mensaje
El receptor no pueda confeccionar por s mismo el mensaje.
RAID ( Redundant Array of Independent Disk )
Es tambin una tcnica de grabacin de discos en simultneo y paralelo, pero a
diferencia del mirror, el Raid, distribuye los datos en bloques entre diferentes discos
fsicos. Esta tcnica puede tener varios niveles, segn la cantidad de discos entre los
cuales se distribuyan los bloques de datos.
El nivel ms utilizado es el Raid 5 donde los datos se reparten por todos lo discos
asignados, si algo falla o sucede con un disco con los otros, es posible reconstruir los
datos. El otro nivel es el Raid 6, la diferencia con el cinco, es que el mismo puede
reconstruir dos discos.
Por ms que la utilizacin de Raid o Mirror nos provoque redundancia, no debemos dejar
de tenerlos en cuenta.
REDUNDANCIA
La redundancia consiste en tener un equipo disponible, una red, o un enlace por si falla
otro. La misma est dada por la cantidad y no por la duplicidad. Con esto se quiere decir
que los sustitutos no tienen porque ser iguales, pero si parecidos para que pueden
realizar las funciones que realizaban los anteriores.
Existe redundancia en:
Equipos
Redes
Discos ( Raid - Mirror )
Fuentes de alimentacin
Terminales
ANTIVIRUS
Los programas llamados virus son los elementos que producen mayor cantidad de
daos a la informacin y prdidas econmicas, ya sea en los grandes sistemas que
tienen un entorno DOS y/o Windows, o en las computadoras hogareas.
HERRAMIENTAS:
Nmap
PuTTY es una implementacin libre de Telnet y SSH para Win32 y Unix, junto con un
emulador de terminal xterm.
NetStumbler
NetStumbler es una herramienta de deteccin de redes inalmbricas para Windows.
NetStumbler es una herramienta para Windows que permite detectar redes de rea local
(WLAN), usando 802.11b, 802.11ay 802.11g.
Algunos de los usos de esta herramienta son:
Metasploit
El Proyecto Metasploit es un proyecto de seguridad informtica que proporciona
informacin sobre las vulnerabilidades, ayuda en las pruebas de penetracin y en la
ejecucin de la explotacin de vulnerabilidades de seguridad. Metasploit representa un
conjunto de herramientas que ayuda a los profesionales de seguridad y hacker a llevar
a cabo ataques informticos de manera sistematizada y automatizada.
Netlog
Este software de dominio pblico diseado por la Universidad de Texas, es una
herramienta que genera trazas referentes a servicios basados en IP (TCP, UDP) e
ICMP, as como trfico en la red (los programas pueden ejecutarse en modo promiscuo)
que pudiera ser "sospechoso" y que indicara un posible ataque a una mquina (por la
naturaleza de ese trfico).
Tcpdump
Es un software de dominio pblico que imprime las cabeceras de los paquetes que
pasan por un interfaz de red. Este programa es posible ejecutarlo en modo promiscuo
con lo que tendremos las cabeceras de los paquetes que viajan por la red. Tanto en la
captura como en la visualizacin de la informacin es posible aplicar filtros por protocolo
(TCP, UDP, IP, ARP, RARP ...), puertos (en este caso el puerto puede ser un nmero
o un nombre especificado en el fichero/etc/services), direcciones fuente, direcciones
destino, direcciones de red, as como realizar filtros con operadores (=, <, >, !=, and,
not, ...). En la ltima versin es posible ver tambin los paquetes de datos.
CONCLUSIONES
Como hemos visto la seguridad en las redes se ha convertido en un factor importante
en el diseo e implementacin de las redes. El administrador de la red debe estar
constantemente implementando medidas de seguridad en la red con el fin de tener una
red confiable y estable.
Las redes inalmbricas estn en constante crecimiento y esto representa un reto para
los administradores que tendrn que desarrollar medidas eficaces para mantener
seguras las redes.
Aun con las medidas de seguridad que se implanten, siempre habr amenazas en contra
de las redes.
Bibliografa
(Aldegani, 2010)
(Fusario, 2010)
Morrison, G, "UNIX Security Tools". Division of Information Technology. CSRIO Review of
Computer Network Security.
Venema, W, "TCP WRAPPER, Network monitoring, access control, and booby traps", UNIX
Security Symposium III Procedings Baltimore), September 1992.