SEGURIDAD EN LA INTRANET

Definicin de una INTRANET: Es una infraestructura basada en los estndares y tecnologas de Internet que soporta el compartir informacin dentro de un grupo bien definido y limitado. Problema: Aunque una INTRANET sea una red privada en la que se tengan grupos bien definidos y limitados sta no se encuentra exenta de ataques que pudiesen poner en riesgo la informacin que maneja, ya que la mayora de stos son provocados por sus mismos usuarios. Antecedentes: La mayora de las estadsticas de seguridad en cmputo indican que cerca del 80% de los fraudes relacionados con las computadorasprovienen de los usuarios internos, por esto las intranets son las ms vulnerables a ataques de sta ndole. Para ello es muy saludable crear polticas de seguridad. Qu son las polticas de seguridad? Polticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cmputo, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se esta tratando de proteger, stos documentos son el primer paso en la construccin de Firewalls efectivos. Las polticas son parte fundamental de cualquier esquema de seguridad eficiente. Cmo establecer polticas de seguridad para una INTRANET? Metodologa de desarrollo Un esquema de polticas de seguridad debe llevar ciertos pasos, para garantizar su funcionalidad y permanencia en la institucin que. Nuestra propuesta es seguir los pasos detallamos a continuacin: Preparacin Es la recopilacin de todo tipo de material relacionado cuestiones de seguridad en la organizacin: Qu quiero proteger? Mis recursos: Personal, informacin, hardware, software, documentacin, consumibles, etc. Hacer preguntas relacionadas con el uso externo: por ejemplo: Necesitar la intranet proteccin de acceso externo? Se conceder a usuarios autorizados el acceso remoto? Cmo se determinar el acceso no autorizado cuanto ocurra? Existen restricciones de acceso a la informacin importante? Etc. Hacer preguntas relacionadas con el uso interno: por ejemplo A qu grupos, departamentos o usuarios se les restringir el acceso a informacin interna? con

Qu constituye una brecha de seguridad interna? El sistema de seguridad impide la productividad? Cmo determina cuando el acceso inautorizado ha ocurrido? Etc. Hacer preguntas concernientes a la administracin Se planea implementar diferentes niveles de acceso? Quin est autorizado para tomar decisiones acerca de la seguridad? Se tiene un sistema de rastreo confiable instalado? Se usar el cifrado?, Ser el adecuado? Etc. De quin necesito protegerlo? De cualquiera que constituya una amenaza, ya sea interna o externa en cualquiera de estos rubros:
y y y y y

Acceso no autorizado: Utilizar recursos de cmputo sin previa autorizacin Dao a la informacin: Modificacin o eliminacin de la informacin en el sistema Robo de informacin: Acceso a cierta informacin sin previa autorizacin Divulgacin de la informacin: Publicar detalles del sistema, como podran ser las contraseas, secretos, investigaciones, etc. Negacin del servicio: Obligar al sistema a negar recursos a usuarios legtimos

Qu tantos recursos estoy dispuesto a invertir? Cmo puedo / debo protegerlo? En general, se tiene que lograr que las polticas de seguridad cumplan con todos los servicios de seguridad: Autenticacin Confidencialidad Integridad No repudio Disponibilidad de los recursos a personas autorizadas Control de Acceso
y

y y

Redaccin - Escribir las polticas de una manera clara, concisa y estructurada. Requiere de la labor de un equipo en el que participen abogados, directivos, usuarios y administradores. Edicin - Reproducir las polticas de manera formal para ser sometidas a revisin y aprobacin Aprobacin - Probablemente, la parte ms difcil del proceso, puesto que es comn que la gente afectada por las polticas se muestre renuente a aceptarlas. En esta etapa es fundamental contar con el apoyo de los directivos.

y y

Difusin - Dar a conocer las polticas a todo el personal de la organizacin mediante proyecciones de video, pginas Web, correo electrnico,cartas compromiso, memos, banners, etc. Revisin - Las polticas son sometidas a revisin por un comit, que discutir los comentarios emitidos por las personas involucradas. Aplicacin - Es peor tener polticas y no aplicarlas que carecer de ellas. Una poltica que no puede implementarse o hacerse cumplir, no tiene ninguna utilidad. Debe predicarse con el ejemplo. Actualizacin -En el momento requerido, las polticas debern ser revisadas y actualizadas, respondiendo a los cambios en las circunstancias. El momento ideal es justo despus de que ocurra un incidente de seguridad.

Mientras las polticas indican el "qu", los procedimientos indican el "cmo". Los procedimientos son los que nos permiten llevar a cabo las polticas. Ejemplos que requieren la creacin de un procedimiento son: Otorgar una cuenta Dar de alta a un usuario Conectar una computadora a la red Localizar una computadora Actualizar el sistema operativo Instalar software localmente o va red Actualizar software crtico Exportar sistemas de archivos Respaldar y restaurar informacin Manejar un incidente de seguridad

y y y y y y y y y y

Un punto muy importante dentro de las polticas es el que tienen que ir acompaadas de Sanciones, las cuales debern tambin ser redactadas, revisadas, autorizadas, aplicadas y actualizadas. Ejemplos de aplicacin de Polticas
y

Polticas de contraseas: Son una de las polticas ms importantes, ya que por lo general, las contraseas constituyen la primera y tal vez nicamanera de autenticacin y, por tanto, la nica lnea de defensa contra ataques. stas establecen quin asignar la contrasea, qu longitud debe tener, a qu formato deber apegarse, cmo ser comunicada, etc. Polticas de control de acceso: Especifican cmo deben los usuarios acceder al sistema, desde dnde y de qu manera deben autentificarse. Ejemplos:

Todos los usuarios debern acceder al sistema utilizando algn programa que permita una comunicacin segura y cifrada.

Polticas de uso adecuado: Especifican lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, as como lo que est permitido y lo que est prohibido dentro del sistema de cmputo.

Est terminantemente prohibido ejecutar programas que intenten adivinar las contraseas alojadas en las tablas de usuarios de mquinas locales o remotas
y

Polticas de respaldos: Especifican qu informacin debe respaldarse, con qu periodicidad, qu medios de respaldo utilizar, cmo deber ser restaurada la informacin, dnde debern almacenarse los respaldos, etc. Ejemplos:

El administrador del sistema es el responsable de realizar respaldos de la informacin peridicamente Cada treinta das deber efectuarse un respaldo completo del sistema y cada da debern ser respaldados todos los archivos que fueron modificados o creados La informacin respaldada deber ser almacenada en un lugar seguro y distante del sitio de trabajo
y

Polticas de correo electrnico: Establece tanto el uso adecuado como inadecuado del servicio de correo electrnico, los derechos y obligaciones que el usuario debe hacer valer y cumplir al respecto. Ejemplos:
y o

El usuario es la nica persona autorizada para leer su propio correo, a menos que l mismo autorice explcitamente a otra persona para hacerlo, o bien, que su cuenta est involucrada en un incidente de seguridad de cmputo.

Control de Acceso Fsico Es uno de los controles principales para restringir el acceso fsico a los dispositivos ( servidores y estaciones de trabajo) Los componentes a menudo encontrados son: a. Asegurar el edificio.- Asegurar todas las puertas no esenciales para que el acceso desde fuera requiera una llave o una tarjeta. b. Cmaras de seguridad.- Un sistema de cmaras de seguridad que permita el monitoreo de las entradas al edificio puede ser un efectivoimpedimento as como la evidencia registrada de quien traspasa ilegalmente. c. Guardias de Seguridad.- Los guardias de seguridad que validen la entrada de todos los empleados y otros visitantes. d. Candados de computadoras.- Usar hardware especializado que restrinja el acceso a los teclados, monitores, drivers y ratones. Ref [3] pp. 59-78 Control de Acceso Interno: Autenticacin Bsica, basada en Usernames y Passwords Control de Acceso Global.

Qu es? : El GACF se puede usar para establecer polticas de acceso de manera global para sus servidores web mediante el archivo de configuracin que en los servidores NCSA httpd y los derivados de l como los servidores apache, ste archivo es llamado access.conf localizado en el subdirectorio conf del servidor. Tambin se puede usar el GACF para segregar reas pblicas y privadas en el servidor web acordes con algn criterio, y solicitar un nombre de usuario y una contrasea para el acceso a reas privadas. Qu es? El LACF permite aplicar diferentes controles de acceso por directorio o subdirectorio del rbol, normalmente el archivo es llamado .htaccess. Se puede negar el uso de los potencialmente peligrosos SSI los cuales causan que el servidor pueda ejecutar comandos desde fuera cada vez que una pgina que los contiene es accesada, en las paginas del usuario. Se pueden prevenir problemas de seguridad potenciales causados por ligas simblicas. Esto limita el acceso al Subdirectorio Ejecutivo a un solo usuario. El problema en la Autenticacin Bsica es que la informacin intercambiada entre el browser y el servidor no esta cifrada en ninguna forma. Estemtodo solamente codifica no cifra la sesin de autenticacin. Cualquiera que pueda interceptar su sesin pude decodificarla y usar la informacin para accesar a su material. Para resolver este problema el mtodo de Autentication Digest. ha sido introducido. Autenticacin Avanzada: Direcciones IP Qu es?: En el contexto de la programacin en cgi-bin, cada solicitud de un documento por un browser u otro recurso de la intranet contiene la direccin IP de la computadora que hizo la requisicin, lo cual sta podra ser utilizada por alguna otra persona con fines nocivos para la institucin.

Las medidas que habitualmente se adoptan cuando una empresa cliente requiere de sus servicios a este respecto son a grandes rasgos las siguientes: La creacin de unas Polticas de Seguridad a nivel corporativo Las Polticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cmputo, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se esta tratando de protege. Las polticas son parte fundamental de cualquier esquema de seguridad eficiente.

Crear un Control de Acceso El objetivo de este procedimiento persigue establecer unas normas que regulen la gestin de las contraseas y los privilegios de acceso a los sistemas de informacin, aplicaciones y datos de la empresa en cuestin. Varias tcnicas de seguridad, incluyendo la encriptacin, ayudan a asegurarse de que las contraseas se mantienen a salvo. Tambin es necesario exigir que las contraseas se cambien frecuentemente, que no sean adivinadas fcilmente o palabras comunes del diccionario, y que no se revelen simplemente. La autenticacin es el paso adicional para verificar que la persona que ofrece la contrasea es la persona autorizada para hacerlo. Implantar medidas tcnicas que eviten la propagacin de virus por el sistema informtico Para proteger la informacin corporativa delicada, y para asegurar que los piratas no perjudican a los sistemas informticos y a los datos, la empresa deber implantar todas las medidas que estn a su alcance como el uso de barreras de seguridad denominadas firewalls que protegen a una Intranet de Internet. Otra medida tcnica de fundamental importancia y quizs sea la ms extendida es el uso de programas antivirus, pues bien stos deberan ejecutarse en los terminales individuales dentro de la Intranet porque es posible que se pueda introducir un virus en la Intranet por disquetes, por ejemplo. Adems de la proteccin contra virus, puede detectar virus y extirpar cualquier virus que encuentre. Como se puede ver existen varios y diversos mtodos para implementar una Intranet segura, pero ninguno por s slo puede brindarnos la suficiente seguridad, sino que es la combinacin de todos estos elementos junto con una acertada planeacin de polticas de seguridad, unos requerimientos especficos y las caractersticas propias de la empresa, son los que podran ayudarnos a definir una eficiente estrategia de seguridad sin que todo esto interrumpa o entorpezca las actividades de los usuarios que son para los que finalmente la Intranet se construy.