Ponencia seguridad perimetral en redes

Mundo Internet 2005

Qu es la seguridad perimetral?
Historia de los sistemas de seguridad
Los nuevos retos en seguridad de redes
Tipos de ataques
Problemas relacionados con ataques externos
Problemas de seguridad interna
El reto de mantener una politica de seguridad
adecuada
Virus, troyanos, pishing y otros probelmas de
seguridad
SPAM que se puede considerar spam y
alternativas para solucionarlo


Qu es la seguridad perimetral?
La seguridad perimetral basa su filosofa en la
proteccin de todo el sistema informtico de una
empresa desde fuera es decir componer una
coraza que proteja todos los elementos sensibles
de ser atacados dentro de un sistema
informtico.
Esto implica que cada paquete de trfico
transmitido debe de ser diseccionado, analizado
y aceptado o rechazado en funcin de su
potencial riesgo de seguridad para nuestra red.

Historia de los sistemas de seguridad
En un principio la seguridad en las redes estaba
concentrada en el host, esto era muy lgico ya
que este era el que aglutinaba todos los servicios
del sistema de la empresa. Tanto los archivos,
como la ejecucin de aplicaciones estaba
encomendada a este sistema por lo que los
usuarios slo disponian de un Terminal que
permita ejecutar aplicaciones remotamente en
el sistema central mediante el uso de un sistema
de transferencia de caracteres entre el Terminal
y el sistema central.
La labor del responsable de seguridad se
centraba nica y exclusivamente en asegurar
que el host central o los sistemas centrales en el
caso de ser varios estuvieran protegidos del
ataque de intrusos.
Debido a que la infraestructura de
comunicaciones se basaba en lneas punto a
punto o una conexin a Internet mediante un
nico punto de acceso, esta labor resultaba
bastante fcil.
El otro punto crtico de seguridad eran las lneas
de comunicacin de datos de terminales remotos
mediante MODEM, un ataque malicioso
consista en averiguar el nmero de telfono al
que estaba conectado el host, realizar una
llamada telefnica e introducir los datos
correctos de usuario y contrasea.
En los aos 80 aparece el ordenador personal y
las redes locales, esto plantea que el
administrador de la red, no slo debe de
proteger como punto crtico de la red a los
servidores, sino que cada uno de los terminales
de la red dispone de datos, aplicaciones, y la
capacidad de ejecutar cdigo maligno en sus
sistemas.
Esto obliga a que todos los sistemas deben de
estar protegidos.
El primer punto crtico de estos sistemas lo
encontramos en los virus que por entonces slo
se propagaban a travs de disquetes o a finales
de los 80 en CD-ROM.
La solucin para el administrador entonces
estaba bien clara, con un antivirus que se
actualizaba regularmente mediante el envo por
correo ordinario de una actualizacin bastaba
para mantener la integridad del sistema.
En los 90 aparece Internet en los sistemas
personales lo que provoca que los puntos
vulnerables de la red se comienzan a
multiplicar, cada usuario con un MODEM y con
conexin a Internet es un riesgo potencial para
el sistema.
A partir de este momento las actualizaciones de
los sistemas antivirus se realizan a travs de
Internet y el proceso es mucho ms rpido, ya
no es un disquette o un CD-ROM cada semana
o 15 das, ya las actualizaciones se efectuan
cada da o 2 das.
Se popularizan asimismo en la segunda mitad de
los 90 los sistemas de conexin mediante
proxies o routers que permiten a todos los
usuarios de la red acceder a Internet.
Esto proporciona una gran ventaja a los
usuarios, pero muchos quebraderos de cabeza a
los administradores.
Su red ya no est tan segura.
Los administradores empiezan en este momento
a plantearse la necesidad de mantener su red
libre de ataques, virus y otras vulnerabilidades.

Los nuevos retos en seguridad de redes.
En la actualidad y debido al auge que ha tomado
Internet en el mundo, cada vez es mayor el
nmero de interanutas que acceden a Internet,
esto produce un incremento en la
vulnerabilidad, cada vez son ms las personas
que disponen de una conexin a Internet y por
lo tanto ese creador de virus o ese hacker cada
vez dispone de ms medios para poder acceder a
sistemas remotos.
Tenemos que tener en cuenta que Internet
adems es una biblioteca inmensa de
conocimiento que proporciona a los usuarios
cantidades ingentes de informacin y un medio
de comunicacin gil para mantenerse al da;
esto implica que los grupos que antes se
aglutinaban en los foros de news tipo alt.2600,
mantienen una estrecha colaboracin para
conocer las vulnerabilidades de los sistemas y
aplicaciones.
Estas colaboraciones se materializan en la
creacin de pginas web con contenido sobre
como atacar sistemas, cursos paso a paso de
creacin de virus, etc.
Los administradores de sistemas, por lo tanto
han pasado de ser el usuario avanzado que
conoce los posibles ataques, para ejercer una
labor proactiva de anlisis de vulnerabilidades y
configuracin de sistemas antes de que se
produzca el ataque y disponer de una serie de
planes de contingencia en el caso de que este se
produzca.
La forma de realizar esto es la de configurar el
sistema para que los puntos crticos de
seguridad sean los menos posibles.

Tipos de ataques.
Existen dos tipos bsicos de ataques en un
sistema informtico.
Los externos y los internos.
Los externos se producen por virus, ataques de
hackers, explotacin de vulnerabilidades del
sistema.
Los internos se producen por empleados
descontentos y consisten en robos o borrado de
informacin del sistema, sabotaje, etc.

Problemas relacionados con ataques externos

Los problemas relacionados con ataques
externos no son demasiado conocidos por los
administradores de sistemas, sobre todo en la
Pyme, cuando se habla con el responsable de
una Pyme o con el responsable de informtica
de una Pyme sobre los problemas relacionados
con Hackers y otros problemas de seguridad, la
respuesta es casi siempre la misma no tenemos
nada en nuestro sistema que pueda interesar a
nadie. Este es el ms comn de los errores en
la seguridad, no se trata de establecer una
postura paranoica en la que pensemos que
siempre estamos amenazados, pero si es un
riesgo que debemos de tener en cuenta.
Cuando un usuario argumenta esto, no sabe que
un hacker experimentado efectivamente no
intenta acceder a nuestro sistema para robar
informacin, sino a veces lo puede usar de
plataforma para el ataque a otros sistemas, o
bien como sistema de almacenamiento de
aplicaciones o servicios ilegales. Imaginemos
que por ejemplo disponemos de un sistema
vulnerable con acceso a Internet y que mediante
la explotacin de dicha vulnerabilidad el
atacante consigue algo tan sencillo como usar
nuestro servicio FTP o WWW para almacenar
informacin ilegal como pornografa o software
ilegal; si no tenemos un control exhaustivo
sobre los archivos y directorios de nuestro
sistema, los accesos a travs de la red, etc. EL
hacker habr usado nuestro sistema para ejercer
actividades delictivas, y los responsables de esto
seremos nosotros.
Y ya no slo el hecho de aprovechar los
servicios FTP o WWW, simplemente con que
alguien pueda acceder al sistema y pueda
ejecutar un ataque desde nuestro sistema hacia
otros, los administradores de los sistemas
afectados podrn pedirnos responsabilidades
como consecuencia de estos ataques.
Despus de esto estn los hackers
experimentales, que son aquellos que despus
de explorar varias pginas relativas a las
vulnerabilidades y los ataques a sistemas
deciden experimentar estos conocimientos,
sin conocer las consecuencias y como una
pequea travesura que aparentemente no causa
ningn dao, pero esto no es as, ya que su
travesura, puede afectar al funcionamiento de
nuestro sistema o bien parar el sistema y tener
que reinstalar las aplicaciones y servicios para
que el sistema pueda estar operativo de nuevo.
Adems tenemos los problemas relacionados
con virus que borran informacin del sistema (
cuando no borran completamente el disco del
sistema afectado) o bien se dedican a enviar
correos con virus que molestan a los usuarios de
nuestra lista de contactos con la posible prdida
de imagen que esto conlleva para la empresa y
que puede afectar econmicamente a la misma.

Problemas de seguridad interna

Uno de los problemas menos tratado en las
empresas es la seguridad interna, normalmente
los responsables de seguridad de las empresas se
limitan a establecer una serie de criterios para
prevenir estos problemas basados en la creacin
de carpetas o discos con acceso restringido, y
claves de usuario.
El principal problema es la propagacin de
claves, es de sobra conocido que cuando por
ejemplo un empleado esta de vacaciones o est
fuera de la oficina por cualquier causa y
necesita un dato o un archivo de su ordenador,
llama a su oficina para que se lo hagan llegar,
esto implica que el usuario revela su nombre de
usuario y contrasea en muchos de los casos
para que la persona que est en su oficina
acceda a la informacin.
Estos datos implican que si el nombre de
usuario y la contrasea son complicados, la
persona en la oficina necesita apuntarlos en un
papel que nadie sabe en manos de quien puede
acabar (en una papelera, encima de una mesa,
etc).
SI por el contrario son fciles todos sabemos
porque en la oficina nos conocemos, los datos
ms relevantes de la vida de las personas que
tenemos a nuestro lado, y los usuarios tienden a
poner como contrasea palabras tan obvias
como el nombre de su pareja, su mascota, su
coche o moto, la matricula, etc.
Esto implica que su clave puede llegar a ser de
dominio pblico, lo que conlleva un riesgo de
seguridad importante para el sistema, puesto que
los datos que son responsabilidad de esta
persona quedan expuestos para el resto.
Otra de las vulnerabilidades tpicas de los
sistemas es la posibilidad de instalacin de
programas por parte de los usuarios.
Todos sabemos que hay muchos usuarios que
instalan juegos bajados de Internet,
salvapantallas y utilidades que pueden esconder
otros cdigos maliciosos dentro de ellos que
permiten saber secuencias de teclas del usuario,
recordar contraseas (todos conocemos el Gator
que precisamente se presenta como una
aplicacin que realiza esta tarea), etc.
Por ltimo una de las vulnerabilidades ms
frecuentes en los sistemas es el tratamiento por
terceras personas de los mismos.
Casi todas las empresas medianas y pequeas,
subcontratan los servicios de mantenimiento de
sus sistemas informticos con empresas externas
que disponen de acceso completo a la
informacin del sistema de los usuarios.

El reto de mantener una poltica de seguridad
adecuada.

Como hemos mencionado anteriormente las
polticas de seguridad dentro de la empresa han
de mantenerse de una forma proactiva, es decir
como dice un viejo refrn es mejor prevenir
que curar, por lo tanto la responsabilidad del
administrador del sistema es evaluar los riesgos
de seguridad para poder prevenirlos antes de
que estos se produzcan, la nica forma es
revisar los puntos crticos del sistema y
protegerlos.
Estos puntos se centran como ya hemos
comentado en el permetro de la red,
considerando nuestra red como una fortaleza
que hay que proteger, por lo tanto la nica
forma de prevenirlo es revisar siguiendo el
ejemplo de la fortaleza, todas las puertas de
entrada que podemos enumerar como
anteriormente hemos citado en los siguientes
puntos:
Accesos a Internet.
Accesos remotos.
Usuarios.
Instalacin de aplicaciones.
Medidas protectoras internas.

Veamos como podemos proteger cada uno de
esos puntos.

Accesos a Internet.

La medida mas comn para proteger los accesos
a Internet consiste en la colocacin de
cortafuegos o firewalls en las comunicaciones
de la empresa, estos firewalls se demuestran
muy efectivos sobre todo si incorporan la
opcin de IDP (intrusin detection and
prevention), pero para tener un control de
verdad de estos sistemas la mejor opcin es la
de usar un acceso a Internet nico, es decir, si
tenemos varias delegaciones, es preferible usar
VPN entre todas ellas e impedir el acceso
directo a Internet desde las mismas, de esta
forma slo tendremos un punto crtico lo cual
nos permite tener un control mas exhaustivo de
lo que pasa por nuestra red. SI un usuario de
cualquier delegacin tiene acceso directo a
Internet, costar mucho ms trabajo aplicar
todas las reglas de control y filtrado sobre varios
puntos que sobre slo un punto.
Una segunda medida y que puede parecer
absurda pero que resulta sumamente efectiva es
la de colocar un segundo firewall entre nuestra
red e Internet, este segundo firewall deber de
incorporar una tecnologa diferente al primero,
esta medida nos permite que si un hacker
conoce las vulnerabilidades del primer sistema
por una publicacin de las mismas en una
pgina web, o mediante tcnicas propias de
hacking, podr atravesar la primera barrera,
pero la segunda no, con lo cual podremos
detectarlo antes de que pueda ocasionar daos.
Esto es bastante simple, ya que si puede
atravesar el primer firewall, el hecho de tratar de
romper la proteccin del segundo firewall
implica que necesitar puertos, servicios o
herramientas que no estarn disponibles en esta
zona protegida, con lo que adems de no poder
romperlo, tardar bastante ms tiempo lo que
nos d el margen suficiente para poder atajarlo a
tiempo.

Accesos remotos.
En el caso de los accesos remotos es primordial
tratar de evitar los accesos via MODEM
(cualquier usuario puede averiguar el telefono),
y en el caso de usar accesos por VPN cambiar
las claves de encriptacin habitualmente, estas
claves deben de cambiarse usando un sistema o
software de encriptacin previo, es decir, si
queremos poner como clave de encriptacin
laclavedemiempresa, usar un sistema que
encripte esta clave de tal forma que para
nosotros sea fcil repetir la clave, pero que no
sea una clave repetitiva, con palabras comunes
relativas a cualquier trmino fcil de recordar.
Otro elemento que hay que tener en cuenta es el
cambio peridico de claves, deberemos de
acostumbrar a los usuarios a que deben de
cambiar su clave con cierta frecuencia,
habilitando para ello las restricciones de las que
disponen los sistemas operativos (claves nicas,
combinaciones de nmeros y letras, longitud
mnima).
Adems deberemos de bloquear el acceso
despus de un determinado nmero de intentos
fallidos de conexin.

Usuarios

Las estimaciones ofrecidas anteriormente
respecto de los hbitos para los usuarios
remotos deben de aplicarse tambin a los
usuarios locales de tal forma que estos se
habituen al cambio peridico de contraseas, al
hecho de que estas deban de tener una longitud
mnima, etc.
Adems existen una serie de normas que se
deben de aplicar a los usuarios, como la
comunicacin de claves, que no haga pblica
ninguna clave, y en el caso de que esto ocurra,
que proceda a informar al administrador del
sistema para que efectue el correspondiente
cambio de claves.
Establecer polticas de seguridad en los sistemas
que suponen la instalacin de una solucin
antivirus centralizada, que impida al usuario
desactivarla o modificar la configuracin de la
misma.
Estas polticas de seguridad debern tambin
incluir la inhabilitacin para instalar
aplicaciones, controles ActiveX, programas
Java, etc en los navegadores.
En el caso de las unidades de CD, floppy, etc.
Inhabilitarlas para el uso por parte del usuario, y
que el administrador sea el responsable de la
instalacin de aplicaciones en los sistemas, esto
permite que el usuario no pueda instalar
aplicativos, ni tampoco extraer informacin del
sistema.
Hay que prestar especial atencin a los puertos
USB, estos puertos constituyen una seria
amenaza de seguridad puesto que un usuario
puede instalar un dispositivo tipo pendrive, y
ejecutar programas desde el o bien extraer
informacin del sistema para llevarsela.
Instalacin de aplicaciones

Una de las medidas ms importantes para evitar
los intrusos es la de evitar la instalacin de
aplicaciones como hemos mencionado
anteriormente, en el mercado existen utilidades
como Zenworks de Novell, que permiten la
instalacin remota de aplicaciones, es decir, el
administrador del sistema, desde una consola,
puede decidir que usuarios y que aplicaciones
ejecutan cada uno, de tal forma que cada vez
que el usuario hace login en le sistema, esta
aplicacin comprueba si todos los paquetes
estn perfectamente instalados y en caso
contrario procede a la instalacin de los
mismos.
Esta medida debe de aplicarse tanto a las
aplicaciones ofimticas y de gestin habituales
en la empresa, como a las soluciones de
seguridad y de acceso a red.
Hoy en da existen multitud de aplicaciones que
se disfrazan para exponer nuestros datos a
usuarios malintencionados de la red.

Medidas protectoras internas

En las medidas protectoras internas deberemos
de plantear otra vez los firewalls, si tenemos un
departamento que debe estar especialmente
protegido es el de recursos humanos y
administracin, por ello es conveniente que
adems de tener un sistema de proteccin
mediante nombre de usuario y contrasea,
deberiamos plantear la posibilidad de instalar
servidores separados para estos dos
departamentos de tal forma que las
comunicaciones entre departamentos se hagan a
travs de un firewall con unas reglas definidas,
de tal forma que los nicos protocolos que
deben de pasar desde la red interna, los
necesarios para poder usar los servicios de base
de datos, aplicaciones internas, etc. Adems de
permitir en su caso el acceso a Internet desde
estas mquinas, pero insisto slo hacia o desde
Internet, no as las comunicaciones internas.
Que ningn empleado de otro departamento
pueda acceder a estas redes desde sus mquinas.
Queda por resear la ms elemental de las
normas, pero aunque parezca obvio, hay que
recordarla, que es la de tener todos estos
equipos, tanto servidores como firewalls en
salas protegidas que impida que cualquiera
pueda acceder a las mismas.

Como ancdota puedo recordar el caso de una
gran superficie multinacional, con un sistema
operativo Unix en el que la clave de root era el
propio nombre de la empresa.
Recuerdo que aunque parece obvio, muchas
empresas no lo cumplen e insisto no slo la
Pyme con 2 ordenadores.

El reto de mantener una poltica de seguridad
adecuada.

Hoy en da como hemos comentado
anteriormente el responsable de seguridad de
una empresa ya no slo debe ser un experto en
sistemas, debe tambin de tener un
conocimiento profundo de las vulnerabilidades
del sistema, y no slo las que le cuentan en los
correos de los que tiene noticia por parte del
fabricante (muchos fabricantes no desvelan sus
fallos de seguridad en los sistemas hasta que no
los tienen resueltos).
Esta persona debe de estar informada mediante
los foros de hackers, pginas dedicadas a la
seguridad, mantener una maqueta del sistema
(recordemos que si dejamos un punto de acceso
a la red nico no representa un coste demasiado
elevado). Esta maqueta le permitir
experimentar determinados comandos y
aplicaciones que impliquen un potencial riesgo
de seguridad para poder implementarlos en el
entorno de produccin.
Cada vez la seguridad informtica se parece ms
a la seguridad fsica, con lo que el responsable
de seguridad deber de conocer todas las
tcnicas que usan los posibles atacantes, como
hemos dicho anteriormente no puede ser una
persona que una vez tiene su sistema instalado,
se siente a esperar tranquilamente.
Se encontrar con problemas nuevos cada da,
con aplicaciones nuevas que tratan de usar
recursos del sistema que hasta ahora no se
usaban.
Existen muchos puertos en TCP, UDP, etc que
no se usan y que cada da se empiezan a
aprovechar para determinadas aplicaciones.
EL administrador deber conocer adems cada
uno de los servicios que se ejecutan en los
sistemas y llevar un control de los mismos, de
hecho una de los ataques ms comunes es usar
un pequeo programa que crea un servicio muy
parecido a los que estamos ejecutando y que
puede llegar a pasar desapercibido en una
revisin de procesos en ejecucin.
Deber de controlar las fechas, tamaos, etc de
los archivos dentro de los sistemas, otra de las
formas de acceder es intercambiar un servicio
como el telnet o el ftp por otro que permite
acceder al sistema, ambos se llaman igual, se
ejecutarn por lo tanto de igual forma, pero una
secuencia de comandos determinada nos dar
acceso al sistema.
Revisar las fuentes de las aplicaciones que nos
llegan, ya que un usuario malintencionado
podra hacernos llegar un parche de sistema de
con un nombre de correo procedente del
fabricante, pero que en realidad no es de este.

Virus, troyanos, pishing y otras amenazas.

La amenaza de los virus cada da es ms
importante, el nmero de virus crece
exponencialmente ao tras ao, la mejor forma
de mantenernos a salvo de estos problemas es la
de usar un sistema en nuestro acceso a Internet
que revise el contenido de los paquetes para
detectar un posible cdigo malicioso.
Esto no quiere decir que los usuarios del sistema
no dispongan de su propio antivirus, pero es
conveniente disponer de una solucin antivirus
perimetral, adems de producirnos una menor
saturacin del sistema puesto que esta solucin
puede efectuar un anlisis ms profundo sin
comprometer el rendimiento de los puestos de
trabajo, detectar la mayor fuente de virus en
nuestra red.
Debemos asimismo preocuparnos de que
servicios estn activos en cada puesto al instalar
un puesto de trabajo, hacer un inventario de los
mismos y controlar peridicamente estos
servicios para impedir que un troyano se instale
en un puesto y pueda recabar informacin del
usuario.
Adems debemos de procurar impedir el uso de
cookies a no ser que sean de sitios de confianza.
Una de las formas ms comunes de acceder a
informacin confidencial es la del denominado
pishing que consiste en enviar un correo al
usuario informndole de que se va a proceder a
un cambio en la informacin del mismo,
envindole a una pgina o recabando la
informacin del mismo por correo (este es al
caso tpico de solicitud de datos de usuario y
password de acceso a banca electrnica u otros
servicios)
Esta informacin recabada es usada para
despus acceder al sistema y provocar el mayor
nmero de daos posible, tanto econmicos (en
el caso de un banco), como de datos ( en el caso
de acceso a servicios on line con proveedores u
otros)

SPAM que se puede considerar SPAM y formas
de solucionarlo.

El SPAM es uno de los mayores problemas que
existen hoy en da con el correo electrnico, y
es otra de las actividades que nuestro sistema
debe de resolver, existen multitud de sistemas y
software que se consideran la panacea contra el
SPAM, pero no son efectivos al 100%,
bsicamente consisten en la admisin o no
admisin de determinadas direcciones de correo
o bien en funcin del asunto del mensaje.
Estas soluciones son buenas, pero al igual que
otras tienen sus pros y sus contras, normalmente
estamos hartos de recibir publicidad por medio
de correo tanto ordinario como elctrnico, pero
claro est si por ejemplo somos una empresa de
distribucin y rechazamos cualquier correo que
no provenga de determinadas fuentes o con el
asunto publicidad, oferta, etc, corremos el riesgo
de rechazar a un proveedor o cliente
potencialmente bueno o que si el filtro lo enva
a la carpeta de Spam, revisarlo cuando ya sea
tarde para responder a ese cliente o proveedor.
La mejor forma de impedir el SPAM aunque
claro est es bastante difcil de poner en
funcionamiento es la que al igual que existe un
registro de dominios, exista un registro de
direcciones legales de correo en la que las
direcciones de correo registradas en las mismas
se comprometan a seguir unas normas de buen
uso del correo electrnico y deban de introducir
todos los datos legales para proceder contra
ellas en el caso de abuso del sistema de correo.
Lo nico que deberan pues los sistemas
antispam sera comprobar que el usuario que
enva el correo est incluido en dicha lista.
La organizacin que se encargue del sistema
deber asimismo velar para que esta lista de
direcciones est actualizada y que el
responsable de enviar Spam sea eliminado de
dicha lista.



Eduardo Taboada Gmez.

Responsable de seguridad de ATEINCO, lleva
ms de 15 aos en el mundo de las redes de
ordenadores, es un experto en temas de Internet,
y seguridad con conocimiento de diversos
sistemas de seguridad para redes a nivel de
antivirus, firewalls, LOPD, auditoras
informticas, anlisis forense sistemas
informticos.