P. 1
Seguridad en La Intranet

Seguridad en La Intranet

|Views: 543|Likes:
Published by Ivan Rojas

More info:

Published by: Ivan Rojas on Jul 11, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPTX, PDF, TXT or read online from Scribd
See more
See less

03/13/2014

pdf

text

original

ELEMENTOS FUNDAMENTALES
Los elementos fundamentales para un completo programa de seguridad son: ‡la protección de los datos de intranet, ‡sus aplicaciones y su hardware se incluye que los usuarios solo puedan realizar las tareas y solo puedan obtener la información para las que tienen autorización. ‡La palabra <<seguridad>> denota protegerse contra los ataques de piratas informáticos maliciosos, pero también debería de controlar los efectos debidos a errores o fallos en los equipos. La idea es disponer de un programa de seguridad completo. Cuando más detallado sea el programa más segura estará la intranet frente a peligros imprevistos.

CONCEPTOS BÁSICO DE SEGURIDAD
Antes de discutir las herramientas concretas que se pueden usar para la seguridad de la intranet es mejor entender los conceptos básicos esenciales en cualquier sistema de seguridad. ‡CONOCER AL ENEMIGO. ‡CONOCER LOS RIESGOS Y LOS COSTOS. ‡EXAMINAR LAS SUPOSICIONES. ‡RECUERDE QUE LAS PERSONAS SON PERSONAS. ‡IDENTIFICACIÓN DE LOS PUNTOS DE ACCESO. ‡TENGA EN CUENTA LA SEGURIDAD FÍSICA. ‡SEA CONSIENTE DE LOS EFECTOS DEL CAMBIO.

Hay algunas más normales que otras.AMENAZAS A LA SEGURIDAD DE LA INTRANET Cualquier intranet y cualquier dato que circula en ella es vulnerable a un ataque. Hay amenazas de todas las formas y tamaños. En muchos estudios se indica que la mayor parte de las amenazas vienen de la red interna (en un 80% o 95%). Aun que se debe prestar mayor atención a las amenazas internas no hay que olvidar las amenazas que vienen de más allá del cortafuegos. No existe una intranet totalmente segura. TIPOS DE AMENAZAS Las amenazas pueden provenir de dentro de la intranet o de cualquier red externa a la que se este conectado. . incluyendo internet. Dependiendo de cómo este configurada la intranet.

La información que se transmite por la intranet puede ser objeto de ataques. . La confidencialidad e integridad de dicha información puede estar en peligro ante individuos no autorizados.Vulnerabilidad Red corporativa Amenaza Se puede exponer la red corporativa a un ataque atreves de la conectividad que ofrece la intranet y los protocolos que utiliza. conectado directa o indirectamente a la intranet son potencialmente vulnerables. por tanto. negar que ha participado en el dialogo. bases d dato y sistemas de archivos. Uno o más participes en un dialogo electrónico puede. se puede ver y alterar toda la información que contienen. mas tarde. las grandes computadoras. Los servidores que están conectados directamente la intranet pueden ser objetos de ataques y. Servidor de la intranet Transmisión de datos Servicios disponibles repudio Un ataque de ciertos individuos puede desactivar los sistemas de red o la misma red Puede repudiarse una comunicación electrónica. Cualquier sistema de red.

El código malicioso puede atacar a las computadoras personales y a sistemas sofisticados como los servidores de la intranet. Puede incluir código malicioso y una vez instalado en el sistema puede hacer cosas no esperadas (e indeseables). A diferencia de un virus un gusano es auto contenido y no necesita de otro programa que lo contenga. ‡Caballo de Troya. Entre los tipos de código malicioso están: ‡Virus: es un segmento de código que se replica. pegándose el mismo a otros programas en la memoria de la computadora o en el disco. Es un programa que llega a una red y se reproduce. Es un programa que dice ser lo que no es.CÓDIGO MALICIOSO El código malicioso se refiere al software imprevisto que puede realizar muchas acciones en la intranet y los sistemas conectados. ‡Gusano. Desgraciadamente no es tarea fácil. La mejor defensa contra el código malicioso es mantenerlo completamente fuera de la intranet. .

Hay que ser consientes del valor de la información que se pone en intranet.AMENAZAS FÍSICAS Y A LA INFRAESTRUCTURA Entre los ejemplos de amenazas físicas y a la infraestructura están las sobretensiones y los desastres naturales como las inundaciones y los rayos. ESPIONAJE CORPORATIVO Según se van trasladando los secretos de los armarios a archivadores de internet puede crecer el espionaje electrónico. Algunos tan solo quieren fisgonear un poco. Hay que tener en cuenta que los competidores y enemigos se podrían beneficiar de cualquier secreto que pudiesen localizar en l intranet. El ataque físico o la destrucción de hardware también entran dentro de esta categoría AMENAZAS DE LOS PIRATAS INFORMÁTICOS Los piratas informáticos pueden acceder a la intranet por varias razones. mientras que otros pueden querer robar la información o dañar la red y sus sistemas. .

En la siguiente sección se describen algunos de los puntos vulnerables mejor conocidos de una red intranet/internet entre los que están los sistemas de contraseñas y TCP/IP. .EMPLEADOS DESCONTENTOS Los empleados descontentos pueden producir daños y sabotajes en un sistema de computadoras. VULNERABILIDAD EN LA SEGURIDAD Existen distintos puntos vulnerables que hay que tener en cuenta al implantar un programa de seguridad. La amenaza de fraude y robo crece según se va pasando a sistemas de comercio y contabilidad electrónicos. FRAUDE Y ROBO La mayoría de las compañías usan algún tipo de computadoras para el sistema de contabilidad. muchas compañías están empezando a comprar bienes y servicios por internet. Además. autenticación de mensajes y políticas de seguridad blandas. Los empleados son el grupo más familiarizado con las computadoras y las aplicaciones por lo que saben como causar el mayor daño.

SISTEMA DE CONTRASEÑAS Los sistemas de contraseñas son con diferencia el método más explotado de vulnerar una red. Se estima que las contraseñas poco seguras ocasionan el 80% de los problemas de seguridad en una red. números y símbolos. Asegúrese de que las contraseñas se cambian a menudo y asegúrese de ese compromiso. ‡No deberían de estar en un diccionario . Los ataques por contraseña implican comprometer una contraseña de un sistema. ‡Que tengan un mínimo de 8 caracteres. ‡Tanto letras minúsculas como mayúsculas. Los usuarios deberían seleccionar las contraseñas teniendo en cuenta lo siguientes criterios. ‡Mezcla de letra.

y muchos de los protocolos relacionados. TCP/IP se creó con la idea de interconectar distintos lugares militares. es el lenguaje de la intranet y el internet. . Los ataques más habituales que explotan las habilidades del protocolo TCP/IP son probablemente el fisgonear la red y la suplantación de IP. de investigación y universidades. las aplicaciones que utilizan TCP/IP como protocolo de transporte pueden ser vulnerables a un ataque. La idea no era limitar el acceso sino expandirlo. no es un lenguaje inherentemente seguro.LENGUAJE TCP/IP TCP/IP. la seguridad no era tema importante. Muchos de los protocolos de intranet/internet se han mejorado recientemente para contener funciones de seguridad. Cuando se definió TCP/IP. Más aun.

Los intrusos pueden acceder fácilmente a archivos y contraseñas usando el hardware y el software de los analizadores de red y así pueden fisgonear en ella. Los paquetes pueden contener información de contraseñas o datos confidenciales.Ataque por fisgoneo/análisis de red. Suplantación de IP. . El software y hardware capturan los paquetes de TCP/IP según pasan de una computadora a otra por la red. La suplantación de IP es una práctica en la que una computadora atacante asume la identidad de una computadora valida de la red para conseguir acceder a una tercera computadora y a cualquiera de los servicios de información que proporciona.

.

Las compañías deberían de ofrecer una política de seguridad a todos los empleados con respecto a su sistema y redes.AUTENTICACIÓN DE LOS MENSAJES. a una persona o a una organización. ¿Cómo se puede verificar que realmente se esta conectando al lugar cuyo URL pretendía? TCP/IP y HTTP por si solos permiten de manera relativamente sencilla suplantar a un host. .gov le envía un mensaje.gov. Requiere algún tiempo y quizás una cierta vigilancia pero pude impedir algunos ataques a la red y a la intranet. ¿cómo se puede verificar que el remitente es realmente la persona que se dice que es? De la misma forma cuando alguien se conecta a http://www.whitehouse. Los certificados digitales identifican unívocamente a los individuos y a las organizaciones y son una solución relativamente nueva a estos problemas de autenticación de usurarios y sistemas. Una política de seguridad débil o pobremente implantada puede abrir agujeros de seguridad que convierta en vulnerable a la intranet. POLÍTICAS DE SEGURIDAD DÉBILES. Si alguien con una dirección como president@whitehouse. Autenticarse quien se es cuando se comunica con alguien puede ser un elemento de seguridad en la intranet y en la internet. Se pude hacer de forma sencilla y barata para cerrar todos los agujeros de seguridad de la intranet.

Requiere algún tiempo y quizás una cierta vigilancia pero pude impedir algunos ataques a la red y a la intranet. Se deben determinar los objetivos y a partir de los objetivos determinar las prioridades. . su objetivo principal es proteger el sistema de base de datos que ya se tenía de ataques externos. El primer paso para crear una política de seguridad en la intranet es fijar los objetivos que se desean conseguir. Un completo programa de seguridad tiene como base una política comprensible y sólida. FIJACIÓN DE OBJETIVOS. por ejemplo.IMPLANTACIÓN DE UNA POLÍTICA DE SEGURIDAD. la mayor prioridad del programa de seguridad y las políticas asociadas podría ser un cortafuegos y su administración. Empiece respondiendo a las siguientes preguntas: ¿Qué hay que proteger? ¿Cuáles son las amenazas a lo que se quiere proteger? Si.

solo un loco compraría un auto de 500 dólares y le pondría una alarma de 1000 dólares para protegerlo. Antes de asignar los objetivos y prioridades de seguridad se debe realizar un inventario de las posibles amenazas y vulnerabilidades que se han visto anteriormente y comparar el costo de las brechas en la seguridad frente al costo de implantar y administrar las medidas de seguridad contra esa brecha. .COSTOS FRENTE A RIESGOS. Si el costo de las contramedidas es mayor que el eventual costo de la brecha de seguridad entonces puede que no valga la pena la contramedida. Después de todo.

. SERVIDORES PROXY El servidor proxy proporcionara una puerta controlada a través del cortafuegos y hacia afuera de la red externa desprotegida.MODALIDADES DE SEGURIDAD EN UNA INTRANET CORTAFUEGOS El trabajo de un cortafuegos es definir y defender el perímetro de una red.

.

AL MISMO TIEMPO EL SERVIDOR PROXY ESTABLECE UNA CONEXIÓN CON LA COMPUTADORA DESTINO Y DE IGUAL FORMA TERMINA ESA CONEXIÓN. -DE ESA FORMA SE CONSIGUE UNA SEGURIDAD SUPERIOR YA QUE LAS COMPUTADORAS FUENTE Y DESTINO NO ESTÁN NUNCA REALMENTE CONECTADAS. -UN CORTAFUEGOS NO TIENE EN CUENTA EL CONTENIDO DE LOS PAQUETES SERVIDOR PROXY -SE CONECTA TANTO A LA FUENTE COMO AL DESTINO. . ESTABLECE LA CONEXIÓN Y TERMINA ESA MISMA CONEXIÓN.DIFERENCIA ENTRE CORTAFUEGOS Y SERVIDORES PROXY CORTAFUEGOS -FUNCIONA CON CADA UNO DE LOS PAQUETES. -SOLO CONTROLA EL TRAFICO DE PAQUETES Y REACCIONA DE ACUERDO CON LAS REGLAS QUE SE LE DAN. -RECIBE LAS PETICIONES DE CONEXIÓN DE LA COMPUTADORA FUENTE.

O bien el software TCP/IP o la propia aplicación deben de soportar el protocolo SOCKS. . http y gopher) que se usan en la intranet. muchas aplicaciones que desean usar un servidor proxy SOCKS deberán de tener un mecanismo de comunicación con el servidor SOCKS.SERVIDORES PROXY SOCKS (CIRCUITO) El servidor proxy SOCKS funciona de la misma forma que muchos otros servidores proxy. No es necesario administrar un servidor proxy para cada aplicación (por ejemplo ftp. Las ventajas de un servidor SOCKS provienen de que un único servidor proxy puede manejar todo el trafico de aplicaciones diferentes. SOCKS es un protocolo en si mismo. La principal diferencia es que el servidor no tiene en cuenta los protocolos que pasan atraces de el. Por ello.

etc. directorios.) son mas apropiados los protocolos como la capa de conectores seguros (SSL) o la tecnología de comunicaciones privadas (PCT). búsqueda. . Para aplicaciones cliente/servidor interactivas (web.COMO CONSEGUIR SEGURIDAD EN LAS APLICACIONES DE INTRANET existen distintos apectos sobre seguridad de las aplicaciones entre ellos las politicas de seguridad. mientras que para aplicaciones de almacenar y retransmitir (correo. etc.) son mas utiles los protocolos como MIME seguro (S/MIME). discusiones. La intranet puede usar tanto aplicaciones de tipo cliente/servidor como de almacenar y retrnsmitir que requieran distintos modos de seguridad. el acceso seguro y control de las aplicaciones y la implantacion de protocolos de seguridad.

Este proceso de Cifrado y decifrado se lleva a cabo con la ayuda de una o varias claves.CIFRADO. El cifrado modifica unos datos en forma legible a un formato ilegible. Cifrado y desifrado El cifrado trata los requisitos de confidencialidad y control de acceso consiguiendo que las personas no autorizadas no puedan acceder a los datos. colaboren y accedan a información confidencial tanto en un entorno de intranet como de internet existen cierto requisitos que deben satisfacerse para asegurar que se protejan los recursos. Los elementos que trata la criptografía por claves son los siguientes. Asegura que los datos de una conexión cliente/servidor o en una conexión punto a punto no quede abierta a personas no autorizadas. ‡Control de acceso. Asegura que solo las personas autorizadas para ver o modificar los datos de un servidor corporativo pueden acceder a dichos datos. ‡Confidencialidad. . DESCIFRADO Y FIRMA DIGITAL Para que las personas se comuniquen.

la firma digital permite asegurar que se detecta cualquier cambio en los datos. Los elementos que trata la firma digital son: ‡Integridad. . ‡Aceptación. Asegura que no se han alterado los datos desde que se crearon en origen. La firma digital viaja con los datos o asociada a un archivo de texto con los datos. ‡Autenticación.FIRMA DIGITAL Se trata de los requisitos de integridad. en el hecho de que se puede usar para asegurar a un lector (quien lo acepta) cual es la fuente de la información. Además. Una firma digital es análoga a la firma manual. Cuando alguien rechaza estar involucrado en una situación con problemas o niega haber tenido ninguna intervención en un problema. autenticación y aceptación. Proporciona la prueba de quien es la fuente de los datos de manera que se puede verificar la autenticidad de quien inicio la conexión o quien envió el mensaje.

Con este método se resuelven muchos de los problemas que tenia la criptografía simétrica.CRIPTOGRAFÍA POR CLAVES Hay 2 métodos básicos en la criptografía por claves: ‡Criptografía simétrica o clave privada. Este tipo de criptografía no es practico para una intranet. los mensajes que se cifren con clave privada solo se pueden descifrar con la clave publica. La criptografía de clave publica usa un par de claves relacionadas matemáticamente. este método no funciona bien en aquellas situaciones donde se intercambian datos cifrados entre mas de unas personas. al contrario. Un mensaje se cifra usando una clave secreta y se de cifra usando la misma clave. una de las claves es publica y otra es privada los mensajes cifrados con la clave publica solo se pueden descifrar con la clave privada y. . ‡Criptografía asimétrica o clave publica.

Si alguien quiere suplantar a otra persona lo único que necesita hacer es generar una clave publica/privada y publicar la clave publica con el nombre de otro. ‡Autoridad de certificación (CA). . Es una autoridad en quien se puede confiar que vigila por la identidad de personas o servidores para quien emite certificados. Es un documento digital junto con la identidad de una persona o servidor a un conjunto de clave publica/privada. ‡Certificado de clave publica.CERTIFICADOS Y AUTORIDADES DE CERTIFICACIÓN Uno de los problemas con la criptografía de clave asimétrica es la confianza.

Además los clientes de correo electrónico de la intranet puedan requerir la capacidad de identificar y autenticar a otros usuarios de correo electrónico mediante comunicación segura punto a punto. de manera de que se necesita integrar a ambos en la arquitectura del servidor de la intranet.AUTENTIFICACIÓN DE CLIENTES es el proceso por el cual un servidor identifica y autentifica un usuario/cliente. Este proceso debería requerir que el servidor de intranet disponga de la capacidad de autentificar las aplicaciones cliente que establecen un canal seguro. ya sea mediante contraseñas o con certificados de clave publica. .

es decir tanto el cliente como el servidor deben de manejar certificados. ‡El servidor debe de ser capaz de solicitar un certificado al servidor. ‡El cliente debe de ser capaz de verificar los certificados del cliente. La autenticación de clientes utilizando un canal seguro y certificados requiere: ‡El protocolo de canal seguro ha de ser capaz de autenticar bidireccionalmente. El protocolo SSL3 soporta todos los requerimientos de la autenticación de cliente mediante certificación.AUTENTICACION MEDIANTE CERTIFICACION El acceso a la información almacenada a un servidor de intranet se puede controlar asignando certificados de usuarios a cuentas o grupos de usuarios y asignando permisos de control de acceso a la cuenta de usuarios o de grupo utilizando el mecanismo estándar de la lista de control de acceso (ACL) que debería formar parte de los servidores de intranet. ‡La versión 3 de la capa de conectores seguros (SSL3) es un nuevo estándar para el protocolo de canal seguro que usan muchas clientes y servidores de una intranet. Una ACL permite o limita el acceso a un recurso de la intranet basado en elementos como los nombres de los usuarios las contraseñas y los grupos. . solicitar y almacenar certificados personales y entregar un certificado personal al servidor cuando se le solicite. verificar los certificados del cliente y casar los certificados del cliente recibidos con la lista de control de acceso estándar usada en el servidor.

solicitar y almacenar certificados personales y usar la clave privada del usuario para firmar mensajes. S/MIME es un nuevo protocolo estándar para la comunicación segura punto a punto que usan muchas de las aplicaciones de una intranet. El protocolo de seguridad de un canal seguro debe de ser capaz de proporcionar operaciones de firma y envoltorio (cifrado) de mensaje bidireccional. El protocolo S/MIME soporta todos los requisitos de autenticación de cliente mediante certificados. La aplicación final (usada comúnmente en la comunicación punto a punto) debe de ser capaz de verificar los certificados recibidos. .COMUNICACIÓN SEGURA PUNO A PUNTO Los requisitos para una comunicación segura punto a punto son los similares a un canal seguro.

un nombre de dominio o la dirección de correo electrónico. . Cuando se utiliza la autenticación mediante certificado se puede simplificar la administración y reducir los costos. se consigue una mejor autenticación. Los certificados contienen información que se puede comprobar sobre la identidad del usuario en lugar de la autenticación basada en IP del usuario. ‡Mejora en la experiencia del usuario usando una única conexión. ‡Administración más sencilla. Como los certificados se basan en la tecnología de clave publica. ‡Mejor autenticación. los nombres de DNS o las direcciones de correo electrónico: ‡No se envían contraseñas desde el cliente al servidor. La autenticación de clientes mediante certificación tiene las siguientes ventajas sobre otros tipos de autenticación de clientes mediante contraseñas como las direcciones IP.VENTAJAS DE LA AUTENTICACIÓN MEDIANTE CERTIFICADOS. ‡Mejor forma de identificar al usuario.

El canal seguro autenticado por el servidor proporciona la posibilidad para el cliente de verificar la identidad del servidor y usar un canal cifrado entre el cliente y el servidor. cuando se usa un canal seguro autenticado por el servidor (autenticación de cliente no basada en certificados) entre el cliente y el servidor. aun hay una necesidad para la autentificación de clientes con autentificación por contraseñas. puede ser suficiente la autenticación mediante contraseñas en aquellos casos donde es aceptable la gestión de contraseñas distribuidas. de forma que la contraseña no fluya por la red libremente.AUTENTICACIÓN MEDIANTE CONTRASEÑA Aun que la seguridad de clave publica se esta extendiendo. . distribuida para cada conexión segura a servidores de la intranet.

PROTOCOLOS PARA COMUNICACIONES SEGURAS Actualmente existen protocolos estándar que consiguen realizar comunicaciones seguras. CANALES SEGUROS Un canal seguro se crea en una relación cliente/servidor cuando una de las partes (normalmente el servidor) autentica a otro. Como resultado del proceso de autenticación se establece una conexión cifrada. Existen muchos protocolos que se pueden usar para establecer canales seguros los mas habituales son los siguientes: . Estos protocolos se clasifican de la forma en que se dividen las siguientes secciones. A esto se le conoce como canal seguro.

El protocolo SHTTP firma y cifra los documentos. en especial en autenticacion y eficiencia al protocolo. El protocolo TLS es un intento de combinar los 2 protocolos de canal seguro (SSL y PCT) en un único protocolo.‡Capa de conectores seguros (SSL). El protocolo ssl tiene 2 versiones usadas ampliamente: la versión 2 y la versión 3. ‡Seguridad de la capa de transporte (TLS). Las implementaciones de PCT son compatibles con SSL. ‡HTTP seguro (SHTTP). El protocolo SHTTP fue el primer protocolo publicado que intentaba resolver los problemas de seguridad en el nivel de canal y del mensaje. ‡Tecnologías de comunicaciones privadas (PCT). . El protocolo SSL trata en si mismo de ofrecer un canal cifrado y firmado entre el cliente y el servidor. mientras que la relación de cliente y servidor se usa para negociar los parámetros de la seguridad. es similar al SSL pero añade una función al anterior.

. ‡Prety good privacy (PGP). El protocolo MSPforma parte del sitema de mensajería de mensajería de la defensa (DMS) del gobierno de los estados unidos.MENSAJES Y DOCUMENTOS SEGUROS Se crea una comunicación punto a punro segura en un entorno de almacenar y enviar donde las partes usan seguridad basada en documentos o mensajes para enviar datos de un lado a otro.los tipos mas habituales de comunicación punto a punto son los siguientes: ‡MIME seguro (S/MIME). Los mensajes y documentos se pueden firmar mediante firmas digitale y/o cifrar usando envoltorios digitales. ‡Protocolo de seguridad de mensajes (MSP).este protocolo usa criptografía de clave publica de manera imilar a S/MIME sin embargo se diferencia en sus métodos de gestión de certificados. ‡Servicios de seguridad de objetos MIME (MOSS). El protocolo MOSS es una combinación de los estándares correo mejorado privado (PEM) (ya desaparecido) y MIME que pretendía aunar los estándares PEM yMIME para proporcionar un nuevo protocolo actualizado. El protocolo S/MIME es el protocolo mas reciente y el que mas utiliza en las implementaciones comerciales.

El protocolo de transacciones seguras (SET) es un nuevo estándar que resuelve los problemas del procedimiento de pagos en internet. .COMERCIO ELECTRÓNICO SEGURO El comercio electrónico seguro lo usan los consumidores o empresas que necesitan realizar transacciones seguras financiera electrónicas.

SERVICIO Ciente/servidor Punto a punto Canal seguro Documentos seguros SSL x SHTTP x S/MIME x x x x x x x El cliente/servidor firma con la clave personal del x usuario El servidor firma con la clave del servidor x .

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->