Hoy en da vivimos en un mundo Globalizado donde muchas de nuestras actividades la llevamos a cabo mediante la ayuda del internet a travs de nuestros dispositivos mvil, PC entre otros, dichas herramientas nos permiten estar conectados y desempear actividades sin necesidad de nuestra presencia fsica, a travs de la redes las personas enva y recibe un constaste flujo de informacin la cual es necesario que mantenga su fiabilidad, es decir, que dicho mensajes o informacin no se vea afectado por factores no deseado como lo son virus o hacker, ya que pondra en riego la comunicacin. Imaginen por ejemplo que se quiera enviar una informacin sobre una innovacin o invento que podra solucionar x problema y dicha idea sea robada sera desastroso o peor an al realizar una transferencia de una gran cantidad de dinero un numero de la cuenta sea alterado, por estos motivos es importante establecer ciertos parmetros de seguridad en una red, ya que este no va permitir que las informacin que estemos recibiendo y estemos trasmitiendo sea de total fiabilidad y que no sea ni vista ni alterada por ningn factor a la hora de su envi. Esto se logra usando distintos protocolos y diferentes tipos de cifrados dependiendo del grado de importancia que tenga dicha informacin, para poder no ser presa fcil de los ataques pasivos y activos y evitar ser hackeados.
INDICE Introduccin Requisitos de Seguridad
Privacidad del Mensaje
Autenticacin de Mensajes y Funciones de Dispersin
Control de Acceso
Cifrado de Clave Pblica RSA y Firmas Digitales
Redes Privadas Virtuales
Capa de Sockets Seguras (SSL) y Capa de Transporte (TLS)
IPSec. Cabeceras AH ESP
Firewalls
Conclusin
Recomendaciones
Bibliografas
REQUISITOS DE SEGURIDAD Dada la inversin substancial que representan las redes se deben tener en cuenta Los siguientes criterios constituyen un marco para evaluar la seguridad de las redes. Solucin demostrada: La tecnologa debe encontrarse en uso, a escala, en una variedad de empresas de servicios pblicos de todo el mundo, prestando servicios en mltiples aplicaciones y lugares geogrficos. Rendimiento: La red inteligente requiere hardware y software de alto rendimiento. El sistema debe permitir la lectura a pedido de los medidores en menos de cuatro segundos y la sealizacin de los dispositivos en menos de un segundo. Seguridad: La red debe estar protegida a travs de medidas de seguridad y criptografa estricta en todos los niveles y en cada extremo. Arquitectura de propsitos mltiples: Las empresas de servicios pblicos deben tener capacidad para implementar las aplicaciones de la red inteligente con rapidez, como AMI, DA, DR y EV. Protocolos estndares: El protocolo de Internet versin 6 permite la interoperabilidad de mltiples proveedores. Capacidad de ampliacin: El hardware y el software deben ampliarse para admitir millones de extremos. Asequibilidad: Los costos deben ser comparables a los de las soluciones AMI de banda estrecha heredadas, y sus ganancias operativas deben justificar la implementacin para la empresa de servicios pblicos. Auto configurable y autorregenerable: En caso de producirse un problema, la red debe tener capacidad para detectarlo, responder y recuperarse con rapidez mientras se minimizan el tiempo de inactividad y las prdidas.
Gerencialidad: Las empresas de servicios pblicos deben poder aplicar conjuntos de aptitudes de TI estndares al administrar la red y las aplicaciones. Longevidad: La tecnologa debe contar con comunicaciones potentes y duraderas, capacidad informtica suficiente y firmware que se pueda actualizar de forma remota.
ATAQUES ACTIVOS Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o la creacin de un falso flujo de datos, pudiendo subdividirse en cuatro categoras: Enmascaramiento: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticacin pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contrasea de acceso a una cuenta. Retrasmisin: uno o varios mensajes legtimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada. Modificacin de mensajes: una porcin del mensaje legtimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje Ingresa un milln de pesetas en la cuenta A podra ser modificado para decir Ingresa un milln de pesetas en la cuenta B. Denegacin del Servicio: impide o inhibe el uso normal o la gestin de recursos informticos y de comunicaciones. Por ejemplo, el intruso podra suprimir todos los mensajes dirigidos a una determinada entidad o se podra interrumpir el servicio de una red inundndola con mensajes espurios. Entre estos ataques se encuentran los de denegacin de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.
ATAQUES PASIVOS En los ataques pasivos el atacante no altera la comunicacin, sino que nicamente la escucha o monitoriza, para obtener informacin que est siendo transmitida. Sus objetivos son la intercepcin de datos y el anlisis de trfico, una tcnica ms sutil para obtener informacin de la comunicacin, que puede consistir en la obtencin del origen y destinatario de la comunicacin, leyendo las cabeceras de los paquetes monitorizados. Controlar el volumen del trfico intercambiado entre las entidades monitorizadas. Tambin se puede manipular el control de las horas habituales de intercambio de datos entre las entidades de la comunicacin, para extraer informacin acerca de los perodos de actividad. Los ataques pasivos son muy difciles de detectar, ya que no provocan ninguna alteracin de los datos. Sin embargo, es posible evitar su xito mediante el cifrado de la informacin y otros mecanismos que se vern ms adelante. PRIVACIDAD DEL MENSAJE. En criptografa, el cifrado es un procedimiento que utiliza un algoritmo de cifrado con cierta clave (clave de cifrado) transforma un mensaje, sin atender a su estructura lingstica o significado, de tal forma que sea incomprensible o, al menos, difcil de comprender a toda persona que no tenga la clave secreta (clave de descifrado) del algoritmo. Para la seguridad de las redes se tienen que tomar en cuenta 3 tipos de cifrados y son los siguientes: Los Algoritmos de Cifrado. Definen transformaciones de datos que los usuarios no autorizados no pueden revertir con facilidad. Cifrado Simtrico. Un sistema de cifrado se denomina simtrico cuando utiliza la misma clave para cifrar y descifrar. La Distribucin de Claves. Para la distribucin se debe de tomar en cuenta todos los riesgos que se pueden correr al no tener una distribucin segura, ya que estas claves son esenciales para el intercambio de la informacin. Al realizar la distribucin de las claves se debe tomar en cuenta la utilidad de estas, es decir para qu se van a usar y cmo se van ausar. Existe un grupo de trabajo WG802.10 de la IEEE el cual comenz con la administracin de claves en 1989, y el modelo de gestin de claves y el protocolo asociado en IEEE802.10 identifica tres tipos de tcnicas de distribucin de claves, las cuales son: - Distribucin manual - Distribucin basada en centro - Distribucin basada en certificado
AUTENTICACIN DE LOS MENSAJES Y FUNCIONES DE DISPERSIN. Un cdigo de autentificacin de mensaje (message authentication code o MAC) es un bloque de datos de tamao fijo que se enva con un mensaje para averiguar su origen e integridad. Son muy tiles para proporcionar autentificacin e integridad sin confidencialidad. La funcin de dispersin, llamada compendio de mensaje (message digest), tiene tres propiedades importantes: 1.- dado un texto P, es fcil calcular su compendio de mensaje MD(P) 2.- dado un compendio de mensaje MD(P), es computacionalmente imposible encontrar P, es decir no tiene inversa 3.- nadie puede generar dos mensajes que tengan el mismo compendio de mensaje, a no ser que sean el mismo mensaje. Esto requiere compendios de 128 bits de longitud mnimo. CONTROL DE ACCESO Control de acceso a red (del ingls Network Access Control, NAC) es un enfoque de la seguridad en redes de computadoras que intenta unificar la tecnologa de seguridad en los equipos finales (tales como antivirus, prevencin de intrusin, informes de vulnerabilidades), usuario o sistema de autenticacin y reforzar la seguridad de la red de acceso. CIFRADO DE CLAVE PBLICA RSAY FIRMA DIGITALES. Un cifrado de clave pblica (o asimtrica), es aquel cifrado que se basa en el uso de una pareja de claves, pblica y privada, de las cuales una se usa para cifrar y la otra para descifrar. Ambas claves estn relacionadas por una funcin trampa, suele ser una funcin matemtica. Las claves se calculan usando la funcin y la inversa de sta, siendo la funcin inversa la funcin trampa al ser muy difcil o imposible de calcular. RSA trabaja con dos claves diferentes: una clave "pblica", y otra "privada". Ambas son complementarias entre s (trabajan de manera conjunta) as que un mensaje cifrado con una de ellas slo puede ser descifrado por su contraparte. Dado que la clave privada no se puede calcular a partir de la clave pblica, esta ltima queda generalmente queda a disposicin del pblico. Estas propiedades permiten que los cripto-sistemas asimtricos sean utilizados en una amplia variedad de funciones, tales como las firmas digitales. Las firmas digitales son un mecanismo para verificar que el mensaje recibido viene realmente de quien dice ser el remitente (asumiendo que el remitente conoce la clave privada que se corresponde con la clave pblica utilizada para la verificacin). A esto se lo llama autentificacin (de origen de datos). Algunas tambin podrn utilizar para asignar un sello de tiempo (timestamp) a documentos, una entidad confiable firma el documento declarando su existencia en ese momento (da, hora, minuto, segundo) sealado. REDES PRIVADAS VIRTUALES Los dos tipos de redes virtuales privadas cifradas: VPN IPsec de sitio a sitio: Esta alternativa a Frame Relay o redes WAN de lnea arrendada permite a las empresas extender los recursos de la red a las sucursales, oficinas en el hogar y sitios de los partners comerciales. VPN de acceso remoto: Esto extiende prcticamente todas las aplicaciones de datos, voz o video a los escritorios remotos, emulando los escritorios de la oficina central. Las redes VPN de acceso remoto pueden desplegarse usando redes VPN SSL, IPsec o ambas, dependiendo de los requisitos de implementacin. CAPAS DE SOCKET SEGURIDAD SSL Y CAPA DE TRANSPORTE SEGURA (TLS) SSL. Proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet mediante el uso de criptografa. Habitualmente, slo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar. SSL implica una serie de fases bsicas: Negociar entre las partes el algoritmo que se usar en la comunicacin Intercambio de claves pblicas y autenticacin basada en certificados digitales Cifrado del trfico basado en cifrado simtrico TLS (Transport Layer Security) (TLS [seguridad de la capa de transporte]). Un protocolo cuyo objetivo es proteger y autenticar las comunicaciones en una red pblica a travs del cifrado de datos. Un protocolo que proporciona privacidad de las comunicaciones en Internet usando criptografa simtrica con las claves especficas para la conexin y las comprobaciones de integridad del mensaje. TLS proporciona algunas mejoras sobre SSL en seguridad, confiabilidad, interoperabilidad y extensibilidad. Consulte tambin SSL.
IPSec. CABECERA AH y ESP. SERVICIO DE SEGURIDAD QUE PROVEE. IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado. Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte ms usados. Una ventaja importante de IPsec frente a SSL y otros mtodos que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo. Cabecera Authentication Header (AH) AH est dirigido a garantizar integridad, sin conexin y autenticacin de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a travs de algn algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por otro lado, AH puede proteger opcionalmente contra ataques de repeticin utilizando la tcnica de ventana deslizante y descartando paquetes viejos. AH protege la carga til IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el trnsito. Cabecera Encapsulating Security Payload (ESP) El protocolo ESP proporciona autenticidad de origen, integridad y proteccin de confidencialidad de un paquete. ESP tambin soporta configuraciones de slo cifrado y slo autenticacin, pero utilizar cifrado sin autenticacin est altamente desaconsejado porque es inseguro. Al contrario que con AH, la cabecera del paquete IP no est protegida por ESP (aunque en ESP en modo tnel, la proteccin es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger). ESP opera directamente sobre IP, utilizando el protocolo IP nmero 50.
FIREWALLS Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexin a Internet, o bien un programa que se instala en la mquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares especficos que lo nico que hacen es monitorizar las comunicaciones entre redes. Es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewal examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Adems, el firewall examina si la comunicacin es entrante o saliente y dependiendo de su direccin puede permitirla o no. De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. Tambin podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos tambin podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.
CONCLUSION Teniendo en cuenta todos estos aspectos que hemos descritos anteriormente acerca de la seguridad de las redes, puntualizamos lo siguiente; la seguridad de redes es un nivel de seguridad que garantiza que el funcionamiento de todas las mquinas de una red sea ptimo y que todos los usuarios de estas mquinas posean los derechos que les han sido concedidos, es decir, que podemos incluir como por ejemplo, evitar que personas no autorizadas intervengan en el sistema con fines malignos, evitar que los usuarios realicen operaciones involuntarias que puedan daar el sistema, asegurar los datos mediante la previsin de fallas, garantizar que no se interrumpan los servicios entre otros puntos importantes que conlleve a la seguridad de la red. Como hemos visto, las amenazas informticas ponen en riesgo nuestra red y la integridad de nuestra informacin. Es por esto, que el tomar las medidas de seguridad necesarias para resguardar la integridad de los datos que se manejan en ella, se convierten en un tema primordial de todo usuario. Existen diferentes medidas que se pueden adoptar para prevenir las amenazas de la red como lo son: Antivirus, Anti-spyware, firewall, actualizaciones del sistema, etc.
RECOMENDACIONES Usar antivirus, firewalls y antiespas. Eliminar temporales de Windows, eliminar temporales de internet, cookies. Eliminar correos no deseados, no hacer clics en ningn enlace del correo (a menos que haya sido solicitado). Es preferible entrar al sitio original y cerciorarse uno mismo de la veracidad del e-mail. No ejecutar cualquier archivo bajado de los sistemas de intercambio, del correo electrnico o del chat. Tomar precaucin de lo que se lee en las pginas web o el correo electrnico. Use su sentido crtico.