Este documento describe varios elementos clave para la protección de redes, incluyendo la administración de la seguridad (autenticación, autorización y auditoría), métodos comunes de protección (sistemas de detección de intrusos, sistemas orientados a conexiones de red, sistemas de análisis de vulnerabilidades, sistemas de protección a la integridad y privacidad de la información), penetration testing y conceptos como wrappers, access control lists e intrusion detection systems.

1. ELEMENTOS DE PROTECCION PARA REDES
Vulnerar para Proteger
Administración de la Seguridad
Es posible dividir las tareas de administración de seguridad en tres grandes
grupos:
Autenticación: se refiere a establecer las entidades que pueden tener
•
acceso al universo de recursos de cómputo que cierto medio ambiente
puede ofrecer.
Autorización: es el hecho de que las entidades autorizadas a tener
•
acceso a los recursos de cómputo, tengan acceso únicamente a las áreas
de trabajo sobre las cuales ellas deben tener dominio.
Auditoría: se refiere a la continua vigilancia de los servicios en
•
producción. Entra dentro de este grupo el mantener estadísticas de
acceso, estadísticas de uso y políticas de acceso físico a los recursos.
Por regla general, las políticas son el primer paso que dispone a una
organización para entrar en un ambiente de seguridad, puesto que reflejan su
quot;voluntad de hacer algoquot; que permita detener un posible ataque antes de que
éste suceda (proactividad). A continuación se citan algunos de los métodos de
protección más comúnmente empleados.
1. Sistemas de detección de intrusos: son sistemas que permiten analizar
las bitácoras de los sistemas en busca de patrones de comportamiento o
eventos que puedan considerarse sospechosos, sobre la base de la
información con la que han sido previamente alimentados. Pueden
considerarse como monitores.
2. Sistemas orientados a conexión de red: monitorizan las conexiones que
se intentan establecer en una red o equipo en particular, siendo capaces
de efectuar una acción sobre la base de métricas como: origen y destino
de la conexión, servicio solicitado, permisos, etc. Las acciones que
pueden emprender suelen ir desde el rechazo de la conexión hasta alerta
al administrador. En esta categoría están los cortafuegos (Firewalls) y los
Wrappers.
3. Sistemas de análisis de vulnerabilidades: analizan sistemas en busca de
vulnerabilidades conocidas anticipadamente. La quot;desventajaquot; de estos
sistemas es que pueden ser utilizados tanto por personas autorizadas
como por personas que buscan acceso no autorizado al sistema.
4. Sistemas de protección a la integridad de información: sistemas que
mediante criptografía o sumas de verificación tratan de asegurar que no
ha habido alteraciones indeseadas en la información que se intenta

2. proteger. Algunos ejemplos son los programas que implementan
algoritmos como Message Digest (MD5) o Secure Hash Algorithm (SHA),
o bien sistemas que utilizan varios de ellos como PGP, Tripwire y
DozeCrypt.
5. Sistemas de protección a la privacidad de la información: herramientas
que utilizan criptografía para asegurar que la información sólo sea visible
para quien tiene autorización. Su aplicación se realiza principalmente en
las comunicaciones entre dos entidades. Dentro de este tipo de
herramientas se pueden citar a Pretty Good Privacy (PGP), Secure
Sockets Layer (SSL) y los Certificados Digitales.
Resumiendo, un modelo de seguridad debe estar formado por múltiples
componentes o capas que pueden ser incorporadas de manera progresiva al
modelo global de seguridad en la organización, logrando así el método más
efectivo para disuadir el uso no autorizado de sistemas y servicios de red.
Podemos considerar que estas capas son:
1. Política de seguridad de la organización.
2. Auditoria.
3. Sistemas de seguridad a nivel de Router-Firewall.
4. Sistemas de detección de intrusos.
5. Plan de respuesta a incidentes.
6. Penetration Test.
Penetration Test, Ethical Hacking o Prueba de Vulnerabilidad
quot;El Penetration Test es un conjunto de metodologías y técnicas, para realizar
una evaluación integral de las debilidades de los sistemas informáticos. Consiste
en un modelo que reproduce intentos de acceso, a cualquier entorno
informático, de un intruso potencial desde los diferentes puntos de entrada que
existan, tanto internos como remotos.quot; (1)
El objetivo general del Penetration Test es acceder a los equipos informáticos
de la organización tratada e intentar obtener los privilegios del administrador
del sistema, logrando así realizar cualquier tarea sobre dichos equipos. También
se podrá definir otros objetivos secundarios que permitan realizar pruebas
puntuales sobre algunos ámbitos particulares de la empresa.
El Penetration Test se compone de dos grandes fases de testeo:
1. Penetration Test Externo: el objetivo es acceder en forma remota a
los equipos de la organización y posicionarse como administrador del
sistema. Se realizan desde fuera del Firewall y consisten en penetrar la
Zona Desmilitarizada para luego acceder a la red interna. Se compone de
un elevado número de pruebas, entre las que se puede nombrar:
• Pruebas de usuarios y la quot;fuerzaquot; de sus passwords.
• Captura de tráfico.

3. Detección de conexiones externas y sus rangos de direcciones.
•
Detección de protocolos utilizados.
•
canning de puertos TCP, UDP e ICMP.
•
Intentos de acceso vía accesos remotos, módems, Internet, etc.
•
Análisis de la seguridad de las conexiones con proveedores,
•
trabajadores remotos o entidades externas a la organización.
• Pruebas de vulnerabilidades existentes y conocidas en el
momento de realización del Test.
• Prueba de ataques de Denegación de Servicio.
2. Penetration Test Interno: este tipo de testeo trata de demostrar cual
es el nivel de seguridad interno. Se deberá establecer que puede hacer
un Insider y hasta donde será capaz de penetrar en el sistema siendo un
usuario con privilegios bajos. Este Test también se compone de
numerosas pruebas:
• Análisis de protocolos internos y sus vulnerabilidades.
• Autenticación de usuarios.
• Verificación de permisos y recursos compartidos.
• Test de los servidores principales (WWW, DNS, FTP, SMTP, etc.).
• Test de vulnerabilidad sobre las aplicaciones propietarias.
• Nivel de detección de la intrusión de los sistemas.
• Análisis de la seguridad de las estaciones de trabajo.
• Seguridad de la red.
• Verificación de reglas de acceso.
• Ataques de Denegación de Servicio
HoneyPots-HoneyNets
Estas quot;Trampas de Redquot; son sistemas que se activan con la finalidad específica
de que los expertos en seguridad puedan observar en secreto la actividad de
los Hackers/Crackers en su hábitat natural.
Access Control Lists
Una Lista de Control de Acceso o ACL (Access Control List) es un
concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a un
determinado objeto, dependiendo de ciertos aspectos del proceso que hace el
pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como
routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o
denegando el tráfico de red de acuerdo a alguna condición. Sin embargo,
también tienen usos adicionales, como por ejemplo, distinguir quot;tráfico
interesantequot; (tráfico suficientemente importante como para activar o mantener
una conexión) en ISDN.
ACLs en redes de computadoras

4. En redes de computadoras, ACL se refiere a una lista de reglas que detallan
puertos de servicio o nombres de dominios (de redes) que están disponibles en
una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista
de terminales y/o redes que tienen permiso para usar el servicio. Tanto
servidores individuales como routers pueden tener ACLs de redes. Las listas de
acceso de control pueden configurarse generalmente para controlar tráfico
entrante y saliente y en este contexto son similares a unos cortafuegos.
Existen dos tipos de ACLs:
• ACL estándar, donde solo tenemos que especificar una dirección de
origen;
• ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de
origen y de destino.
Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El
Wrapper literalmente cubre la identidad de este segundo programa, obteniendo
con esto un más alto nivel de seguridad. Los Wrappers son usados dentro de la
seguridad en sistemas UNIXs. Estos programas nacieron por la necesidad de
modificar el comportamiento del sistema operativo sin tener que modificar su
funcionamiento.

5. Los Wrappers son ampliamente utilizados, y han llegado a formar parte de
herramientas de seguridad por las siguientes razones:
* Debido a que la seguridad lógica esta concentrada en un solo programa,
los Wrappers son fáciles y simples de validar.
* Debido a que el programa protegido se mantiene como una entidad
separada, éste puede ser actualizado sin necesidad de cambiar el Wrapper.
* Debido a que los Wrappers llaman al programa protegido mediante
llamadas estándar al sistema, se puede usar un solo Wrapper para controlar el
acceso a diversos programas que se necesiten proteger.
* Permite un control de accesos exhaustivo de los servicios de
comunicaciones, además de buena capacidad de Logs y auditorias de peticiones
a dichos servicios, ya sean autorizados o no.
El paquete Wrapper más ampliamente utilizado es el TCP-Wrappers, el cual es
un conjunto de utilidades de distribución libre, escrito por Wietse Venema (co-
autor de SATAN, con Dan Farmer, y considerado el padre de los sistemas
Firewalls) en 1990.
Consiste en un programa que es ejecutado cuando llega una petición a un
puerto específico. Este, una vez comprobada la dirección de origen de la
petición, la verifica contra las reglas almacenadas, y en función de ellas, decide
o no dar paso al servicio. Adicionalmente, registra estas actividades del sistema,
su petición y su resolución.
Algunas configuraciones avanzadas de este paquete, permiten también ejecutar
comandos en el propio sistema operativo, en función de la resolución de la
petición. Por ejemplo, es posible que interese detectar una posible máquina
atacante, en el caso de un intento de conexión, para tener más datos a la hora
de una posible investigación. Este tipo de comportamiento raya en la estrategia
paranoica, ya vista cuando se definió la política de seguridad del firewall.
Con lo mencionado hasta aquí, puede pensarse que los Wrappers son Firewall
ya que muchos de los servicios brindados son los mismos o causan los mismos
efectos: u sando Wrappers, se puede controlar el acceso a cada máquina y los
servicios accedidos. Así, estos controles son el complemento perfecto de un
Firewall y la instalación de uno no está supeditada a la del otro.
Detección de Intrusos en Tiempo Real

6. Intrusión Detection Systems (IDS)
Un sistema de detección de intrusos es un componente más dentro del modelo
de seguridad de una organización. Consiste en detectar actividades
inapropiadas, incorrectas o anómala desde el exterior-interior de un sistema
informático.
Los sistemas de detección de intrusos pueden clasificarse, según su función y
comportamiento en:
* Host-Based IDS: operan en un host para detectar actividad maliciosa en el
mismo.
* Network-Based IDS: operan sobre los flujos de información intercambiados
en una red.
* Knowledge-Based IDS: sistemas basados en Conocimiento.
* Behavior-Based IDS: sistemas basados en Comportamiento. Se asume que
una intrusión puede ser detectada observando una desviación respecto del
comportamiento normal o esperado de un usuario en el sistema.
La idea central de este tipo de detección es el hecho de que la actividad
intrusiva es un conjunto de actividades anómalas. Si alguien consigue entrar de
forma ilegal al sistema, no actuará como un usuario comprometido; su
comportamiento se alejará del de un usuario normal.
Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del
agregado de otras actividades individuales que por sí solas no constituyen un
comportamiento intrusivo de ningún tipo. Así las intrusiones pueden clasificarse
en:

7. * Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema
erróneamente indica ausencia de intrusión). En este caso la actividad es
intrusiva pero como no es anómala no es detectada. No son deseables, porque
dan una falsa sensación de seguridad del sistema.
* No intrusivas pero anómalas:denominados Falsos Positivos (el sistema
erróneamente indica la existencia de intrusión). En este caso la actividad es no
intrusiva, pero como es anómala el sistema quot;decidequot; que es intrusiva. Deben
intentar minimizarse, ya que en caso contrario se ignorarán los avisos del
sistema, incluso cuando sean acertados.
* No intrusiva ni anómala:son Negativos Verdaderos, la actividad es no
intrusiva y se indica como tal.
* Intrusiva y anómala:se denominan Positivos Verdaderos, la actividad es
intrusiva y es detectada.
Los detectores de intrusiones anómalas requieren mucho gasto computacional,
ya que se siguen normalmente varias métricas para determinar cuánto se aleja
el usuario de lo que se considera comportamiento normal.
Características de IDS
Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo
en que esté basado, debería contar con las siguientes características:
* Debe funcionar continuamente sin supervisión humana. El sistema debe
ser lo suficientemente fiable para poder ser ejecutado en background dentro
del equipo que está siendo observado. Sin embargo, no debe ser una quot;caja
negraquot; (debe ser examinable desde el exterior).
* Debe ser tolerante a fallos en el sentido de que debe ser capaz de
sobrevivir a una caída del sistema.
* En relación con el punto anterior, debe ser resistente a perturbaciones. El
sistema puede monitorizarse a sí mismo para asegurarse de que no ha sido
perturbado.
* Debe imponer mínima sobrecarga sobre el sistema. Un sistema que
relentiza la máquina, simplemente no será utilizado.
* Debe observar desviaciones sobre el comportamiento estándar.
* Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene
un patrón de funcionamiento diferente y el mecanismo de defensa debe
adaptarse de manera sencilla a esos patrones.
* Debe hacer frente a los cambios de comportamiento del sistema según se
añaden nuevas aplicaciones al mismo.
* Debe ser difícil de quot;engañarquot;.
Fortalezas de IDS
* Suministra información muy interesante sobre el tráfico malicioso de la red.
* Poder de reacción para prevenir el daño.
* Es una herramienta útil como arma de seguridad de la red.
* Ayuda a identificar de dónde provienen los ataques que se sufren.

8. * Recoge evidencias que pueden ser usadas para identificar intrusos.
* Es una quot;cámaraquot; de seguridad y una quot;alarmaquot; contra ladrones.
* Funciona como quot;disuasor de intrusosquot;.
* Alerta al personal de seguridad de que alguien está tratando de entrar.
* Protege contra la invasión de la red.
* Suministra cierta tranquilidad.
* Es una parte de la infraestructura para la estrategia global de defensa.
* La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden
incluso contribuir (parcialmente) al descubrimiento automático de esos nuevos
ataques.
* Son menos dependientes de los mecanismos específicos de cada sistema
operativo.
* Pueden ayudar a detectar ataques del tipo quot;abuso de privilegiosquot; que no
implica realmente ninguna vulnerabilidad de seguridad. En pocas palabras, se
trata de una aproximación a la paranoia: quot;todo aquello que no se ha visto
previamente es peligrosoquot;.
* Menor costo de implementación y mantenimiento al ubicarse en puntos
estratégicos de la red.
* Dificulta el trabajo del intruso de eliminar sus huellas.
Debilidades de IDS
* No existe un parche para la mayoría de bugs de seguridad.
* Se producen falsas alarmas.
* Se producen fallos en las alarmas.
* No es sustituto para un buen Firewall, una auditoría de seguridad regular y
una fuerte y estricta política de seguridad.
Inconvenientes de IDS
* La alta tasa de falsas alarmas dado que no es posible cubrir todo el ámbito
del comportamiento de un sistema de información durante la fase de
aprendizaje.
* El comportamiento puede cambiar con el tiempo, haciendo necesario un
re-entrenamiento periódico del perfil, lo que da lugar a la no disponibilidad del
sistema o la generación de falsas alarmas adicionales.
* El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que
el perfil de comportamiento contendrá un comportamiento intrusivo el cual no
será considerado anómalo.
Call Back

9. Este procedimiento es utilizado para verificar la autenticidad de una llamada vía
modem. El usuario llama, se autentifica contra el sistema, se desconecta y
luego el servidor se conecta al número que en teoría pertenece al usuario.
La ventaja reside en que si un intruso desea hacerse pasar por el usuario, la
llamada se devolverá al usuario legal y no al del intruso, siendo este
desconectado. Como precaución adicional, el usuario deberá verificar que la
llamada-retorno proceda del número a donde llamó previamente.
Sistemas Anti-Sniffers
Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos
programas se basan en verificar el estado de la placa de red, para detectar el
modo en el cual está actuando (recordar que un Sniffer la coloca en Modo
Promiscuo), y el tráfico de datos en ella.

10. Gestión de Claves Seguras
Como puede verse en la siguiente tabla, si se utiliza una clave de 8 caracteres
de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en
descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir
de las 96^8 (7.213.895.789.838.340) claves posibles de generar con esos
caracteres.
26 36 52 96
Cantidad de
Letras Letras y Mayúsculas y Todos los
Caracteres
Minúsculas Dígitos minúsculas Caracteres
6 51 minutos 6 horas 2,3 dias 3 meses
7 22,3 horas 9 días 4 meses 24 años
10,5
8 24 días 17 años 2.288 años
meses
9 21 meses 32,6 años 890 años 219.601 años
21.081.705
10 45 años 1.160 años 45.840 años
años
Partiendo de la premisa en que no se disponen de esa cantidad de años para
analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más
posibles, comúnmente llamadas Claves Débiles.
Según demuestra el análisis de +NetBuL (1) realizado sobre 2.134 cuentas y
probando 227.000 palabras por segundo:
Con un diccionario 2.030 palabras (el original de John de Ripper 1.04),
•
se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en
•
36:18 minutos (3,15%).
Otro estudio (2) muestra el resultado obtenido al aplicar un ataque, mediante
un diccionario de 62.727 palabras, a 13.794 cuentas:
En un año se obtuvieron 3.340 contraseñas (24,22%).
•
En la primera semana se descubrieron 3.000 claves (21,74%).
•
En los primeros 15 minutos se descubrieron 368 palabras claves
•
(2,66%).
Según los grandes números vistos, sería válido afirmar que: es imposible
encontrar ¡36 cuentas en 19 segundos!. También debe observarse, en el
segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y
una semana.

11. Tal vez, ¿esto sucedió porque existían claves nulas; que corresponde al nombre
del usuario; a secuencias alfabéticas tipo quot;abcdquot;; a secuencias numéricas tipo
quot;1234quot;; a secuencias observadas en el teclado tipo quot;qwerquot;; a palabras que
existen en un diccionario del lenguaje del usuario. Sí, estas claves (las más
débiles) son las primeras en ser analizadas y los tiempos obtenidos confirman la
hipótesis.
Normas de Elección de Claves
Se debe tener en cuenta los siguientes consejos:
1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o
nombres (el del usuario, personajes de ficción, miembros de la familia,
mascotas, marcas, ciudades, lugares, u otro relacionado).
2. No usar contraseñas completamente numéricas con algún significado
(teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y
minúsculas) y numéricos.
4. Deben ser largas, de 8 caracteres o más.
5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar
una contraseña base y ciertas variaciones lógicas de la misma para
distintas máquinas.
6. Deben ser fáciles de recordar para no verse obligado a escribirlas.
Algunos ejemplos son:
• Combinar palabras cortas con algún número o carácter de
puntuación: soy2_yo3
• Usar un acrónimo de alguna frase fácil de recordar: A r io R
evuelto G anancia d e P escadores -> ArRGdP
• Añadir un número al acrónimo para mayor seguridad:
A9r7R5G3d1P
• Mejor incluso si la frase no es conocida: H a sta A h ora n o h e O
l vidado m i C o ntraseña -> aHoelIo
• Elegir una palabra sin sentido, aunque pronunciable: taChunda72,
AtajulH, Wen2Mar
• Realizar reemplazos de letras por signos o números: E n S
eguridad M ás V ale P revenir q ue C urar -> 35M/Pq<
Normas para Proteger una Clave
La protección de la contraseña recae tanto sobre el administrador del sistema
como sobre el usuario. Al comprometer una cuenta se puede estar
comprometiendo todo el sistema.
La siguiente frase difundida en UseNet resume algunas de las reglas básicas de
uso de la contraseña: quot;Un password debe ser como un cepillo de dientes. Úsalo
cada día; cámbialo regularmente; y NO lo compartas con tus amigosquot;.

12. Algunos consejos a seguir:
1. No permitir ninguna cuenta sin contraseña. Si se es administrador del
sistema, repasar este hecho periódicamente.
2. No mantener las contraseñas por defecto del sistema. Por ejemplo,
cambiar las cuentas de Root, System, Test, Demo, Guest, etc.
3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla
inmediatamente.
4. No escribir la contraseña en ningún sitio. Si se escribe, no debe
identificarse como tal y no debe identificarse al propietario en el mismo
lugar.
5. No teclear la contraseña si hay alguien mirando. Es una norma tácita de
buen usuario no mirar el teclado mientras alguien teclea su contraseña.
6. No enviar la contraseña por correo electrónico ni mencionarla en una
conversación. Si se debe mencionar no hacerlo explícitamente diciendo:
quot;mi clave es...quot;.
7. No mantener una contraseña indefinidamente. Cambiarla regularmente.
Disponer de una lista de contraseñas que puedan usarse cíclicamente
(por lo menos 5).
Muchos sistemas incorporan ya algunas medidas de gestión y protección de las
contraseñas. Entre ellas podemos citar las siguientes:
1. Número de intentos limitado. Tras un número de intentos fallidos,
pueden tomarse distintas medidas:
o Obligar a reescribir el nombre de usuario (lo más común).
o Bloquear el acceso durante un tiempo.
o Enviar un mensaje al administrador y/o mantener un registro
especial.
2. Longitud mínima. Las contraseñas deben tener un número mínimo de
caracteres (se recomienda 7 u 8 como mínimo).
3. Restricciones de formato. Las contraseñas deben combinar un mínimo de
letras y números, no pueden contener el nombre del usuario ni ser un
blanco.
4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se
fuerza a cambiar la contraseña. Se obliga a no repetir ciertas cantidades
de las anteriores. Se mantiene un periodo forzoso entre cambios, para
evitar que se vuelva a cambiar inmediatamente y se repita la anterior.
5. Ataque preventivo. Muchos administradores utilizan crackeadores para
intentar atacar las contraseñas de su propio sistema en busca de
debilidades.
Contraseñas de un Sólo Uso
Las contraseñas de un solo uso (One-Time Passwords) son uno de los
mecanismos de autentificación más seguros, debido a que su descubrimiento
tan solo permite acceder al sistema una vez. Además, en muchas ocasiones se

13. suelen utilizar dispositivos hardware para su generación, lo que las hace mucho
más difíciles de descubrir.
Ejemplos de este tipo de contraseñas serian las basadas en funciones
unidireccionales (sencillas de evaluar en un sentido pero imposible o muy
costoso de evaluar en sentido contrario) y en listas de contraseñas.
Se distinguen tres tipos de contraseñas de un solo uso:
1. Las que requieren algún dispositivo hardware para su generación, tales
como calculadoras especiales o tarjetas inteligentes (Token Cards).
2. Las que requieren algún tipo de software de cifrado especial.
3. Las que se basan en una lista de contraseñas sobre papel.
Seguridad en Protocolos y Servicios
Se ha visto en capítulos anteriores la variedad de protocolos de comunicaciones
existentes, sus objetivos y su funcionamiento. Como puede preverse todos
estos protocolos tienen su debilidad ya sea en su implementación o en su uso.
A continuación se describen los problemas de seguridad más comunes y sus
formas de prevención.
Nuevamente no se verán los detalles sobre el funcionamiento de cada uno de
ellos, simplemente se ofrecerán las potenciales puertas de entrada como
fuentes de ataques que ni siquiera tienen por qué proporcionar acceso a la
máquina (como las DoS por ejemplo).
Criptología
La criptología es el estudio de los criptosistemas: sistemas que ofrecen medios
seguros de comunicación en los que el emisor oculta o cifra el mensaje antes
de transmitirlo para que sólo un receptor autorizado (o nadie) pueda
descifrarlo. Sus áreas principales de interés son la criptografía y el
criptoanálisis, pero también se incluye la esteganografía como parte de esta
ciencia aplicada. En tiempos recientes, el interés por la criptología se ha
extendido también a otras aplicaciones aparte de la comunicación segura de
información y, actualmente, una de las aplicaciones más extendidas de las
técnicas y métodos estudiados por la criptología es la autenticación de
información digital (también llamada firma digital).
El mensaje cifrado recibe el nombre Criptograma

14. La importancia de la Criptografía radica en que es el único método actual capaz
de hacer cumplir el objetivo de la Seguridad Informática: quot;mantener la
Privacidad, Integridad, Autenticidad...quot; y hacer cumplir con el No Rechazo,
relacionado a no poder negar la autoría y recepción de un mensaje enviado.
Inversión
Los costos de las diferentes herramientas de protección se están haciendo
accesibles, en general, incluso para las organizaciones más pequeñas. Esto
hace que la implementación de mecanismos de seguridad se dé prácticamente
en todos los niveles: empresas grandes, medianas, chicas y usuarios finales.
Todos pueden acceder a las herramientas que necesitan y los costos (la
inversión que cada uno debe realizar) va de acuerdo con el tamaño y
potencialidades de la herramienta.
Pero no es sólo una cuestión de costos, los constantes cambios de la tecnología
hacen que para mantener un nivel parejo de seguridad, se deba actualizar
permanentemente las herramientas con las que se cuenta. Como los intrusos
mejoran sus armas y metodologías de penetración de forma incesante, el
recambio y la revisión constantes en los mecanismos de seguridad se
convierten en imprescindibles. Y éste es un verdadero punto crítico.
Según Testers, quot;esto es tan importante como el tipo de elementos que se
usenquot;. Sin duda, éstos deben ser las que mejor se adapten al tipo de
organización. Pero tan importante como eso es el hecho de conocer
exactamente cómo funcionan y qué se puede hacer con ellos. quot;Es prioritario
saber los riesgos que una nueva tecnología trae aparejadosquot;.
Seguridad Física

15. Es muy importante ser consciente que por más que nuestra empresa sea la más
segura desde el punto de vista de ataques externos, Crackers, virus, etc.
(conceptos luego tratados); la seguridad de la misma será nula si no se ha
previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Si bien algunos de los aspectos tratados a continuación
se prevén, otros, como la detección de un atacante interno a la empresa que
intenta a acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar
una cinta de la sala, que intentar acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la quot;aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencialquot;(1). Se refiere a los
controles y mecanismos de seguridad dentro y alrededor del Centro de
Cómputo así como los medios de acceso remoto al y desde el mismo;
implementados para proteger el hardware y medios de almacenamiento de
datos.
Seguridad Lógica - Control de Acceso Interno
Palabras Claves (Passwords)
Generalmente se utilizan para realizar la autenticación del usuario y sirven para
proteger los datos y aplicaciones. Los controles implementados a través de la
utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el
usuario se ve en la necesidad de utilizar varias palabras clave para acceder a
diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba
o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de
esta técnica.

16. Se podrá, por años, seguir creando sistemas altamente seguros, pero en última
instancia cada uno de ellos se romperá por este eslabón: la elección de
passwords débiles.
Es mi deseo que después de la lectura del presente quede la idea útil de usar
passwords seguras ya que aquí radican entre el 90% y 99% de los problemas
de seguridad planteados.
* Sincronización de passwords: consiste en permitir que un usuario acceda
con la misma password a diferentes sistemas interrelacionados y, su
actualización automática en todos ellos en caso de ser modificada. Podría
pensarse que esta es una característica negativa para la seguridad de un
sistema, ya que una vez descubierta la clave de un usuario, se podría tener
acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin
embargo, estudios hechos muestran que las personas normalmente suelen
manejar una sola password para todos los sitios a los que tengan acceso, y que
si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para
no olvidarlas, lo cual significa un riesgo aún mayor. Para implementar la
sincronización de passwords entre sistemas es necesario que todos ellos tengan
un alto nivel de seguridad.
* Caducidad y control: este mecanismo controla cuándo pueden y/o deben
cambiar sus passwords los usuarios. Se define el período mínimo que debe
pasar para que los usuarios puedan cambiar sus passwords, y un período
máximo que puede transcurrir para que éstas caduquen.
Encriptación
La información encriptada solamente puede ser desencriptada por quienes
posean la clave apropiada. La encriptación puede proveer de una potente
medida de control de acceso. Este tema será abordado con profundidad en el
Capítulo sobre Protección del presente.
Listas de Control de Accesos
Se refiere a un registro donde se encuentran los nombres de los usuarios que
obtuvieron el permiso de acceso a un determinado recurso del sistema, así
como la modalidad de acceso permitido. Este tipo de listas varían
considerablemente en su capacidad y flexibilidad.
Límites sobre la Interfase de Usuario
Esto límites, generalmente, son utilizados en conjunto con las listas de control
de accesos y restringen a los usuarios a funciones específicas. Básicamente
pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos
sobre la interfase de usuario. Por ejemplo los cajeros automáticos donde el
usuario sólo puede ejecutar ciertas funciones presionando teclas específicas.
Etiquetas de Seguridad

17. Consiste en designaciones otorgadas a los recursos (como por ejemplo un
archivo) que pueden utilizarse para varios propósitos como control de accesos,
especificación de medidas de protección, etc. Estas etiquetas no son
modificables.
Control de Accesos
El control de acceso no sólo requiere la capacidad de identificación, sino
también asociarla a la apertura o cerramiento de puertas, permitir o negar
acceso basado en restricciones de tiempo, área o sector dentro de una empresa
o institución.
1. Utilización de Guardias
2. Utilización de Detectores de Metales
El detector de metales es un elemento sumamente práctico para la revisión
de personas, ofreciendo
grandes ventajas sobre el sistema de palpación manual.
La sensibilidad del detector es regulable, permitiendo de esta manera
establecer un volumen metálico
mínimo, a partir del cual se activará la alarma.
La utilización de este tipo de detectores debe hacerse conocer a todo el
personal. De este modo,
actuará como elemento disuasivo.
3. Utilización de Sistemas Biométricos
4. Verificación Automática de Firmas (VAF)
En este caso lo que se considera es lo que el usuario es capaz de hacer,
aunque también podría
encuadrarse dentro de las verificaciones biométricas.
Mientras es posible para un falsificador producir una buena copia visual o
facsímil, es
extremadamente difícil reproducir las dinámicas de una persona: por
ejemplo la firma genuina con
exactitud.
La VAF, usando emisiones acústicas toma datos del proceso dinámico de
firmar o de escribir.
La secuencia sonora de emisión acústica generada por el proceso de
escribir constituye un patrón que
es único en cada individuo. El patrón contiene información extensa sobre la
manera en que la escritura
es ejecutada.
El equipamiento de colección de firmas es inherentemente de bajo costo y
robusto.
Esencialmente, consta de un bloque de metal (o algún otro material con
propiedades acústicas
similares) y una computadora barata.
5. Seguridad con Animales

18. Sirven para grandes extensiones de terreno, y además tienen órganos
sensitivos mucho más sensibles que los de cualquier dispositivo y,
generalmente, el costo de cuidado y mantenimiento se disminuye
considerablemente utilizando este tipo de sistema.
Así mismo, este sistema posee la desventaja de que los animales pueden
ser engañados para lograr el acceso deseado.
6. Protección Electrónica (leer más)
Conclusiones
Evaluar y controlar permanentemente la seguridad física del edificio es la base
para o comenzar a integrar la seguridad como una función primordial dentro de
cualquier organismo.
Tener controlado el ambiente y acceso físico permite:
* disminuir siniestros
* trabajar mejor manteniendo la sensación de seguridad
* descartar falsas hipótesis si se produjeran incidentes
* tener los medios para luchar contra accidentes
Las distintas alternativas estudiadas son suficientes para conocer en todo
momento el estado del medio en el que nos desempeñamos; y así tomar
decisiones sobre la base de la información brindada por los medios de control
adecuados.
Estas decisiones pueden variar desde el conocimiento de la áreas que recorren
ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.
Niveles de seguridad informatica
Protección total para la pequeña empresa

19. Aún la más pequeña de las empresas no es inmune a las amenazas en Internet.
Una sola brecha de seguridad puede detener las operaciones, disminuir la
productividad y posiblemente comprometer la integridad de la información, la
confianza de los clientes y el flujo de los ingresos.
Las amenazas actuales pueden venir de cualquier parte: redes conectadas o
inalámbricas, interna o externamente. Pasaron los tiempos cuando se
identificaba fácilmente el perímetro de las redes y se protegía con sólo aplicar
algunos dispositivos sencillos de seguridad. La introducción de nuevas
tecnologías, junto con la creciente sofisticación de las amenazas en Internet,
exige una solución completa de protección.
Los desafíos de la nueva tecnología
Aparte del creciente uso de Internet y el correo electrónico, actualmente las
pequeñas empresas también están adoptando la movilidad inalámbrica, la
mensajería instantánea y las aplicaciones de empresa a empresa. Estas
tecnologías son muy útiles para las compañías porque pueden mejorar
radicalmente sus operaciones comerciales, pero hay que saber que existen
ciertos elementos de riesgo. Todas las tecnologías nuevas implican volver a
entrar a la infraestructura, y pueden ser aprovechadas y utilizadas por los como
un conducto para ataques si no se toman medidas para proteger la tecnología
adoptada.
Las amenazas combinadas complejas
Las amenazas combinadas emplean múltiples métodos para descubrir y
aprovechar las vulnerabilidades de la red para luego poder auto-replicarse y
auto-propagarse, lo cual puede suceder sin que el usuario se entere. Amenazas
combinadas como el Código Rojo y Nimda tomaron las peores características de
los virus, gusanos y troyanos, y las combinaron con vulnerabilidades de los
servidores y de Internet para iniciarse, transmitirse y propagarse. Las amenazas
combinadas están diseñadas para aprovechar las vulnerabilidades de las
tecnologías de seguridad que funcionan independientemente y por separado,
razón por la que una protección total es crucial para la empresa actual. La
velocidad de distribución de las amenazas en Internet ha pasado de semanas a
días y de días a horas, y con la conectividad inalámbrica, existe la posibilidad de
que las amenazas se propaguen en minutos o incluso segundos.
Componentes de la protección total
quot;Protección totalquot; significa la creación de múltiples capas de protección para los
equipos y la información valiosa que contienen, las que evitan que un nivel
comprometa a la red entera. Esta protección por capas se hace más necesaria
que nunca en el actual escenario de las amenazas combinadas y el perímetro
borroso de la red.
Ninguna empresa, sin importar su tamaño, se puede arriesgar. Para
mantenerse protegido en el mundo interconectado de hoy debe contar con una
protección total.

20. Algunos de sus elementos importantes son:
• Antivirus - brinda protección contra los archivos que entran a la red a través
del correo electrónico, las descargas de Internet, los disquetes, etc. El software
antivirus debe buscar automáticamente las amenazas más recientes, explorar
con frecuencia los sistemas en busca de estas amenazas y también vigilar en
tiempo real cuando se descargan nuevos archivos de Internet o se separan de
los mensajes de correo electrónico para garantizar que nada peligroso ingrese.
El software antivirus no sólo debe proteger las estaciones de trabajo y
servidores, sino también los firewalls y aplicaciones importantes como los
servidores Web y de correo electrónico para que evitar muchos problemas
antes de que surjan.
• Firewall - es una importante línea de defensa de la red y de toda la
información, ya que explora la información que entra y sale de la red para
garantizar que no haya accesos no autorizados. Los firewalls también ayudan a
proteger la computadora de ataques de DoS y de participar involuntariamente
en uno de ellos.
• Detección de intrusos - monitorea constantemente la red en busca de
actividades sospechosas o ataques directos, alertando al usuario o al personal
de TI para que pueda actuar inmediatamente. El software de detección de
intrusos es especialmente útil cuando se utiliza conjuntamente con un firewall.
• Redes privadas virtuales (VPN) - son vitales para usuarios que se conectan
remotamente a la red de la oficina. Las VPN protegen las conexiones remotas
más allá del perímetro para poder establecer comunicaciones seguras en
Internet.
• Configuración del disco - Incluso con la combinación adecuada de las medidas
de seguridad, algunos hackers o herramientas muy decididos o imaginativos
pueden burlar la protección e ingresar a algunos de los sistemas. Algunas veces
es difícil saber con certeza el alcance del ataque por lo cual sería prudente
volver atrás y partir de un punto seguro. La solución de configuración del disco
puede hacer copias de seguridad de la información y recuperarla en su estado
inicial seguro para que el usuario pueda confiar en la integridad de la
información.
Otras medidas
Además de la tecnología para la seguridad, se pueden tomar otras medidas
para reforzar la protección total de la pequeña empresa:
• Actualizar los parches: buscar las actualizaciones de software y aprovechar las
soluciones o parches de seguridad para los agujeros que podría hacer el
sistema vulnerable a un ataque.
• Crear una política de seguridad: establecer cuáles son los recursos valiosos de
información y los derechos de acceso a esa información, y determinar normas
para el acceso remoto.

21. • Entrenamiento para tomar conciencia sobre la seguridad: educar a los
empleados para que conozcan sus funciones en relación con el mantenimiento
de la seguridad de la empresa.
• Restringir y controlar el acceso a la red: si hay trabajadores temporales o
contratistas que necesitan acceso a la red, es preciso asegurarse de darles
únicamente el acceso necesario para que realicen el trabajo y no olvidar
revocarles el acceso por completo después de terminarlo.
• Reforzar la administración de contraseñas: asegurarse que los usuarios
cambien con frecuencia las contraseñas y tenga cuidado de no anunciarlas
públicamente.
Las amenazas actuales son más frecuentes y avanzadas tanto en sus métodos
de propagación como en los daños que causan. La complejidad de las
amenazas en cuanto al ataque y a la propagación, junto a la creciente
complejidad de las redes de la pequeña empresa, indican que las medidas de
seguridad por sí solas ya no son suficientes. Las empresas deben implementar
medidas de seguridad en todos los puntos vulnerables del sistema, como los
servidores y equipos de escritorio, y establecer una completa línea de defensa
de múltiples capas o “protección total”. Esto, siempre acompañado de una
política de seguridad clara y conocida por los usuarios.
Malware
Malware (del inglés malicious software, también llamado badware, software
malicioso o software malintencionado) es un software que tiene como objetivo
infiltrarse en o dañar un ordenador sin el conocimiento de su dueño y con
finalidades muy diversas ya que en esta categoría encontramos desde un
troyano hasta un spyware.
Esta expresión es un término general muy utilizado por profesionales de la
computación para definir una variedad de software o programas de códigos
hostiles e intrusivos. Muchos usuarios de computadores no están aún
familiarizados con este término y otros incluso nunca lo han utilizado. Sin
embargo la expresión quot;virus informáticoquot; es más utilizada en el lenguaje
cotidiano y a menudo en los medios de comunicación para describir todos los
tipos de malware. Se debe considerar que el ataque a la vulnerabilidad por
malware, puede ser a una aplicación, una computadora, un sistema operativo o
una red.
Los Gusano
Un gusano (también llamados IWorm por su apocope en inglés, I = Internet,
Worm = Gusano) es un Malware que tiene la propiedad de duplicarse a sí

22. mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que
generalmente son invisibles al usuario.
A diferencia de un virus, un gusano no precisa alterar los archivos de
programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos
casi siempre causan problemas en la red (aunque sea simplemente
consumiendo ancho de banda), mientras que los virus siempre infectan o
corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a
su incontrolada replicación, los recursos del sistema se consumen hasta el
punto de que las tareas ordinarias del mismo son excesivamente lentas o
simplemente no pueden ejecutarse.
Los gusanos se basan en una red de computadoras para enviar copias de sí
mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de
llevar esto a cabo sin intervención del usuario propagándose, utilizando
Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.
Programa caballo de troya
Un caballo de Troya es un programa aparentemente útil, novedoso, o atractivo
que contiene funciones ocultas que permiten, por ejemplo, obtener privilegios
de usuario (siempre que el programa se ejecute), suponiendo un enorme
problema de seguridad. Generalmente un caballo de Troya no tiene efecto sin
la colaboración involuntaria del usuario a quien va dirigido.
Los caballos de Troya son normalmente instalados por los propios usuarios
inadvertidamente o bien por intrusos que han obtenido acceso sin permiso al
sistema a través de otros medios.
Una Puerta trasera
En la informática, una puerta trasera (o en inglés backdoor), es una secuencia
especial dentro del código de programación mediante la cual el programador
puede acceder o escapar de un programa en caso de emergencia o
contingencia en algún problema.
A su vez, estas puertas también pueden ser perjudiciales debido a que los
crackers al descubrirlas pueden acceder a un sistema en forma ilegal y
aprovecharse la falencia.
Los más conocidos mundialmente son el BackOrifice y el NetBus, dos de los
primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor
cantidad dado que la mayoría de los programas antivirus los detectan. Otro
muy conocido es el SubSeven, que también se encargó de infectar millones de
ordenadores en el mundo.
El spyware

23. Los Spywares o Programa espía, son aplicaciones que se dedican a recopilar
información del sistema en el que se encuentran instaladas(“husmean” la
información que está en nuestro equipo) para luego enviarla a través de
Internet,[25] generalmente a alguna empresa de publicidad en algunos casos lo
hacen para obtener direcciones de e-mail. Todas estas acciones se enmascaran
tras confusas autorizaciones al instalar programas de terceros, por lo que rara
vez el usuario es consciente de ello. Estos agentes espía, pueden ingresar a la
PC por medio de otras aplicaciones.[26] Normalmente trabajan y contaminan
sistemas como lo hacen los Caballos de Troya.
Un exploit
Exploit (del inglés to exploit, explotar o aprovechar) es una pieza de software,
un fragmento de datos, o una secuencia de comandos que se aprovecha de un
error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o
imprevisto en los programas informáticos, hardware, o algo electrónico (por lo
general computarizado). Con frecuencia, esto incluye cosas tales como la
violenta toma de control de un sistema de cómputo o permitir la escalada de
privilegios o un ataque de denegación de servicio.
El fin del Exploit puede ser la destrucción o inhabilitación del sistema atacado,
aunque normalmente se trata de violar las medidas de seguridad para poder
acceder al mismo de forma no autorizada y emplearlo en beneficio propio o
como origen de otros ataques a terceros.
Los rootkit
Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad
esconderse a sí misma y esconder a otros programas, procesos, archivos,
directorios, llaves de registro, y puertos que permiten al intruso mantener el
acceso a un sistema para remotamente comandar acciones o extraer
información sensible, a menudo con fines maliciosos o destructivos. Existen
rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o
Microsoft Windows.
Algunas versiones españolas de programas lo han traducido como quot;Encubridorquot;.
Adware
Un programa adware es cualquier programa que automáticamente se ejecuta,
muestra o baja publicidad al computador después de instalado el programa o
mientras se está utilizando la aplicación.
Algunos programas adware son también shareware, y en estos los usuarios
tiene la opción de pagar por una versión registrada o con licencia, que
normalmente elimina los anuncios.
Algunos programas adware han sido criticados porque ocasionalmente incluyen
código que realiza un seguimiento de información personal del usuario y la pasa

24. a terceras entidades, sin la autorización o el conocimiento del usuario. Esta
práctica se conoce como spyware, y ha provocado críticas de los expertos de
seguridad y los defensores de la privacidad, incluyendo el Electronic Privacy
Information Center. Otros programas adware no realizan este seguimiento de
información personal del usuario.
Existen programas destinados a ayudar al usuario en la búsqueda y
modificación de programas adware, para bloquear la presentación de los
anuncios o eliminar las partes de spyware. Para evitar una reacción negativa,
con toda la industria publicitaria en general, los creadores de adware deben
equilibrar sus intentos de generar ingresos con el deseo del usuario de no ser
molestado.
Spywares
Spyware es un término utilizado para designar cierto tipo de software que
provoca determinados comportamientos, como aparición de anuncios,
recopilación de información personal o modificación de la configuración de un
equipo sin el consentimiento del usuario.
Con frecuencia, el spyware se asocia con software que muestra publicidad
(adware) o que realiza un seguimiento de información personal o confidencial.
Esto no significa que todo el software que muestra anuncios o que realiza un
seguimiento de su actividad en línea sea maligno. Por ejemplo, el usuario
puede suscribirse a un servicio de música gratuita, pero el pago por dicho
servicio consiste justamente en la aceptación de recibir a cambio publicidad. Si
entiende los términos y los acepta, el usuario reconoce con ello que dicho
acuerdo es justo. Puede también permitir que la compañía realice un
seguimiento de sus actividades en línea para poder determinar el tipo de
anuncios que desea mostrarle.
Otro tipo de spyware realiza modificaciones en el equipo que pueden resultar
molestas y hacer que su funcionamiento sea más lento o que se bloquee.
Estos programas pueden modificar la página de inicio del explorador o la de
búsqueda, o bien agregar componentes al explorador que el usuario no
necesita o no desea. También pueden dificultar los intentos de devolver la
configuración a los valores que tenía originalmente.

25. En todos los casos, la clave está en si el usuario sabe lo que hace el software y
si ha aceptado o no instalar dicho software en el equipo.
El spyware y el software no deseado pueden entrar en el equipo de varias
maneras. Un caso común es cuando se instala de manera encubierta durante la
instalación de otro software que usted desea instalar, como software de uso
compartido de archivos de música o vídeo.
Siempre que instale algo en el equipo, asegúrese de leer con detenimiento toda
la información, incluido el contrato de licencia y la declaración de privacidad. En
ocasiones, la inclusión de software no deseado en la instalación de un
determinado programa está documentada, aunque sea al final del contrato de
licencia o de la declaración de privacidad.
Firewall (Cortafuegos)
Un cortafuegos (o firewall en inglés) es un elemento de hardware o software
que se utiliza en una red de computadoras para controlar las comunicaciones,
permitiéndolas o prohibiéndolas según las políticas de red que haya definido la
organización responsable de la red. Su modo de funcionar es indicado por la
recomendación RFC 2979, que define las características de comportamiento y
requerimientos de interoperabilidad. La ubicación habitual de un cortafuegos es
el punto de conexión de la red interna de la organización con la red exterior,
que normalmente es Internet; de este modo se protege la red interna de
intentos de acceso no autorizados desde Internet, que puedan aprovechar
vulnerabilidades de los sistemas de la red interna.

26. También es frecuente conectar al cortafuegos a una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organización
que deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado añade protección a una instalación
informática, pero en ningún caso debe considerarse suficiente. La seguridad
informática abarca más ámbitos y más niveles de trabajo y protección.
Tipos de cortafuegos
Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos
TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según
los distintos campos de los paquetes IP: dirección IP origen, dirección IP
destino. A menudo en este tipo de cortafuegos se permiten filtrados según
campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el
puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa
2 Modelo OSI) como la dirección MAC.
Cortafuegos de capa de aplicación
Trabaja en el nivel de aplicación (nivel 7), de manera que los filtrados se
pueden adaptar a características propias de los protocolos de este nivel. Por
ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a
la que se está intentando acceder.
Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse Proxy, y permite
que los computadores de una organización entren a Internet de una forma
controlada.
Cortafuegos personal
Es un caso particular de cortafuegos que se instala como software en un
computador, filtrando las comunicaciones entre dicho computador y el resto de
la red y viceversa.

27. Políticas del cortafuegos
Hay dos políticas básicas en la configuración de un cortafuegos que cambian
radicalmente la filosofía fundamental de la seguridad en la organización:
* Política restrictiva: Se deniega todo el tráfico excepto el que está
explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que
habilitar expresamente el tráfico de los servicios que se necesiten.
* Política permisiva: Se permite todo el tráfico excepto el que esté
explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser
aislado básicamente caso por caso, mientras que el resto del tráfico no será
filtrado.
La política restrictiva es la más segura, ya que es más difícil permitir por error
tráfico potencialmente peligroso, mientras que en la política permisiva es
posible que no se haya contemplado algún caso de tráfico peligroso y sea
permitido por omisión.
Limitaciones de un cortafuegos
* Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no
pase a través de él.
* El cortafuegos no puede proteger de las amenazas a las que está sometido
por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a
espías corporativos copiar datos sensibles en medios físicos de almacenamiento
(diskettes, memorias, etc.) y sustraerlas del edificio.
* El cortafuegos no puede proteger contra los ataques de ingeniería social.
* El cortafuegos no puede proteger contra los ataques posibles a la red
interna por virus informáticos a través de archivos y software. La solución real
está en que la organización debe ser consciente en instalar software antivirus
en cada máquina para protegerse de los virus que llegan por cualquier medio
de almacenamiento u otra fuente.
* El cortafuegos no protege de los fallos de seguridad de los servicios y
protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y
cuidar la seguridad de los servicios que se publiquen a Internet.

28. Ventajas de un cortafuegos
* Protege de intrusiones.- El acceso a ciertos segmentos de la red de una
organización sólo se permite desde máquinas autorizadas de otros segmentos
de la organización o de Internet.
* Protección de información privada.- Permite definir distintos niveles
de acceso a la información, de manera que en una organización cada grupo de
usuarios definido tendrá acceso sólo a los servicios y la información que le son
estrictamente necesarios.
* Optimización de acceso.- Identifica los elementos de la red internos y
optimiza que la comunicación entre ellos sea más directa. Esto ayuda a
reconfigurar los parámetros de seguridad.