SEGURIDAD DE REDES
1 view
Skip to first unread message
Huascar Erazo
Jul 5, 2011, 6:14:34 PM7/5/11
to UNEFA-RedesTelecom
SEGURIDAD Y SOLUCIONES DE REDES CONMUTADAS
Las redes conmutadas son más variadas que las anteriores formas de
conexión en red. Esto aporta ventajas como la flexibilidad y la mejora
en el rendimiento, pero se incurre en mayores riesgos de seguridad. Al
tener tal cantidad de puertos adicionales de conmutación unidos a la
red, la posibilidad de que se produzcan fallos de seguridad aumenta.
La seguridad se ha convertido en uno de los aspectos críticos de TI,
acentuado por las cuestiones que rodean al e-business y la presencia
cada vez mayor de tráfico IP en las redes privadas. Conviene coordinar
las estrategias de seguridad y de gestión de red para lograr el máximo
control y protección. Si bien se ha incluido un capítulo sobre
seguridad en todas las Guías Tecnológicas de 3Com, el presente
capítulo se centra fundamentalmente en la seguridad de la red interna.
El motivo para adoptar este enfoque concreto es que hasta un 70 por
ciento de las brechas en la seguridad de una red se producen en el
seno de la propia organización, según estudios realizados por el
Departamento de Comercio e Industria en el Reino Unido y por el FBI en
EE.UU. Las medidas de seguridad que aquí se detallan pueden aplicarse
a todas las formas de seguridad, tanto interna como externa. Las
brechas de seguridad provocan múltiples problemas en aquellas
organizaciones que utilizan redes: los ataques de denegación de
servicio pueden inundar los sistemas unidos a la Web con un gran
volumen de datos inútiles; se pueden poner en peligro activos críticos
de la empresa o espiar datos sensibles, incluyendo información
confidencial de terceros. Cualquier brecha que saliese a la luz podría
minar la confianza de los mercados y de los clientes en la empresa
afectada, así como provocar gastos considerables, tales como el efecto
del tiempo de inactividad cuando la red se tiene que desconectar.
A pesar de que la seguridad es una cuestión de tal importancia, ello
no significa necesariamente que las empresas se hayan puesto en marcha
de forma unánime para asegurar sus redes. En realidad, un estudio de
DTI en 2000 reveló que sólo una de cada siete empresas analizadas
había diseñado una estrategia de seguridad plenamente implementada. Se
puede argumentar lógicamente que el alto nivel de brechas internas de
la seguridad va emparejado a esta estadística. Si no es la propia
dirección de la empresa quien impulsa la seguridad de la red y la
coloca bajo estricto control de gestión, antes o después surgirán los
problemas.
La amenaza interna
Circulan muchas historias impactantes acerca de la piratería externa,
sin embargo la amenaza real se encuentra en el seno de las
organizaciones. En ocasiones, las brechas internas provienen de
empleados descontentos, pero otro factor clave es la laxitud del
personal, que no se encargan de proteger adecuadamente sus contraseñas
y claves de cifrado. Esto incluye el dejar escritas sus contraseñas y
no emplear adecuadamente el sistema de cifrado, como por ejemplo al
incluir la clave de descifrado en el mismo mensaje donde figura la
clave contraria de cifrado. Una de las características principales de
las redes modernas es la necesidad de permitir el acceso a sus
recursos a tantas personas como sea posible. Inevitablemente, esto
implica aplicar las medidas de seguridad únicamente allí donde sean
estrictamente necesarias. Un despliegue excesivo de tecnología de
seguridad puede impactar la capacidad de uso de la red, absorber ancho
de banda y confundir a los usuarios, pues se ven obligados a recordar
múltiples contraseñas y similares. Un método útil consiste en
asegurarse de que la LAN está segmentada de tal forma que los usuarios
tienen pleno acceso a los recursos autorizados, pero se impide el
acceso a los restantes. Para reducir aún más los riesgos de abuso
interno del ancho de banda, es importante que todos los conmutadores y
equipos de red se hayan configurado con funciones de protección por
contraseña, firewalls (cortafuegos) y traducción de direcciones de red
(NAT). NAT condiciona las direcciones autorizadas para uso por las
distintas partes implicadas.
Si se colocan conmutadores seguros en el borde de la red, se facilita
la disponibilidad y sencillez de uso de la red, pero se bloquean al
mismo tiempo otros recursos ante accesos de personas no autorizadas.
Sometidas a una dirección estricta desde el centro, estas soluciones
pueden tener también un control local de gestión de seguridad. Todas
las claves de cifrado, contraseñas e incluso la lógica de la empresa
han de alojarse en sistemas fuertemente protegidos.
Nociones básicas de seguridad de la red
Existen numerosos elementos que conforman el enfoque global de
seguridad. Entre los elementos básicos para la seguridad de una red
podemos citar los siguientes:
Protección física: Aquí se incluye la instalación de los ordenadores y
equipos de red en un entorno seguro, así como instalar firewalls para
todas las baterías de módems y de conexiones a Internet. Es necesario
destruir todos aquellos documentos sensibles, incluyendo los disquetes
que se utilicen. Todas las claves de software digital de cifrado han
de guardarse en tarjetas inteligentes, nunca en disquetes. Las
contraseñas no deben escribirse, ni escribir los PINs en las tarjetas
de identidad. Todos los equipos portátiles han de guardarse bajo
llave, pues si se accede a ellos se podría detectar información
sensible relativa a contraseñas y claves de cifrado.
Autenticación de usuarios: Los usuarios se pueden autenticar mediante
diversos métodos, incluyendo lecturas biométricas tales como la huella
dactilar. Pero las dos formas más comunes son mediante la posesión de
una ficha, como por ejemplo una tarjeta inteligente o un certificado
digital, o mediante el conocimiento de unas contraseñas adecuadas.
Este último proceso se denomina de “desafío y respuesta”.
Control de Acceso: Se ejerce el control sobre el acceso a redes,
ordenadores y aplicaciones, de modo que sólo se permite a un cierto
tráfico acceder a unos grupos concretos. Entre las técnicas que se
emplean cabe destacar los firewalls, con acceso condicionado mediante
diversas medidas, tales como nombre de usuario y contraseña, tipo de
servicio que se solicita, ubicación del destino en términos de red y
ordenador, o bien por la dirección en la red del remitente. Se han
desarrollado firewalls especializados para filtrar paquetes de datos y
actuar como servidores prox y, ocultando así las direcciones internas
de IP de carácter crítico.
Cifrado: Se añade así un nivel adicional de protección, dado que los
datos viajan por distintas redes. Se evita la interceptación de los
mensajes y el acceso fácil a los datos cifrados. Se necesitan unas
claves específicas para desbloquear la información, por lo que incluso
en el caso de que se intercepten los paquetes de datos, el material
seguiría siendo ilegible. Cuanto más potente sea el algoritmo de
seguridad subyacente, más difícil será romper el código. Un buen
ejemplo de sistema reciente de cifrado es PKI, o infraestructura de
clave pública, donde las claves de bloqueo y desbloqueo se alojan en
partes distintas.
Gestión de Seguridad: Se debe establecer una autoridad central, con
intervención humana en vez de ser un proceso automatizado, para
verificar las identidades y asegurarse de que la red sigue siendo
segura. Una herramienta útil para este cometido es un sistema de
directorio, como por ejemplo el NDS de Novell, el Active Directory de
Microsoft y otras implementaciones basadas en el estándar del
Protocolo Ligero de Acceso a Directorios. En un directorio se puede
almacenar toda la información de los usuarios, sus derechos de acceso
y enumerar sus certificados y otros privilegios de seguridad que se
les asignen. Se deben aplicar medidas estrictas de inicio de sesión y
autenticación a la consola de gestión, dispositivo de la máxima
importancia.
El tráfico de IP y otras cuestiones
Un estándar fundamental de reciente aparición para garantizar el
tráfico en Internet es IPsec, capaz de regular paquetes IP por redes
públicas y privadas. IPsec, desarrollado por el Grupo de Trabajo de
Ingeniería en Internet, se basa en el establecimiento de
comunicaciones bidireccionales entre entidades, que deben tener de
antemano una asociación de seguridad designada. Dichas asociaciones
son un encabezado de autenticación y una carga encapsulada de
seguridad, donde se cifran los paquetes a intercambiar. Para un
correcto funcionamiento de IPsec, hay que mantener una base de datos
de políticas de seguridad. El despliegue de productos de red seguros
puede ayudar a optimizar la seguridad. Por ejemplo, las tarjetas de
servidor de red de 3Com permiten el acceso únicamente a recursos
concretos en las plataformas clave y a las personas autorizadas,
mientras que imponen restricciones de acceso en otros casos. I
Psec forma parte ya del sistema Windows 2000 de Microsoft, lo que
proporciona cifrado directamente desde el propio sistema operativo.
También es posible delegar tareas relativas a seguridad en las
tarjetas adaptadoras de red, tales como las que proporciona 3Com, para
así reducir la utilización de la CPU e incrementar el rendimiento de
la red.
Si quiere saber más acerca de las medidas de seguridad necesarias para
otros tipos de redes, le rogamos que consulte las restantes guías de
esta colección. Entre ellas se incluyen Soluciones de Telefonía en
Red, Soluciones de Redes Inalámbricas y Acceso Rápido a Internet. Está
prevista una guía adicional centrada exclusivamente en los aspectos de
seguridad de las redes.
Las redes conmutadas son más variadas que las anteriores formas de
conexión en red. Esto aporta ventajas como la flexibilidad y la mejora
en el rendimiento, pero se incurre en mayores riesgos de seguridad. Al
tener tal cantidad de puertos adicionales de conmutación unidos a la
red, la posibilidad de que se produzcan fallos de seguridad aumenta.
La seguridad se ha convertido en uno de los aspectos críticos de TI,
acentuado por las cuestiones que rodean al e-business y la presencia
cada vez mayor de tráfico IP en las redes privadas. Conviene coordinar
las estrategias de seguridad y de gestión de red para lograr el máximo
control y protección. Si bien se ha incluido un capítulo sobre
seguridad en todas las Guías Tecnológicas de 3Com, el presente
capítulo se centra fundamentalmente en la seguridad de la red interna.
El motivo para adoptar este enfoque concreto es que hasta un 70 por
ciento de las brechas en la seguridad de una red se producen en el
seno de la propia organización, según estudios realizados por el
Departamento de Comercio e Industria en el Reino Unido y por el FBI en
EE.UU. Las medidas de seguridad que aquí se detallan pueden aplicarse
a todas las formas de seguridad, tanto interna como externa. Las
brechas de seguridad provocan múltiples problemas en aquellas
organizaciones que utilizan redes: los ataques de denegación de
servicio pueden inundar los sistemas unidos a la Web con un gran
volumen de datos inútiles; se pueden poner en peligro activos críticos
de la empresa o espiar datos sensibles, incluyendo información
confidencial de terceros. Cualquier brecha que saliese a la luz podría
minar la confianza de los mercados y de los clientes en la empresa
afectada, así como provocar gastos considerables, tales como el efecto
del tiempo de inactividad cuando la red se tiene que desconectar.
A pesar de que la seguridad es una cuestión de tal importancia, ello
no significa necesariamente que las empresas se hayan puesto en marcha
de forma unánime para asegurar sus redes. En realidad, un estudio de
DTI en 2000 reveló que sólo una de cada siete empresas analizadas
había diseñado una estrategia de seguridad plenamente implementada. Se
puede argumentar lógicamente que el alto nivel de brechas internas de
la seguridad va emparejado a esta estadística. Si no es la propia
dirección de la empresa quien impulsa la seguridad de la red y la
coloca bajo estricto control de gestión, antes o después surgirán los
problemas.
La amenaza interna
Circulan muchas historias impactantes acerca de la piratería externa,
sin embargo la amenaza real se encuentra en el seno de las
organizaciones. En ocasiones, las brechas internas provienen de
empleados descontentos, pero otro factor clave es la laxitud del
personal, que no se encargan de proteger adecuadamente sus contraseñas
y claves de cifrado. Esto incluye el dejar escritas sus contraseñas y
no emplear adecuadamente el sistema de cifrado, como por ejemplo al
incluir la clave de descifrado en el mismo mensaje donde figura la
clave contraria de cifrado. Una de las características principales de
las redes modernas es la necesidad de permitir el acceso a sus
recursos a tantas personas como sea posible. Inevitablemente, esto
implica aplicar las medidas de seguridad únicamente allí donde sean
estrictamente necesarias. Un despliegue excesivo de tecnología de
seguridad puede impactar la capacidad de uso de la red, absorber ancho
de banda y confundir a los usuarios, pues se ven obligados a recordar
múltiples contraseñas y similares. Un método útil consiste en
asegurarse de que la LAN está segmentada de tal forma que los usuarios
tienen pleno acceso a los recursos autorizados, pero se impide el
acceso a los restantes. Para reducir aún más los riesgos de abuso
interno del ancho de banda, es importante que todos los conmutadores y
equipos de red se hayan configurado con funciones de protección por
contraseña, firewalls (cortafuegos) y traducción de direcciones de red
(NAT). NAT condiciona las direcciones autorizadas para uso por las
distintas partes implicadas.
Si se colocan conmutadores seguros en el borde de la red, se facilita
la disponibilidad y sencillez de uso de la red, pero se bloquean al
mismo tiempo otros recursos ante accesos de personas no autorizadas.
Sometidas a una dirección estricta desde el centro, estas soluciones
pueden tener también un control local de gestión de seguridad. Todas
las claves de cifrado, contraseñas e incluso la lógica de la empresa
han de alojarse en sistemas fuertemente protegidos.
Nociones básicas de seguridad de la red
Existen numerosos elementos que conforman el enfoque global de
seguridad. Entre los elementos básicos para la seguridad de una red
podemos citar los siguientes:
Protección física: Aquí se incluye la instalación de los ordenadores y
equipos de red en un entorno seguro, así como instalar firewalls para
todas las baterías de módems y de conexiones a Internet. Es necesario
destruir todos aquellos documentos sensibles, incluyendo los disquetes
que se utilicen. Todas las claves de software digital de cifrado han
de guardarse en tarjetas inteligentes, nunca en disquetes. Las
contraseñas no deben escribirse, ni escribir los PINs en las tarjetas
de identidad. Todos los equipos portátiles han de guardarse bajo
llave, pues si se accede a ellos se podría detectar información
sensible relativa a contraseñas y claves de cifrado.
Autenticación de usuarios: Los usuarios se pueden autenticar mediante
diversos métodos, incluyendo lecturas biométricas tales como la huella
dactilar. Pero las dos formas más comunes son mediante la posesión de
una ficha, como por ejemplo una tarjeta inteligente o un certificado
digital, o mediante el conocimiento de unas contraseñas adecuadas.
Este último proceso se denomina de “desafío y respuesta”.
Control de Acceso: Se ejerce el control sobre el acceso a redes,
ordenadores y aplicaciones, de modo que sólo se permite a un cierto
tráfico acceder a unos grupos concretos. Entre las técnicas que se
emplean cabe destacar los firewalls, con acceso condicionado mediante
diversas medidas, tales como nombre de usuario y contraseña, tipo de
servicio que se solicita, ubicación del destino en términos de red y
ordenador, o bien por la dirección en la red del remitente. Se han
desarrollado firewalls especializados para filtrar paquetes de datos y
actuar como servidores prox y, ocultando así las direcciones internas
de IP de carácter crítico.
Cifrado: Se añade así un nivel adicional de protección, dado que los
datos viajan por distintas redes. Se evita la interceptación de los
mensajes y el acceso fácil a los datos cifrados. Se necesitan unas
claves específicas para desbloquear la información, por lo que incluso
en el caso de que se intercepten los paquetes de datos, el material
seguiría siendo ilegible. Cuanto más potente sea el algoritmo de
seguridad subyacente, más difícil será romper el código. Un buen
ejemplo de sistema reciente de cifrado es PKI, o infraestructura de
clave pública, donde las claves de bloqueo y desbloqueo se alojan en
partes distintas.
Gestión de Seguridad: Se debe establecer una autoridad central, con
intervención humana en vez de ser un proceso automatizado, para
verificar las identidades y asegurarse de que la red sigue siendo
segura. Una herramienta útil para este cometido es un sistema de
directorio, como por ejemplo el NDS de Novell, el Active Directory de
Microsoft y otras implementaciones basadas en el estándar del
Protocolo Ligero de Acceso a Directorios. En un directorio se puede
almacenar toda la información de los usuarios, sus derechos de acceso
y enumerar sus certificados y otros privilegios de seguridad que se
les asignen. Se deben aplicar medidas estrictas de inicio de sesión y
autenticación a la consola de gestión, dispositivo de la máxima
importancia.
El tráfico de IP y otras cuestiones
Un estándar fundamental de reciente aparición para garantizar el
tráfico en Internet es IPsec, capaz de regular paquetes IP por redes
públicas y privadas. IPsec, desarrollado por el Grupo de Trabajo de
Ingeniería en Internet, se basa en el establecimiento de
comunicaciones bidireccionales entre entidades, que deben tener de
antemano una asociación de seguridad designada. Dichas asociaciones
son un encabezado de autenticación y una carga encapsulada de
seguridad, donde se cifran los paquetes a intercambiar. Para un
correcto funcionamiento de IPsec, hay que mantener una base de datos
de políticas de seguridad. El despliegue de productos de red seguros
puede ayudar a optimizar la seguridad. Por ejemplo, las tarjetas de
servidor de red de 3Com permiten el acceso únicamente a recursos
concretos en las plataformas clave y a las personas autorizadas,
mientras que imponen restricciones de acceso en otros casos. I
Psec forma parte ya del sistema Windows 2000 de Microsoft, lo que
proporciona cifrado directamente desde el propio sistema operativo.
También es posible delegar tareas relativas a seguridad en las
tarjetas adaptadoras de red, tales como las que proporciona 3Com, para
así reducir la utilización de la CPU e incrementar el rendimiento de
la red.
Si quiere saber más acerca de las medidas de seguridad necesarias para
otros tipos de redes, le rogamos que consulte las restantes guías de
esta colección. Entre ellas se incluyen Soluciones de Telefonía en
Red, Soluciones de Redes Inalámbricas y Acceso Rápido a Internet. Está
prevista una guía adicional centrada exclusivamente en los aspectos de
seguridad de las redes.
Reply all
Reply to author
Forward
0 new messages