UNIDAD 4: SEGURIDAD

4.1 Elementos de seguridadLa disponibilidad, desempeo, confidencialidad, integridad y control de acceso fsico y lgico, proponen un enfoque integral de acercamiento a la seguridad de la informacin que viaja por la red, considerando elementos tales: Switches, Routers, Firewall, IPS/IDS, Gateway, Antivirus, etc. De tal manera que se pueda combinar efectivamente la seguridad de la informacin en los diferentes sistemas hoy disponibles, sin afectar el desempeo de la red y mejorando a su vez la disponibilidad. Todo lo anterior conforma una estrategia integrada para la seguridad en la red.FirewallUn firewall es un sistema de defensa lgico y fsico basado en el hecho de que todo el trfico de entrada o salida a la red debe pasar obligatoriamente por un sistema de seguridad capaz de autorizar, denegar y tomar nota de aquello que ocurre en la red.Tipos de Firewall1- Proxy o Servidor de defensa El proxy es un software, que se instala en una PC (que es aconsejable que sea exclusiva para ese programa) conectada a una red local, buscando funcionar como una puerta lgica.Pueden tener varias aplicaciones, pero generalmente funcionan como firewall. 2- Gateways a nivel-aplicacin El gateway se caracteriza por ser un dispositivo que filtra datos.Tanto los puentes como los routers pueden hacer de gateway, a travs de los cuales entran y salen datos.Los gateways nivel-aplicacin permiten al administrador de red la implementacin de una poltica de seguridad estricta que la que permite un ruteador filtra-paquetes. 3- Ruteador filtra-paquetes Este ruteador toma las decisiones de negar/permitir el paso de cada uno de los paquetes de datos que son recibidos.El ruteador examina cada datagrama para determinar si este corresponde a uno de sus paquetes filtrados y determina si ha sido aprobado por sus reglas.PasswordLa confidencialidad de una informacin puede verse afectada si acceden aella personas que no estn autorizadas para hacerlo. El mtodo de identificacin ms utilizado es el de password, aunque tiene un grado de seguridad bajo si no se utiliza correctamente. . Con respecto a la misma podemos establecer que:

Debe ser secreta. Debe conocerla e ingresarla nicamente el usuario. No se debe anotar con exhibicin publica y menos pegarla en el monitor o escritorio. Debe ser nica para cada usuario.

Identificacion de UsuariosCuando las persona quieren ingresar a nuestro sistema es necesario identificarlos y autorizarlos. El objetivo de esto es autenticar que esa persona sea quien dice ser realmente. A. Verificacin de la voz: Este mtodo consiste en identificar una serie de sonidos y sus caractersticas para validar al usuario. Para que sea eficaz, debe haber ausencia de ruidosB. Verificacin de escritura:El objetivo de este mtodo es autenticar basndose en ciertos rasgos de la firma y de su rbrica. En este mtodo se verifican las siguientes caractersticas: La forma de firmar Las caractersticas dinmicas El tiempo utilizado El ngulo con que se realiza el trazoC. Verificacin de huellas:Es un sistema que determina en forma unvoca la identidad de las personas, porque se sabe no hay dos persona que posean las mismas huellas dactilares. Este mtodo tiene algunas desventajas como por ejemplo la incapacidad de validar en el caso en que el dedo est lastimado, sucio o por el estado de la piel.D. Verificacin de patrones oculares:Este modelo de autenticacin biomtrica se dividen en dos, por un lado los que analizan patrones retinales y por otro lado los que analizan el iris. Este es un sistema muy efectivo para la autenticacin. Ambos sistemas tienen algunas desventajas: La escasa aceptacin entre los usuarios La falta de confianza por parte de los usuarios Su elevado precio

E. Verificacin de la geometra de la mano:La ventaja de este sistema es que al mismo tiempo que autentica al usuario actualiza su base de datos, ante la posibilidad de cambios, sin olvidar la gran aceptacin que tuvo por parte del pblico.

4.2 Elementos a protegerLos recursos que se deben proteger no estn estandarizados, los mismos dependen de cada organizacin y de los productos o servicios a los que la misma se dedique.Bsicamente los recursos que se han de proteger son :Hardware, que es el conjunto formado por todos los elementos fsicos de un sistema informtico, entre los cuales estn los medios de almacenamiento.Software, que es el conjunto de programas lgicos que hacen funcional al hardwareDatos, que es el conjunto de informacin lgica que maneja el software y el hardware.Para los tres elementos a proteger existen cuatro tipos de amenazas:Para los tres elementos a proteger existen cuatro tipos de amenazas:1. Interrupcin, cuando un objeto del sistema se pierde, queda inutilizable o no disponible.2. Interceptacin, cuando un elemento no autorizado consigue un acceso a un determinado objeto del sistema.3. Modificacin, es cuando se altera algn objeto del sistema, una vez adentro del mismo.4. Fabricacin es cuando se cambia algn objeto del sistema por otro de aspecto igual pero con un objetivo distinto.Sin embargo debemos tener en cuenta que cuando nos referimos a seguridad en redes el bien ms preciado a proteger es la "informacin" que circula por la misma.

4.3 Tipos de Riesgos

RIESGOS DE IDENTIDADAbarca los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin.

Estos riesgos se manifiestan en los siguientes componentes de un sistema

Interface del usuarioProcesamiento. Procesamiento de erroresAdministracin de cambiosInformacin

Interface del usuarioSe relacionan con las restricciones, sobre las individualidades de una organizacin y su autorizacin de ejecutar funciones negocio/sistema

ProcesamientoSe relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la informacin ha sido completado.

Procesamiento de erroresSe relacionan con los mtodos que aseguren que cualquier entrada/proceso de informacin de errores (Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.

Administracin de cambiosEstn asociados con la administracin inadecuada de procesos de cambios de organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos.

InformacinEstn asociados con la administracin inadecuada de controles, incluyendo la integridad de la seguridad de la informacin procesada y la administracin efectiva de los sistemas de bases de datos y de estructuras de datos.

RIESGOS DE RELACINSe refieren al uso oportuno de la informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma de decisiones.RIESGOS DE ACCESOEstos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin.

4.4 Mecanismos de seguridad fsica y lgica redes: Control de acceso, respaldos, autenticacin y elementos de proteccin perimetralLa seguridad de red, generalmente, se basa en la limitacin o el bloqueo de operaciones de sistemas remotos.SEGURIDAD FISICASon aquellos mecanismos --generalmente de prevencin y deteccin-- destinados a proteger fsicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la informacin que hay en el sistema, pasando por la propia CPU de la mquina.Dependiendo del entorno y los sistemas a proteger esta seguridad ser ms o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.A continuacin mencionaremos algunos de los problemas de seguridad fsica con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.

Problemas de seguridad fsicaProteccin del hardwareElhardwarees frecuentemente el elemento ms caro de todo sistema informtico y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad fsica de cualquier organizacin.

Problemas a los que nos enfrentamos:Acceso fsicoDesastres naturalesAlteraciones del entorno

Acceso fsicoLa seguridad detodoslos equipos es importante, generalmente si se controla el PC de un usuario autorizado de la red es mucho ms sencillo atacar otros equipos de la misma.Para evitar todo este tipo de problemas deberemos implantar mecanismos deprevencin(control de acceso a los recursos) y dedeteccin(si un mecanismo de prevencin falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los despachos o salas donde hay equipos informticos y no tener cableadas las tomas de red que estn accesibles.Para ladeteccinde accesos se emplean medios tcnicos, como cmaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qu las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.

Seguridad perimetralUna de los principales tareas, desde el unto de vista preventivo, que se va a encontrar un administrador es el diseo y configuracin de la llamada seguridad perimetral, cuya definicin mas inmediata indica que no es mas que el establecimiento de un permetro de seguridad que proteja y aisl a la red local interna y la red local de servicios de la entradas externas, definiendo, un permetro de seguridad mediante el uso de equipamiento especifico configurado para realizar determinados filtros a los paquetes de datos y en definitiva manejar y controlar el acceso a la red interna de la organizacin.

Elementos de seguridad perimetralEl primer control de acceso que se puede aplicar en una red es la segmentacin de los dominios de colisin y difusin. Por tanto los, switchs y routers, encargados los primeros de la segmentacin del dominio de colisin y los segundos adems de la segmentacin del dominio permite definir que equipos se ven sin necesidad de filtrar, simplemente segmento y definiendo la tabla de rutas.

Switchs: Los switchs se considera como un elemento de seguridad ya que permite la segmentacin del dominio de colisin e incluso con las tecnologas de VLANS, de difusin ayudando por tanto a prevenir posibles amenazas contra la confidencialidad e integridad de los datos que circulan por la red.Esta seguridad es la mas eficiente ya que no introduce carga extra al sistema como e caso de la encriptacin (procesos que consumen muchos ciclos de CPU) o el filtrado (aplicar la regla a todos los paquetes que circulan por la red puede suponer, dependiendo del numero de filtros y la cantidad de paquetes a procesar, un anexo de computacin)

Router de seleccin: es un dispositivo de red encargado de redirigir paquetes desde la interfaz a otra utilizando para ellos las reglas de encaminamiento que se le indican por configuracin (encaminamiento esttico) o por un proceso que aprende dichas reglas (encaminamiento dinmico).

Los routers con filtrado de paquetes reciben el nombre de routers de seleccin y suelen ser el elemento principal de casi todas las configuraciones de seguridad perimetral.

SEGURIDAD LGICAConsiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo.Controles de accesoEstos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin, en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la informacin confidencial de accesos no autorizados.Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso.

Los siguientes estndares de seguridad que se refieren a los requisitos mnimos de seguridad en cualquier sistema:

RolesIdentificacin y AutentificacinEl acceso a la informacin tambin puede controlarse a travs de la funcin o rol del usuario que requiere dicho acceso.Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente de un rea usuaria, administrador del sistema, etc.

En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.TransaccionesTambin pueden implementarse controles a travs de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transaccin determinada. Limitaciones a los ServiciosEstos controles se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema.Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a un sexto usuario.

Modalidad de AccesoSe refiere al modo de acceso que se permite al usuario sobre los recursos y a la informacin. Esta modalidad puede ser:

Lectura:el usuario puede nicamente leer o visualizar la informacin pero no puede alterarla. Debe considerarse que la informacin puede ser copiada o impresa.Escritura:este tipo de acceso permite agregar datos, modificar o borrar informacin.Ejecucin:este acceso otorga al usuario el privilegio de ejecutar programas.Borrado:permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificacin.Todas las anteriores. Adems existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicacin:Creacin:permite al usuario crear nuevos archivos, registros o campos.Bsqueda:permite listar los archivos de un directorio determinado.