Mecanismos de Seguridad

Desde que el hombre ha tenido algo importante que proteger, ha encontrado varios métodos de asegurarlo.
La seguridad física describe las medidas que  previenen o detectan ataques de acceso a un recurso o información almacenado en un medio físico, la seguridad física es un factor muy importante para la seguridad informática.
Fig.1 Representación de equipo físico protegido.

Las acciones de seguridad que están involucradas con la seguridad física intentan proteger los activos de condiciones físicas como el clima, desastres naturales, etc.

Actualmente existen  EPS (Electronic Physical Security -  Seguridad física electrónica), como detectores de fuego, controles de acceso por medio de sensores biométricos, entre otros.
  • Vandalismo
  • Robo
  • Desastres humanos
  • Desastres naturales
  • Incendios
  • Agua.
  • Explosiones.
  • Ataques terroristas.
  • Fallas de alimentación.
  • Acceso no autorizado.
Factores que afectan la seguridad física.
Se recomienda un check List – listado de procedimientos, de las actividades y activos de una empresa, para determinar los activos que se deben de proteger, por ejemplo: 
  • Alrededores de la compañía
  • Recepción
  • Servidores 
  • Área de trabajo
  • Redes inalámbricas
  • Control de acceso
  • Accesos remotos
MECANISMOS DE MONITOREO, DE CONTROL Y SEGUIMIENTO.
El monitoreo es una de las actividades que permite tener mejor acotada la seguridad de la organización debido a que permite observar los comportamientos normales y anormales en los sistemas. 
Si se enfoca al monitoreo de la red de una organización  los dispositivos que  permiten realizar esta tarea son escogidos a partir de la propia arquitectura de red, por medio de puertos mirror,  firewall y sniffers.
Muchos de los equipos activos en la actualidad permiten su administración y definición de servicios tanto de hardware, como de software, un ejemplo de estos son las diferentes maneras de administración por medio de TELNET, SSH, terminal, y Web, así como el manejo de protocolos como SNMP, RMON, redes virtuales y puertos espejo principalmente. 
El alcance de los puertos monitores permite analizar en tiempo real las conexiones de un equipo sin afectar el tráfico 
  • Propósitos de diagnóstico.
  •  Análisis de tráfico: Identificar el tipo de aplicaciones que son más utilizadas.
  • Flujo: conjunto de paquetes con la misma dirección IP origen y destino, mismo puerto y tipo de aplicación.
  •  Sniffer de todos los tipos.
  • Detectores de Intruso.
  •  Creación de bitácoras por  hora, día, mes, etcétera. 
Los mecanismos de control y seguimiento son utilizados en parte para determinar la integridad de la información y equipos, comportamiento, generación de estadísticas, tendencias así como registrar todos los eventos que se produzcan. 
Surgieron como un primer mecanismo de protección perimetral de las redes y hosts, debido al incremento de las redes en los distintos ámbitos comerciales para protegerse de los ataques provenientes de otras redes. 

fig. 2 Representación de un firewall en una red.

Ventajas que se obtienen al implementar un  firewall.
Reducir riesgos, el camino para el  intruso se vuelve complicado, aumentando con ello el grado de seguridad de la red.
En el momento  que se instala un firewall  se tiene mayor control, pues se crea un punto por donde fluye todo el tráfico entrante y saliente el cual puede ser analizado en caso de un posible ataque y con ello mitigar el ataque.

limitantes.
  • Imposible evitar  ataques que no pasen a través de éste, es decir, ataques internos.
  • No es posible detectar ataques de personas que sustraigan información en cualquier tipo de dispositivo de almacenamiento.
  • No puede garantizar la integridad de la información.
  • No puede proteger a un equipo de virus transportados en dispositivos de almacenamiento.
Firewall de red.
Un firewall de red es un mecanismo utilizado como una barrera entre la red  interna y el Internet, por lo que un firewall de red protege a todo un conjunto de equipos dentro de un determinado perímetro.

Firewalls de host.
Un firewall de host, es un tipo de software que se instala en cada equipo, el cual permite proteger un equipo de ataques provenientes de la red externa o de software instalado en el equipo que busque realizar alguna conexión hacia el exterior.

AUDITORÍA, MONITOREO Y DETECCIÓN DE INTRUSOS.
Es posible utilizar sistemas detectores de intrusos los cuales permiten detectar algún comportamiento fuera de la normalidad.
Las auditorías de los sistemas juegan un papel primordial para determinar posibles anomalías y brindar opciones de mejora en el funcionamiento de cualquier sistema.

Auditoría.
Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y cumple las condiciones que le han sido prescritas. 

Sistema detector de intrusos.
Permite  ubicar el uso no autorizado, indebido o ataques contra la red, de manera semejante a los firewalls.
Un IDS puede estar basado en solo software o una combinación de hardware y software pre configurado. 

Seguridad en redes inalámbricas
El objetivo principal es identificar amenazas y vulnerabilidades que puedan afectar las redes WiFi (Wireless Fidelity – Fidelidad Inalámbrica), para poder establecer mecanismos de seguridad que permitan la continuidad y minimizar el impacto de incidentes de seguridad. 
Fig. 3 Representación gráfica de seguridad en la red.

Contemplando las redes inalámbricas como un medio de transmisión de datos, se plantearon medidas que garantizaran cubrir las debilidades de este medio, los mecanismos utilizados en mayor parte en la actualidad son WEP, WPA, WPA2, RADIUS, TACACS y Hotspot principalmente. 

WEP.
El algoritmo WEP  (Wired Equivalent Privacy – Privacidad equivalente a cableado), forma parte de la especificación 802.11, y se diseñó con el fin de proteger los datos que se transmiten en una conexión inalámbrica mediante cifrado.


WPA
WPA  (Wi-Fi Protected Access –Acceso inalámbrico protegido), es un estándar propuesto por los miembros de la Wi-Fi Alliance (que reúne a los grandes fabricantes de dispositivos para WLAN) en colaboración con la IEEE. Este estándar busca subsanar los problemas de WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticación.

WPA2
WPA2 es  el nombre que recibe el estándar  802.11i, introdujo varios cambios fundamentales, como la separación de la autenticación de usuario de la integridad y privacidad de los mensajes, proporcionando una arquitectura robusta y escalable, que sirve igualmente para las redes locales domésticas como para los grandes entornos de redes corporativas.

Hotspot
Hotspot es un mecanismo alternativa utilizada para asegurar redes cableadas e inalámbricas,  ofrece ventajas ya que permite utilizar cuentas de usuarios personalizadas, es decir, cada usuario que desee tener acceso a la red pública deberá de autenticarse.



Snort.
Es un Sistema Detector de Intrusos el cuál se ha convertido en una herramienta indispensable, ya que es una herramienta de gran utilidad, es posible configurarla para que ésta lance alertas en tiempo real, considerado un NIDS ligero y potente, pero ello no le resta funcionalidades, el análisis de paquetes y la generación de bitácoras  forman parte de este IDS. 
Esta herramienta puede ser utilizada de diferentes formas: 
  •  Sniffer.
  •  Generador de bitácoras.
  • NIDS (Network Intrusion Detection System).

Seguridad en equipos finales.
La seguridad en equipos finales implica asegurar de manera lógica y física cada componente que forma parte de la red, ya que no tendría impacto contar con un esquema robusto para garantizar la seguridad  si dichos  dispositivos no cuentan con una configuración adecuada. 
Fig. 5 Representación de seguridad en un equipo.

Actividades de fortalecimiento
El proceso de aseguramiento entre un sistema y otro se rige bajo los mismos principios, por lo que sólo será necesario conocer el sistema y las características específicas de cada uno para asegurar cuestiones particulares de cada uno, algunas de las recomendaciones para asegurar hosts son las
siguientes:
  • Remover o desinstalar programas o componentes innecesarios.
  • Eliminar servicios de red innecesarios.
  • Los servicios compartidos (impresoras).
  • Los accesos a servicios remotos.
  • Evitar fuga de información a través de las sesiones nulas, deshabilitar cuentas de usuarios que no tengan establecida alguna contraseña.
  • Limitar el acceso a los datos o archivos de configuración modificando los permisos y dueño de   los mismos.
  • Mantener una administración adecuada de cuentas de usuarios en los sistemas operativos.
  • Verificar que las cuentas de los usuarios posean contraseñas robustas para evitar que éstas sean obtenidas a través de fuerza bruta o ataques de diccionario.
  • Realizar auditorías para determinar si las contraseñas son lo suficientemente robustas.
  • Un manejo de grupos para establecer las restricciones adecuadas a cada grupo permite llevar un mejor control de asignación de privilegios.
  • Uso de firewalls personales, antivirus, es otra medida que se debe tomar, además de que éstos se deben mantener actualizados. 
  • Switches  y routers  son dispositivos que también deben asegurarse.

Estándares internacionales
No existe una guía específica la cual se deba seguir fielmente  para implementar algún esquema de seguridad en redes debido a  que las necesidades para cada institución o empresa son distintas, sin embargo, existen estándares internacionales  a seguir además de recomendaciones de organizaciones expertas en el  área de seguridad. 

Serie ISO 27000
Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. 

NIST serie 800
La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio, mejorar la calidad de vida.

Políticas de seguridad
Las políticas de seguridad son implementadas como medios para apoyar los controles y mecanismos empleados, cuando el alcance de éstos no permite cubrir todos los aspectos de seguridad considerados.

Permiten definir lineamientos para establecer un límite entre lo que está permitido hacer a los usuarios dentro de la institución y fuera de ella. Las políticas de seguridad establecen el canal formal de actuación del personal en relación con los recursos y servicios informáticos, importantes de la organización. 

Planes de contingencia y recuperación
Los planes de contingencia y recuperación  forman parte del ciclo de seguridad, contar con los planes adecuados permitirá una recuperación mucho más rápida y con ello la continuidad  de  los servicios  que cada institución ofrece, evitando pérdidas económicas o continuidad en el servicio, garantizando con esto una alta disponibilidad.

Las etapas que marca un plan de contingencia son: 
a) Evaluación.
b) Planificación.
c) Pruebas.
d) Ejecución.
e) Recuperación.

Si la recuperación no es inmediata no sólo se tienen pérdidas económicas, existen otras cuestiones que también son importantes como perder la confianza del cliente, niveles de servicios acordados con otras instancias, e incluso implicaciones legales. 

Comentarios

Publicar un comentario

Entradas más populares de este blog

Analizadores de protocolos

Imagen
Introducción Una de las actividades más comunes en la administración de una red o administración de seguridad, es la del análisis de tráfico de dicha red. No sólo el tráfico que fluye a través de nuestra LAN, sino que también debemos analizar el tráfico entrante y saliente hacia internet a través de los servicios que tengamos instalados, proxis, etc. Existen muchas herramientas que pueden sernos muy útiles dependiendo del S.O. y tipo de red, por ejemplo. Una de estas herramientas es un sniffer de red, basada en la librería de captura de paquetes (pcap) y que además funciona en plataformas tanto Windows como GNU/Linux-UNIX, y que hace uso de la librería Winpcap para funcionar correctamente. En el presente documento se abarcarán temas relacionados con el control de tráfico en una red a través de herramientas conocidas cono sniffers, necesarios para la detección de problemas y sobre todo para detectar el tráfico no esperado, presencia de puertas traseras, escaneos y c...
Leer más