Unidad 3 Seguridad de Redes

Interconectividad de redes
Unidad 3. Seguridad de redes
Ingeniera en Desarrollo de Software 9 Cuatrimestre
Programa de la asignatura: Interconectividad de redes
Clave: 150930935
Universidad Abierta y a Distancia de Mxico UnADM
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
ndice
Unidad 3 Seguridad de redes ............................................................................................ 3 Presentacin de la unidad ................................................................................................. 3 Propsitos.......................................................................................................................... 3 Competencia especfica..................................................................................................... 3 3. Seguridad de redes........................................................................................................ 4 3.1. Introduccin a la seguridad ......................................................................................... 5 3.1.1. Definicin ................................................................................................................. 6 3.1.2. Criptologa y esteganografa .................................................................................... 8 3.2. Mecanismos de seguridad ........................................................................................ 11 Actividad 1. Tecnologas de encriptacin ......................................................................... 15 3.2.1. Firmas y certificados digitales ................................................................................ 15 3.2.2 Criptografa ............................................................................................................. 17 Actividad 2. Tcnicas de seguridad.................................................................................. 22 3.2.3. Polticas de seguridad ............................................................................................ 23 Autoevaluacin ................................................................................................................ 27 Evidencia de aprendizaje. Esquemas de seguridad de red. ............................................. 28 Autorreflexiones ............................................................................................................... 28 Cierre de la unidad .......................................................................................................... 28 Para saber ms ............................................................................................................... 29 Fuentes de consulta ........................................................................................................ 30
Unidad 3 Seguridad de redes
Presentacin de la unidad
En esta tercera unidad se abordarn temas de seguridad de redes tales como mecanismos y polticas de seguridad, ya que se considera muy importante que conozcas este tema mediante los cuales es posible mantener los sistemas informticos y las redes seguras. Como recordars, mediante las redes se transmite informacin, y dicha informacin puede ser muy especial, o pudiera ser informacin confidencial, si no se cuentan con las polticas o la tecnologa necesarias, la red podra sufrir ataques, por ataque entindase cualquier intervencin ajena a los sistemas informticos o de comunicaciones de una empresa, que pueden resultar en corrupcin de la informacin y degradacin de servicios; y dichos ataques podran poner en riesgo la informacin ya sea de la empresa donde se encuentre instalada una red o la informacin personal de los usuarios de una red. Es por ello que en esta unidad se explicarn las prcticas de seguridad ms comunes a fin de que puedas apoyar en la toma de decisiones sobre la implementacin de algunas de ellas en tus desarrollos de software, por ejemplo, lo ms comn en un sistema es proteger su acceso mediante una contrasea, y esta contrasea debe viajar de manera segura a travs de una red, es decir, encriptada, encriptar es de alguna manera esconder la contrasea para que cuando viaje a travs de la red, sea difcil de leer para alguien que desee interceptar los mensajes y de esta forma garantizar la seguridad en el acceso y la transmisin de informacin mediante las redes.
Propsitos
La presente unidad tiene como propsitos que: Identifiques las diferentes tecnologas de encriptacin. Identifiques las tcnicas de seguridad de una red. Relaciones los mecanismos de seguridad con los requerimientos de administracin de red.
Competencia especfica
Configurar una interconectividad de redes de rea extensa para determinar los mtodos de seguridad a partir de los requerimientos especficos 3
3. Seguridad de redes
Las redes informticas y entre ellas internet, son uno de los mayores peligros que existen en la seguridad de un sistema informtico, ya que actualmente la mayora de amenazas y ataques provienen del exterior a travs de la red (Garca y Alegre, 2011, pg. 45). La nica manera de tener segura la informacin de un equipo de cmputo es no conectndolo a ninguna red, pero esto no hara nada funcional a ese equipo de cmputo, los recursos a los cuales podra acceder y o compartir, seran muy limitados. Las redes informticas al dar interconectividad a diversidad de equipos se vuelven inseguras, ya que existen muchas personas accediendo a la red para intercambiar informacin, como muchas de estas personas tienen poco o nulo conocimiento de informtica en general, son un blanco fcil para atacar. La seguridad de redes nace de la misma inseguridad que se genera en las redes, inseguridad que se crea a veces con el simple hecho de poner contraseas simples, o no configurar correctamente un equipo de cmputo, o que al instalar un software no se personalice adecuadamente, etctera. La seguridad de redes es parte de algunas otras reas de especializacin dentro de la seguridad de la informacin, las cuales son segn Areitio (2008): Gestin de seguridad: Que se refiere al establecimiento de polticas y procedimientos informticos que establece la alta direccin de una empresa. Seguridad de las operaciones: Que establece controles de identidad, audita y monitoriza accesos a equipo de red y de cmputo. Gestin de riesgos: Que da respuesta y recuperacin a la gestin de riesgos, identifica los riesgos, los prioriza y con base en ello establece tiempos de respuesta y de recuperacin en caso de desastre. Seguridad en redes y telecomunicaciones: Que asegura la red utilizando equipos de red, por ejemplo firewalls o utilizando protocolos seguros por ejemplo https en vez de http, como recordars del curso de fundamentos de redes, la diferencia entre http y https es la palabra secure, ambos protocolos tienen las siglas http, Hypertext Transfer Protocol, que en espaol es Protocolo de Transferencia de Hipertexto, el hipertexto es lo que se conoce como links de internet. En el protocolo Hypertext Transfer Protocol Secure o https, la palabra secure, indica que este protocolo permitir que la transferencia de hipertexto sea segura, usando algoritmos de encripcin. Criptologa: Es una tcnica mediante la cual se cifra, descifra, se firma digitalmente y se ocultan ficheros y mensajes mediante un proceso llamado esteganografa.
Esquema de un ataque (Secur-IT @C.R.S, 2011b)
En el esquema anterior se muestra un tpico ataque a la informacin de un usuario que se conecta a un servidor, y se observa que el atacante est en medio del usuario y del servidor, perpetrando el ataque. Es comn que en estos ataques, el atacante, est observando todo lo que el usuario enva al servidor, en algunos casos el atacante puede hacerse pasar por el usuario, en todos los casos, el atacante obtiene informacin o se hace pasar por otra persona a fin de sacar ms informacin o algn provecho, para mitigar esto, se puede hacer uso de una red privada virtual o VPN (por sus siglas en ingls de Virtual Private Network), una VPN no tiene que ser forzosamente conectada con una red empresarial, actualmente existen diversidad de servicios de VPN que ofrecen privacidad al enviar la informacin o recibirla, en el caso de tener una VPN, podra haber un atacante en el medio, que antes de atacar, deber de descifrar toda la informacin que recibe, ya que cifrada no le sirve de nada, y por tanto, no podr perjudicar al usuario, el tema de cifrado se ver ms adelante, slo se hizo la aclaracin para que notes la importancia de la seguridad en las redes y en los sistemas informticos. En la presente unidad se revisarn aspectos de seguridad como la criptografa y esteganografa, firmas y certificados digitales y polticas de seguridad que permiten hacer a las redes ms seguras y considerando el antecedente de la asignatura Fundamentos de redes donde se toc el tema de firewalls, y en la unidad 2 de esta asignatura se revis VPN, adems de que ya se ha hablado de protocolos seguros.
3.1. Introduccin a la seguridad

La seguridad de redes, forma parte de la seguridad en sistemas de informacin pues es informacin finalmente lo que se enva a travs de las redes. El mbito de la aplicacin de seguridad de los sistemas de informacin abarca el desarrollo, la operacin, la administracin y el mantenimiento de sistemas y aplicaciones (Areitio, 2008).
De manera muy vertiginosa, las redes informticas han adquirido mayor tamao y mayor importancia. Si la seguridad de la red se ve afectada, tendra consecuencias graves, como la prdida de privacidad o el robo de informacin. Aunado a esto y para hacer ms compleja la situacin, las amenazas potenciales a la seguridad de las redes informticas se encuentran siempre en evolucin (Cisco, 2013b). A medida que el comercio electrnico y las aplicaciones de Internet siguen creciendo, es muy difcil encontrar el equilibrio entre estar aislado y abierto. Adems, el aumento del comercio mvil y de las redes inalmbricas exige soluciones de seguridad perfectamente integradas, ms transparentes y ms flexibles (Cisco, 2013b). Como puedes observar la seguridad de las hoy llamadas tecnologas de la informacin y de la comunicacin (TIC), es muy importante, como futuro Ingeniero en Desarrollo de Software, es algo que no debes dejar pasar por alto a la hora de desarrollar, probar y echar a andar una aplicacin en un entorno ya sea intranet o internet.
3.1.1. Definicin
La tendencia, cada vez ms dominante, hacia la interconectividad e interoperabilidad de redes, de los equipos de cmputo (PC, lap top, smartphones) y de las aplicaciones que utilizan las organizaciones ha situado a la seguridad de los sistemas de informacin como un elemento central en el desarrollo de la sociedad (Areitio, 2008). Pero y qu es la seguridad informtica?, segn Cervign y Garca (2011, pg. 2) "la seguridad informtica se puede definir como un conjunto de procedimientos, dispositivos y herramientas encargadas de asegurar la integridad, disponibilidad y privacidad de la informacin en un sistema informtico e intentar reducir las amenazas que pueden afectar al mismo." La seguridad informtica implica las polticas, estndares y procedimientos usados para mantener segura la informacin y para ello es necesario considerar los objetivos principales de la seguridad, los cuales, segn Areitio (2008, pg. 3) son: 1. Disponibilidad y accesibilidad de los sistemas y datos, slo para su uso autorizado. 2. Integridad. 3. Confidencialidad de datos y de la informacin del sistema. 4. Responsabilidad a nivel individual (registros de auditora). 5. Confiablidad. A continuacin se explicar a detalle cada uno de los puntos anteriores.
1. Disponibilidad y accesibilidad de los sistemas y datos, slo para su uso autorizado. Es decir, los sistemas informticos deben estar disponibles y accesibles para los usuarios con acceso autorizado. La disponibilidad y accesibilidad a un sistema informtico la proporciona el administrador de dichos recursos. En la prctica es muy difcil proporcionar una disponibilidad del 100% a los sistemas y a los datos, ya que los sistemas, por ejemplo, se encuentran en equipos fsicos que se alimentan de energa elctrica, y el suministro de energa elctrica escapa al control de los administradores de un sistema informtico, aunque el recibo de energa elctrica, se pague mes con mes, no es posible controlar que un da el suministro de energa elctrica se vea interrumpido, tal vez por una sobre carga a la planta. Otra razn por la que es difcil garantizar una disponibilidad del 100% de los sistemas y de los datos, es porque es muy posible que una red se interconecte con redes ajenas y que obviamente tampoco es posible controlar, pero aun cuando sea complicado ofrecer una disponibilidad del 100%, se deber trabajar porque la disponibilidad sea muy cercana a este nmero. Los accesos autorizados a un sistema se refieren comnmente a los accesos de tipo controlado, por ejemplo utilizando un nombre de usuario y una contrasea o password. 2. Integridad. Esta garantiza que la informacin no haya sido alterada por un tercero y que llegue a su destino en forma ntegra, es decir, tal como el usuario enva la informacin la recibir el usuario receptor, la integridad debe observarse en dos mbitos: Integridad de datos. Es la propiedad de los datos que indica si los datos no han sido alterados de forma no autorizada, mientras se procesan, almacenan o transmiten. Segn Stallings (2004, pg. 10) la integridad de los datos se refiere a "la seguridad de que los datos recibidos son exactamente como los envi una entidad autorizada (no contiene modificacin, insercin, omisin, ni repeticin)." Comnmente para verificar esta propiedad existen herramientas que escanean la informacin y generan, de acuerdo al tamao y al tipo de archivo, un cdigo al que se le denomina hash. Se debe verificar que coincida con el otro hash que se crea cuando se almacena o antes de transmitir. Integridad del sistema. Es la cualidad que posee un sistema cuando realiza sus funciones de manera normal, sin ser manipuladas sus funciones por un tercero que no est autorizado. 3. Confidencialidad de datos y de la informacin del sistema. Es requisito indispensable que los datos y la informacin de un sistema sean privados y que no puedan ser ledos para usuarios no autorizados. La diferencia entre integridad y confidencialidad, es que el primero se refiere a que no haya sufrido cambios la informacin y el segundo a que la informacin no sea visible para quien no va dirigido el mensaje.
4. Responsabilidad a nivel individual (registros de auditora). Es la capacidad que debe tener un sistema de guardar registros por cada usuario que se conecte a un sistema, esto con el fin de llevar bitcoras de uso para detectar anomalas de uso en un sistema. 5. Confiabilidad. Es el aseguramiento de que existen las polticas adecuadas para proteger la informacin y los datos y en caso de desastre que exista un plan de recuperacin de este desastre. De lo anterior es posible decir que para que exista disponibilidad y acceso a los sistemas y datos deben existir las condiciones de seguridad (acceso a usuarios a los sistemas) y de infraestructura (red y energa de los equipos que proporcionan los servicios) necesarias para que la disponibilidad y el acceso a los sistemas sea muy cercano al 100%. Para que exista integridad de datos, deben existir mtodos o procedimientos que permitan que no se corrompan los datos, por ejemplo, para acceder a los datos se puede restringir el acceso mediante algunos datos confidenciales como el nombre de usuario y la contrasea o password de manera tal que slo los usuarios que legtimamente dispongan del acceso puedan hacer uso de l. Para la confidencialidad de datos se pueden usar mtodos como encriptacin o esteganografa, los cuales se revisarn en el siguiente tema, para este momento basta con saber que encriptar es ocultar la informacin siguiendo un cdigo, y esteganografa es ocultar la existencia de un mensaje, ms no su contenido. Para los registros de auditora, es altamente recomendable habilitar el registro de logs, de los sistemas de cmputo o de red que se desean proteger. Los logs son las bitcoras de los sistemas en donde se guarda la informacin de determinados eventos, por ejemplo existen logs de aplicaciones, de sistema, de usuarios, etc. La confiabilidad existe cuando estas u otras prcticas de seguridad se han puesto en marcha y ayudan al administrador del sistema informtico o de comunicacin a contar con sistemas ms confiables.
3.1.2. Criptologa y esteganografa

La importancia de la criptologa se ilustra en el siguiente ejemplo de aplicacin, supongamos que dos pases en guerra envan mensajes entre sus pases aliados con el fin de transmitir un mensaje de ayuda, qu pasara si este mensaje de ayuda fuera interceptado por fuerzas enemigas? Y peor an que el mensaje fuera fcilmente ledo por el enemigo, bueno pues estos casos se observan en situaciones de guerra, y por ello muchos pases a quienes se interceptan los mensajes son vencidos, porque el enemigo tena informacin sobre l, informacin muy importante, o como se dice actualmente, informacin de seguridad. Este es uno de los mbitos de aplicacin de la criptografa y la esteganografa, ya que en este ejemplo, se hace necesario que los mensajes que se transmitan entre personas y/o pases, no sea leda por nadie ms, slo por el legtimo destinatario del mensaje. 8
La Criptologa es el estudio de los sistemas de comunicaciones secretas, est constituida por dos campos de estudio complementarias entre s (Sedgewick, 1992). Criptografa. Es una tcnica utilizada para ocultar la informacin de manera tal que un usuario que no conozca las claves para desencriptarla no pueda acceder a la informacin (Garca y Alegre, 2011). Este tema se revisar ms adelante. Criptoanlisis. Es el estudio de las formas de transgredir los sistemas de comunicacin secretas (Sedgewick, 1992). Por su parte la esteganografa es la ciencia que estudia los procedimientos encaminados a ocultar la existencia de un mensaje, en lugar de ocultar su contenido (MMC, 2007). La palabra esteganografa significa escritura oculta (Ramos y Ribagorda, 2004, pg.418). Con base en las definiciones anteriores, es posible decir que mientras la Criptologa a travs de la criptografa se encarga de evitar que una persona diferente al destinatario original del mensaje pueda leer un mensaje, esto lo hace a travs de algoritmos de encriptacin o algoritmos de cifrado, los cuales se revisarn ms adelante. Mientras que la esteganografa, no pretende encriptar el mensaje, es decir ocultar el contenido de la informacin, sino ms bien oculta ms bien oculta el mensaje o la informacin. La esteganografa consiste en ocultar la existencia de informacin en un canal de transmisin, la criptografa, por su parte cifra o transforma un mensaje en otro, se sabe que hay un mensaje, de esta manera la esteganografa, jams transforma el mensaje original, solo lo mantiene oculto (Ramos y Ribagorda, 2004). Por mensaje debe entenderse en el mbito de la aplicacin de la Criptologa y esteganografa, cualquier dato que viaja a travs de las redes, por ejemplo un usuario y un password tambin son mensajes por que viajan a travs de una red. Y ahora te preguntars y de qu manera se oculta un mensaje? Con el auge de la informtica el mecanismo estenogrfico ms extendido est basado en imgenes digitales esto dada su excelente capacidad para ocultar informacin, se sustituye el bit menos significativo de cada byte por los bits del mensaje que se desea ocultar. Y dado que casi todos los estndares grficos tienen una mayor graduacin de colores de los que el ojo humano puede apreciar, la imagen no cambiar de apariencia de forma notable. Esta no es la nica manera de esconder un mensaje, se puede esconder en archivos de video, de msica o hasta en el mismo formato de texto (Moliner, 2005). De una manera muy sencilla se puede ocultar un mensaje, se expondr un ejemplo a continuacin:
Si se cuenta con un archivo de texto en una computadora y en l se tiene, por ejemplo una agenda telefnica, se puede decir de esto que el contenido del archivo de texto es el mensaje ahora bien, si se observa la extensin del archivo de texto seguramente ser de extensin .txt, con lo que se le indica al sistema operativo que efectivamente se trata de un archivo de texto y por lo tanto cuando se realice la accin para abrir el archivo, el sistema operativo intentar abrir este archivo con un editor de texto. El sistema operativo asocia cada extensin de archivo con un programa en especial, de manera tal que cuando el usuario haga doble clic sobre un archivo este se abre con el visor predeterminado para ello. Ahora reflexiona en qu pasara si un archivo con extensin .txt se cambia a una extensin .jpg (extensin muy usada en las fotos que se toman con cmaras digitales)?, pues al intentar abrir el archivo y ver el contenido, el programa mostrar un mensaje de que el archivo est corrupto, y realmente no es as, simplemente que el programa visor de fotos est intentando abrir un archivo de imagen, pero como se le indica que se trata de un archivo de texto, no puede abrir el archivo y enva ese error. De esta manera, muy sencilla, es como se puede observar que se est ocultando un archivo, ms no su contenido, porque aunque el archivo sea visible como un archivo ms, no se puede acceder a su informacin, y no es porque la informacin se haya transformado, de hecho la informacin no se toc, simplemente se modific la extensin del archivo, y al haberse modificado la extensin del archivo, el sistema operativo no es capaz de abrir el mensaje, de esta manera, queda invisible para aquellos que no conozcan la extensin o con qu programa deben abrir el archivo a fin de leerlo. Actualmente existen diversos software que permiten esconder archivos dentro de otros, por ejemplo, open puff, que permite esto mediante una serie de pasos muy sencillos. Hay que agregar un password para poder desocultar el archivo que se pretende esconder, incluso existen unos programas que piden dos tres passwords ms para aadirle ms seguridad, se selecciona el archivo que se desea esconder, que podra ser un archivo de extensin txt, o de texto, despus se debe de seleccionar el archivo en donde se esconder el archivo de texto, podra ser un archivo de mp3 o de msica, de esta manera, se podran ocultar datos confidenciales, por ejemplo del banco, en un archivo de mp3, y de esta manera nadie sospechara que en una cancin de mp3 que se puede reproducir con el celular, se encuentren datos de acceso del banco. Como puedes observar este subtema est relacionado con el objetivo tercero de la seguridad: confidencialidad de datos. A travs de la encriptacin u ocultacin del contenido del mensaje, o a travs de la ocultacin del mensaje en s; se pueden enviar mensajes a travs de una red manteniendo la confidencialidad del mismo. Como se observ la esteganografa es el arte de ocultar un mensaje y la encriptacin es el arte de esconder el contenido del mensaje, es decir, mientras en la esteganografa esconde el mensaje por completo y no se percibe o no se sabe de la existencia del mensaje, la encriptacin permite ver el mensaje, pero no su contenido.
10
A continuacin se exponen ms mecanismos de seguridad que aportan a lograr los objetivos de la seguridad de la informacin.
3.2. Mecanismos de seguridad

Los mecanismos de seguridad, son una serie de recomendaciones que hace la Unin Internacional de Telecomunicaciones ITU (por sus siglas en ingls de Internacional Telecommunication Union) a travs de la recomendacin x800 (UIT, 2008). Estas recomendaciones se dividen en dos partes, por un lado aquellas recomendaciones que se implementan en una capa especfica de acuerdo al modelo de referencia OSI, y las otras que no son especficas de ninguna capa, se puede decir que estas ltimas son mecanismos generales de seguridad (Stallings, 2004). Los mecanismos especficos de seguridad, o mecanismos que se implementan en una capa especfica de acuerdo al modelo de referencia OSI, son (Stallings, 2004): Cifrado Firma digital Control de acceso Integridad de los datos Intercambio de autentificacin Relleno del trafico Control de enrutamiento SSL Y los mecanismos generales, es decir, aquellos que no dependen de una capa especfica, segn el modelo de referencia OSI, de esta manera los siguientes mecanismos no dependen de alguna de las 7 Capas del modelo OSI en especial, sino que pueden depender de dos o ms de las capas del mismo modelo: Funcionalidad fiable Etiquetas de seguridad Deteccin de acciones Informe para la auditora de seguridad Recuperacin de la seguridad. A continuacin se exponen los mecanismos de seguridad que se implementan en las capas del modelo OSI. Cifrado o encriptacin. Se refiere al uso de algoritmos matemticos para transformar datos en una forma inteligible, la transformacin y su posterior recuperacin de los datos depende de un algoritmo (se ver a detalle ms adelante). El cifrado lleva a cabo su
11
funcin en la capa de trasporte del modelo OSI, y lo hace en esta capa, ya que la capa que le sigue es la capa de aplicacin y es en esta capa en donde el mensaje debe estar listo para su uso. El cifrado o la encriptacin es cuando se modifica el mensaje original por otro que no pueda ser ledo fcilmente. Existe por ejemplo un mtodo de encriptacin muy comn para sitios web que en programacin de pginas web se usa como una funcin, se llama md5, no entraremos en detalle con la funcionalidad de ste mtodo, pero por ejemplo si se desea encriptar una palabra, por ejemplo Hola, se escribira as: f688ae26e9cfa3ba6235477831d5122e, existen conversores en internet de textos planos o sin cifrar a texto cifrado en md5, y como se puede observar el texto en md5 de la palabra Hola ya no tiene el mismo sentido que la palabra Hola, por ello se dice que el cifrado transforma los datos y en este caso el texto a una forma ininteligible. Firma digital. Son datos aadidos a los datos o a la transformacin cifrada de estos datos, que permite verificar al usuario la fuente y la integridad de los datos (se ver a detalle ms adelante). Al igual que el cifrado la firma digital lleva a cabo sus funciones en la capa de transporte. Podemos pensar en la firma digital como una serie de datos que aaden al mensaje original, de tal manera que esos datos que se aaden deben de corresponder con los que podamos tener almacenados, es lo mismo que una firma que usamos cotidianamente para expresar nuestro consentimiento a un contrato, slo que esta firma es totalmente digital. Control de acceso. Es una serie de mecanismos que permiten dar o quitar derechos de acceso a recursos informticos, un ejemplo de estos son los roles o tipos de permisos para administrar ciertas aplicaciones, un ejemplo de estos roles, son administracin y usuario normal. Estos permisos se dan comnmente en la capa de aplicacin, pues es en la aplicacin en donde comnmente se definen los roles de usuario. El control de acceso son los permisos que se proporcionan a un determinado usuario para hacer o no hacer alguna actividad, por ejemplo, hablemos del portal que utilizas para realizar tus actividades acadmicas, en l t tienes permisos de alumno, puedes leer el contenido de las asignaturas, subir tus actividades, etctera. El facilitador (a), tiene permisos de editar tus calificaciones, de acuerdo a las rbricas establecidas, existe adems un usuario encargado de integrar los contenidos en el sitio donde accedes a ellos para que puedas leerlos como ahora ests leyendo este. El control de acceso, permite establecer y definir roles especficos a usuarios especficos. Integridad de los datos. Es un mecanismo diseado para comprobar la integridad de los datos, la integridad de datos es lo opuesto a la corrupcin de datos. En algunos casos esta integridad de datos puede ser verificada mediante algn hash de caracteres, es decir una cadena de datos, cuando se realiza mediante software la comprobacin de un hash, se obtiene una cadena de datos y esta debe ser comparada con la original, esta original suele venir en la pgina en donde se descarg el recurso. La integridad de los datos se
12
da en casi todas las capas del modelo OSI, como recordars de la asignatura Fundamentos de redes, en las capas dos a la siete exista un control de errores que permita que se checaran los PDU enviados entre capas a fin de evitar la corrupcin de errores. Intercambio de autentificacin. Es un mecanismo diseado para comprobar la identidad de algo o alguien, mediante el intercambio de informacin, esto es por ejemplo un caso avanzado de login, es decir que adems de pedir un sistema un usuario/password, podra requerir de algn dato adicional, una pregunta extra, el uso de alguna tecnologa biomtrica, etc. Esta autentificacin se lleva a cabo en la capa de aplicacin. El relleno de trfico. Se refiere a la insercin de bits en espacios en un flujo de envo de datos, por ejemplo, en cada espacio entre dato y dato que se enva en un flujo de datos (algo similar a los espacios que utilizamos en la escritura humana), se adicionan bits, a fin de dificultar su lectura por personas ajenas al mensaje, un ejemplo que ilustra este mecanismo es cuando se escriben entre cada palabra letras de relleno, de manera tal que el mensaje original no podr ser ledo. Este relleno de trfico se lleva a cabo en la capa fsica, ya que se envan bits de ms a fin de que parezcan datos. El control de enrutamiento, se refiere a tomar el control de las rutas por las que deberan pasar los paquetes, recordemos que los routers son los dispositivos capaces de enrutar la informacin, es decir, ellos decidirn qu camino debe tomar un paquete de datos de acuerdo al destino, el control de enrutamiento se refiere a la capacidad de poder cambiar esa ruta destino, a esto se le conoce en el mundo de las redes, como ruteo esttico, ya que el usuario puede definir qu rutas debe tomar el paquete y no dejar que el ruteador decida por l. Este tipo de ruteo se lleva a cabo desde la capa 3, red. Capa de conexin de puerta segura SSL (por sus siglas en ingls de Secure Socket Layer). Son una serie de herramientas criptogrficas que permiten comunicaciones seguras, un ejemplo de SSL son las conexiones de red VPN que trabajan con SSL, de manera tal que permiten encriptar el envo y la recepcin de informacin, SSL trabaja en dos capas del modelo OSI, una es a nivel de aplicacin como por ejemplo con el protocolo HTTP, y con la capa de transporte (protocolo TCP). Un ejemplo del SSL aplicado, es el protocolo HTTPS que es la implementacin segura de HTTP, segura por que usa SSL y de esta manera el contenido de HTTP viaja encriptado a travs de una red. En cuanto a los mecanismos generales, es decir, los que no dependen de una capa en especfica, se explican a continuacin: Funcionalidad fiable. Se refiere a la correcta aplicacin de polticas de seguridad, estas siempre dependern de la empresa o de la organizacin, por ejemplo puede ser
13
parte de una poltica de seguridad la aplicacin de parches de sistema operativo (en sistemas operativos Windows se les conoce como actualizaciones), y estos parches debern ser instalados solo en horarios nocturnos para evitar una interrupcin en el servicio (que presta el equipo al que se le aplicarn los parches de seguridad). Etiquetas de seguridad. Son marcas que designan atributos a un recurso, podra ser, por ejemplo que mediante estas etiquetas se puedan distinguir rpidamente equipos cuyo funcionamiento es ms crtico (importante) que otros. Deteccin de acciones. Se refiere a la capacidad de una organizacin de monitorear las acciones de lo que pasa en los sistemas pero a nivel de red, en estos casos, por ejemplo es comn el uso de equipos que controlan o vigilan lo que sucede en una red, es decir, se coloca un equipo que recoja las bitcoras de ciertas acciones de los dems equipos en una red. Informe para la auditora de seguridad. Se refiere a la recopilacin de datos de una revisin y exmenes de sistema, que se llevan a cabo de manera local, comnmente, es como una bitcora de aplicacin o de sistema operativo. Recuperacin de seguridad. Se refiere a las peticiones o mecanismos, automatizados o no de las acciones que logran recuperar un sistema, por ejemplo un respaldo de una base de datos. Como puedes observar, todos estos mecanismos de seguridad, permitirn a una organizacin estar segura frente al trfico de red que circula en torno a una organizacin, ya que la correcta aplicacin de los mecanismos de seguridad vistos anteriormente permitir que toda la informacin que entre o salga de la organizacin no est comprometida con fallas de seguridad, este aseguramiento permite tener un control de la informacin que entra y que sale de una organizacin y permite saber con certeza a quin se le envi y quin la recibi. Un mecanismo que permite tener certeza de quin enva la informacin son las firmas y los certificados digitales, tema que se desarrollar a continuacin.
14
Actividad 1. Tecnologas de encriptacin

El propsito de la actividad es que distingas las diferentes maneras de ocultar la informacin, ello te ayudar a identificar si se trata de esteganografa o de encriptacin de informacin. Para ello debers seguir estos pasos: 1. Identifica casos que impliquen el ocultamiento de informacin mediante mtodos criptogrficos o estenogrficos. 2. Observa las diferencias de cada caso. 3. Organiza la informacin en un organizador que te permita escribir exponer diferencias y similitudes entre los ejemplos identificados. 4. Guarda la actividad con el nombre DIRE_U3_A1_XXYZ. Sustituye las XX por las dos primeras letras de tu primer nombre, la Y por tu primer apellido y la Z por tu segundo apellido. 5. Enva el archivo a tu Facilitador(a) para recibir retroalimentacin mediante la herramienta Base de datos. 6. Comenta la actividad de mnimo, uno de tus compaeros, respecto a su ejemplo, identificando semejanzas y diferencias entre tu ejemplo y el suyo. Recuerda que tus comentarios no deben ser agresivos sino constructivos. *No olvides consultar los Criterios de evaluacin de actividades de la unidad 3 para que los consideres en el desarrollo de tu actividad.
3.2.1. Firmas y certificados digitales

Las firmas y los certificados digitales permiten garantizar que el software es genuino, o que una comunicacin entre computadoras que se da entre las computadoras es genuino, es decir, si por ejemplo visitamos el portal de un banco, debemos revisar con el navegador de internet que estemos utilizando que su certificado sea vlido, ya que de no serlo, estaramos en el portal de alguien ms, pero no de nuestro banco, es decir, podramos ser vctimas de algn tipo de fraude. Para el caso de una firma, esta se aade en el mensaje que se enva, o en el software que se tiene, a veces es posible revisar esta firma mediante una revisin a la firma que se puede encontrar publicada en algn sitio. Para el caso de un certificado digital, existen asociaciones encargadas de emitir certificados vlidos a las diferentes empresas de internet (Diccionarios OxfordComplutense, 2002) este certificado se almacena en un equipo de cmputo de manera tal que cada que se ingrese desde este equipo de cmputo a un portal web de una empresa con este certificado, ste validar que sea genuino y en caso de no serlo puede enviar
15
una notificacin en pantalla de que no lo es, en el mbito de las redes ambos casos ayudan en asegurar que la interconectividad que realiza entre el equipo de cmputo con el certificado y el sitio web al que se accesa sea el sitio web que dice ser y de esta manera se evita caer en fraudes. Como se observ la firma digital forma parte de los mecanismos de seguridad revisados en el tema anterior, pero qu es una firma digital y para qu sirve? Se conoce como firma electrnica a un conjunto de datos que se adjuntan a un mensaje electrnico, permite al receptor de un mensaje verificar la autenticidad del emisor de la informacin as como verificar que dicha informacin no ha sido modificada desde su generacin. As, la firma electrnica ofrece el soporte para la autenticacin e integridad de los datos (Biblioteca Nacional de Espaa, 2012). Se ilustra como ejemplo un uso de la firma digital en Mxico como las que expide el Servicio de Administracin Tributaria SAT, para la declaracin de impuestos, con esta herramienta el (SAT) revisa que la declaracin lleve la firma, y ello garantiza al SAT que el contribuyente est enviando sus datos correspondientes a la declaracin de impuestos, adems, esta firma garantiza al SAT que los datos que enve el contribuyente, sean verificados y que realmente se trata del contribuyente que los enva, adems de que garantiza que los datos no han sido alterados, es decir, que el archivo resultante de una declaracin de impuestos no haya sido modificado en el camino porque puede suceder que el archivo resultante de la declaracin de impuestos enviado por correo tradicional, sea interceptado y cambie la declaracin por otra que no corresponde. La firma electrnica como tal, es la versin electrnica de una rbrica que comnmente se hace a mano, dicha rbrica permite conocer que los firmantes estn de acuerdo con algo, por ejemplo un contrato, en este caso la firma electrnica es el medio electrnico que permite identificarse como personas fsicas o morales ante cualquier instancia, por ejemplo un banco, una aseguradora, etc. Los certificados digitales son documentos electrnicos que proporciona una autoridad de confianza o de certificacin. Las partes principales de los certificados digitales son el propietario del certificado o nombre distinguido del sujeto, su clave pblica, la presencia de la institucin que lo expide a travs de una firma digital y la fecha de validez (CERT, 2012). Un certificado digital sirve tambin para identificar a un titular. Y hasta este punto te preguntars y cul es la diferencia entre un certificado digital y la firma electrnica? Pues la diferencia radica en que el certificado electrnico es el documento electrnico que identifica a una persona. El certificado digital o electrnico es el equivalente electrnico a una cdula de identificacin, en el caso de Mxico, es la credencial de elector. Cuando decimos que es equivalente nos referimos a que no es la cdula de identificacin fsica que tenemos en s, podra ser ms bien un archivo de texto
16
encriptado con nuestros datos personales. La firma electrnica es un dato que es muy parecido a la firma autgrafa, al igual que la firma autgrafa la firma digital sirve para dar fe de que estamos de acuerdo con algo. La firma electrnica depende del certificado digital, y depende porque en el certificado digital se encuentran las credenciales que identifican a los ciudadanos como entidad o como persona, es de manera anloga similar al caso de la credencial de elector, cuando se requiere realizar un trmite, por ejemplo, un trmite bancario o cuando se solicita empleo generalmente uno de los requisitos es mostrar, la credencial de elector como identificacin oficial ante alguna institucin, y para demostrar que se est de acuerdo con un contrato, en ocasiones solicitan firmar de manera autgrafa algunos documentos, y para que tenga validez esta firma, debe ser exactamente igual o muy parecida a la que se encuentra en la credencial de elector. Los certificados y las firmas digitales ayudan a dar la confiabilidad y la seguridad de que una entidad o una persona es quien dice ser. Esta seguridad y confiabilidad radica en la fortaleza que tienen estos elementos de identificacin electrnicos, la fortaleza de estos elementos se dan por tcnicas criptogrficas que permiten cifrar la informacin y adems ayudan a verificar que el contenido del certificado no haya sido adulterado, por lo cual, se puede intuir que este tipo de identificacin electrnico es mucho ms confiable que los mtodos tradicionales. Y que son las tcnicas criptogrficas? Esto se expondr en el tema que sigue a continuacin.
3.2.2 Criptografa
En el tema 3.2.1 Criptologa y esteganografa se mencion que la criptografa es parte de la criptologa, y que la criptologa es el estudio de las comunicaciones secretas, y que esta se divide en dos campos de estudio que se complementan entre s: La criptografa: es una tcnica que se usa para ocultar la informacin, es decir encriptarla (Rajsbaum's, 2005). Criptoanlisis: es el estudio que analiza los mecanismos que permiten violar los sistemas de comunicacin secretas, o desencriptar la informacin, sin conocer el password o contrasea para acceder a ella (Rajsbaum's, 2005). La raz etimolgica de criptografa proviene del griego kryptos, ocultar, y de grafos, escribir, que significa escritura oculta. Son las tcnicas utilizadas para cifrar y descifrar informacin utilizando tcnicas matemticas que hacen posible el intercambio de mensajes de manera que slo puedan ser ledos por las personas a quienes van dirigidos (Rajsbaum's, 2005).
17
Existen dos grandes tipos de cifrado, por un lado se tiene el cifrado por bloques y por el otro el cifrado por flujo (Pacheco y Jara, 2012).
Tipos de cifrado moderno (Pacheco y Jara, 2012)
En la imagen anterior se observan los dos grandes tipos de cifrado, se observa que el cifrado de flujo es usado por la telefona mvil o el WiFi, este cifrado en Wifi, corresponde a la clave de un Access point de internet, por ejemplo en el caso de los Infinitum, se sabe que para poder acceder a internet usa una clave o password, esta clave es el cifrado de flujo que permite encriptar los datos que se envan y reciben por el Access point. En el caso del cifrado por bloques, se observan dos tipos de cifrado los cuales son: a) Cifrado simtrico o de clave secreta. b) Cifrado asimtrico o de clave pblica. El cifrado simtrico o de clave secreta, como su nombre lo indica es aquel que tiene una clave secreta y una vez que se conoce dicha clave se podr acceder al mensaje (Rajsbaum's, 2005). Se le dice que es de cifrado local y de sesiones, ya que este tipo de encriptacin es muy usado para de manera local compartir archivos que estn encriptados, por ejemplo, existen programas que permiten guardar informacin de texto en un archivo y que para poder abrir ese archivo se necesita el password de ese mismo
18
archivo, un ejemplo de estos programas es KeePass, este permite generar un archivo en donde podemos guardar muchas contraseas de diversas ndoles, como por ejemplo de acceso a sitios web, de correo electrnico, bancarias, etc, y permite recuperar las contraseas haciendo uso slo de una contrasea, con la cual una vez ingresada de manera correcta permite ver el contenido del archivo, es decir, las contraseas guardadas en el archivo.
Ejemplo de cifrado simtrico (Rajsbaum's, 2005, pg. 4) En la imagen se puede observar cmo el texto claro indicado como Entrada de texto claro (texto sin encriptar) entra o pasa por un algoritmo de cifrado, un algoritmo de cifrado es un conjunto de pasos o instrucciones que cifrar o encriptar el texto, por ejemplo el algoritmo AES, o el algoritmo DES, etctera (no entraremos en detalle de lo que hace cada algoritmo, slo se pretende dar una idea en general de qu es lo que pasa con estos algoritmos). La diferencia bsica entre AES y DES, es que DES (Data Encryption Standard o Estndar de Encriptacin de Datos por sus siglas en ingls usa una llave de encriptacin de 56 bits, la llave de encriptacin es el password que se usa para desencriptar la informacin. AES (Advanced Encryption Standard o Estndar de Encriptacin Estndard) por su parte puede usar llaves de encriptacin de 128 bits, 192 bits 256 bits. Te preguntars de qu sirve la llave de encriptacin? Pues mientras ms grande sea, ms difcil es de descubrir mediante un ataque de fuerza bruta. Un ataque de fuerza bruta es aquel en el que se intenta descubrir un password, para ello existen mecanismos en los que a travs de diferentes combinaciones de letras y nmeros se pretende adivinar el password. De esta manera, el password ser ms difcil de adivinar, cuando este sea de mayor longitud. Una vez cifrado el mensaje se transmite hacia el destino, en donde el destinatario, para leer el mensaje debe conocer la clave secreta o datos de acceso, y una vez que ingresa esta clave en el mensaje cifrado, el mensaje ser descifrado y podr ser ledo. Para que quede esto ms claro, considrese el siguiente ejemplo:
19
Se utilizar un sistema que se denomina sustitucin monoalfabtica, que se expone a continuacin: Texto simple: ABCDEFGHIJKLMNOPQRSTUVWXYZ Texto cifrado: QWERTYUIOPASDFGHJKLZXCVBNM Si se desea cifrar el texto HOLA, se obtendra el texto cifrado IHSQ, cmo se realiza el procedimiento?, se explica a continuacin: La H es la letra 8 del alfabeto La O es la letra 16 del alfabeto La L es la letra 12 del alfabeto La A es la letra 1 del alfabeto Entonces se toma la letra 8 del texto cifrado Entonces se toma la letra 16 del texto cifrado Entonces se toma la letra 12 del texto cifrado Entonces se toma la letra 1 del texto cifrado I H S Q
En el caso de este cifrado simtrico, es muy importante que tanto emisor como receptor conozcan la clave, esto supone un problema, ya que podra ser necesario hacer que se renan o se llamen va telefnica emisor y receptor, para resolver este problema, se usa el cifrado asimtrico. El cifrado asimtrico o de clave pblica, es aquel en el que no se usa una sola clave para encriptar o desencriptar (cifrar o descifrar) un mensaje, sino que se usan ms de una clave. Este cifrado tiene la caracterstica de que usa una clave para cifrar y otra para descifrar, y en este caso, comnmente, la clave de cifrado es pblica y la de descifrado es privada. La clave de cifrado se dice que es pblica, porque es la que se debe de compartir con quienes se desee o se requiera compartir informacin, y la clave privada, es aquella que solo el receptor conoce.
20
Ejemplo de cifrado asimtrico (Rajsbaum's, 2005, pg 27)
En este esquema se puede apreciar que el texto claro o sin cifrar entra al algoritmo de cifrado, y se encripta con la clave pblica de Benito y enva el texto cifrado a Alicia, Alicia toma el mensaje y lo desencripta con su clave privada y una vez que lo hace podr ver el mensaje que le envi Benito. Para que esto sea posible existe un concepto llamado llavero, en el llavero de Benito, que es pblico, se encuentra la clave privada de Alicia, de manera cifrada, y como se puede ver en el esquema, cuenta con ms llaves, pero como el mensaje es de Benito para Alicia, el cifrado se hace exclusivo para la llave de Alicia, por lo que Alicia es la nica que puede abrir y leer el mensaje. La desventaja de este tipo de cifrado es que utiliza ms poder de cmputo, es decir recursos de memoria RAM y CPU en una computadora, que el cifrado simtrico, esto por lo complejo que se vuelve un mensaje encriptado, la complejidad radica en su algoritmo RSA, que es de los ms seguros hasta el momento, pero que por cuestiones de enfocarnos al tema de criptografa, no tocaremos, slo se hablar explicar brevemente en que consiste. La seguridad del algoritmo RSA (llamado as en honor a sus diseadores: Rivest, Shamir y Adleman) radica en la dificultad de la factorizacin de nmeros grandes, del orden de 100 dgitos. Recordando un nmero primo es aquel nmero que slo es divisible entre uno y l mismo. Y factorizarlo es decomponerlo en los nmeros que multiplicados entre s nos den como resultado el nmero original (Moliner, 2005). Pudiste darte cuenta de un concepto llamado, llavero, que es un archivo que sirve como almacn de llaves pblicas de las personas con las cuales queremos intercambiar mensajes (Rohaut, 2012).
21
Existen algunas instrucciones que ayudan a la hora de programar para usar los mtodos aqu descritos, todo depender del lenguaje de programacin que se est usando, as por ejemplo en el lenguaje de programacin PHP (en la asignatura Programacin Web 1, se explicar a detalle en qu consiste este lenguaje), existen las extensiones criptogrficas con las cuales se pueden encriptar y desencriptar mensajes y hacer verificaciones de certificados digitales. Como se puede observar cada tipo de cifrado de los que se revisaron tiene sus ventajas y sus desventajas, as pues, la ventaja del cifrado simtrico es que es sencillo de descifrar, por lo que usa muy poco poder de cmputo, pero no muy seguro en comparacin con el cifrado asimtrico, el cual, ser muy seguro, pero gasta mucho poder de cmputo, es importante que consideres las formas de cifrado para que como futuro ingeniero de software puedas decidir qu tipo de encripcin se puede adecuar a tus desarrollos, aunque tambin es importante mencionar que dependiendo del mensaje, datos o informacin a enviar puedes evaluar qu tipo de encripcin utilizar, ya que, depender de qu tanto te conviene mantener oculto un mensaje, podra suceder que enves un mensaje cuyo contenido tiene relevancia para un periodo determinado de tiempo, por ejemplo: una invitacin a algn evento cuyo mensaje una hora despus de enviarlo, ya no sea relevante, para ello se podran utilizar cifrados simples que si bien se pueden romper o deducir con cierta facilidad, para cuando un intruso descifre el mensaje este ya no ser relevante. El tipo de encriptacin a utilizar depender de la relevancia y la importancia del mensaje, por ejemplo, mientras ms relevancia e importancia tenga, ms fuerte deber ser el nivel de encriptacin, ahora la pregunta es, cmo saber si un mensaje es o no relevante e importante? esto es, entre otras cosas, el campo de estudio de algo que se le denomina polticas de seguridad y que se revisar a continuacin.
Actividad 2. Tcnicas de seguridad

El propsito de la actividad es que identifiques las tcnicas criptogrficas que te permitan ofrecer seguridad a los datos que viajan en una red. Para ello: 1. Identifica la aplicacin de tcnicas criptogrficas en una red. Explica cul le funciona mejor y por qu? 2. Identifica en esa misma red qu mejoras propondras para ofrecer una seguridad mayor a esa red, qu tcnicas criptogrficas utilizaras? 3. Organiza la informacin en una tabla en donde expongas el antes y el despus de las propuestas que ests haciendo. 4. Redacta y relaciona cada rubro o mejora con cada uno de los objetivos principales de la seguridad.
22
5. Guarda la actividad con el nombre DIRE_U3_A2_XXYZ. Sustituye las XX por las dos primeras letras de tu primer nombre, la Y por tu primer apellido y la Z por tu segundo apellido. 6. Enva el archivo a tu Facilitador(a) para recibir retroalimentacin mediante la herramienta Tareas. *No olvides consultar los Criterios de evaluacin de actividades de la unidad 3 para que los consideres en el desarrollo de tu actividad
3.2.3. Polticas de seguridad

Las polticas de seguridad son normas y procedimientos que crea y que rige a una organizacin, las polticas de seguridad de una empresa siempre sern diferentes a las de otras empresas, esto dada la heterogeneidad de cada organizacin, o sea, cada empresa tendr diferentes sistemas informticos, diferentes protocolos de uso, diferente interconectividad de sus equipos a la red, diferentes administradores de sistemas, diferentes sistemas operativos en sus equipos de red y/o en sus equipos de cmputo, por ello las polticas de seguridad siempre sern propias de cada empresa, aqu revisaremos un concepto en general que nos dar una idea de cmo se hacen estas polticas y para qu sirven. T como desarrollador de software debers tambin saber cmo se hacen y se tratan las polticas de seguridad, ya que seguramente algn desarrollo que te soliciten en el mbito laboral deber cumplir con alguna normativa, por ejemplo alguna normativa puede ser el uso de encriptacin de password bajo algn mtodo; otra normativa podr ser que el cdigo cumpla con ciertos estndares que pueden o no ser parte de alguna ISO, simplemente puede ser el estndar que usa en una organizacin, por ejemplo el uso de notas y comentarios en el software que vas desarrollando. Las polticas de seguridad, recogen las directrices u objetivos de una organizacin con respecto a la seguridad de la informacin, estas forman parten de su poltica general y deben ser aprobadas por la direccin. Por ello las polticas de seguridad pueden ser diferentes entre diversas organizaciones o pueden poner ms nfasis en unas polticas o en otras, aunque tambin existen algunos estndares de polticas de seguridad para pases o para reas (gobierno, medicina, militar, etctera) y algunos ms internacionales son definidos por la ISO (Organizacin Internacional para la estandarizacin) (Aguilera, 2010). Una poltica de seguridad, segn Aguilera (2010), contendr todos los elementos en materia de seguridad de la informacin, generalmente englobados en cinco grupos: 23
Identificar las necesidades de seguridad y los riesgos que amenazan al sistema de informacin, as como evaluar los impactos sobre un eventual ataque. Relacionar todas las medidas de seguridad que deben de implementarse para afrontar los riesgos de cada activo o grupo de activos. Proporcionar una perspectiva general de las reglas y los procedimientos que deben aplicarse para afrontar los riesgos identificados en cada uno de los departamentos de la organizacin. Detectar todas las vulnerabilidades del sistema de informacin y controlar fallos que se producen en los activos, incluidas las aplicaciones instaladas. Definir un plan de contingencias.
Para poder detectar vulnerabilidades en los sistemas de informacin es necesario llevar a cabo auditoras de sistemas, y por auditora de sistemas se entiende que es un anlisis a detalle de un sistema que permita conocer, descubrir, identificar y corregir vulnerabilidades en el o los sistemas de informacin. Un anlisis de vulnerabilidades deber tener, segn Aguilera (2010), como mnimo: Descripcin y caractersticas de los activos (equipo de cmputo o de red) y los procesos analizados. Anlisis de las relaciones y dependencias entre activos y/o procesos de informacin. Relacin y evaluacin de las vulnerabilidades detectadas en cada activo y/o proceso de informacin. Verificacin del cumplimiento de la normatividad de la seguridad de la informacin Propuesta de medidas preventivas o correctivas. Para llevar a cabo la auditora es necesario que se cuente con algunas herramientas para llevar a cabo el anlisis, como manuales de los activos y software para auditoras. Por ejemplo, para el caso de las redes Inalmbricas, se puede hacer uso de herramientas como WiFi Slax, el cual nos ayuda a probar las vulnerabilidades de las redes WiFi. En caso de que sea vulnerada la seguridad de la organizacin, y de hecho, antes de que suceda, es muy importante que la organizacin cuente con un plan de contingencias, en cual se plasme que hacer, de esta manera la organizacin ser capaz de responder y de continuar con sus operaciones habituales. Un plan de contingencias para que sea exitoso, deber estar focalizado en los siguientes tres ejes, segn Aguilera (2010): Plan de respaldo. Es una medida preventiva en la cual se pide se hagan respaldos peridicos de la informacin y de la configuracin de los equipos sean de cmputo o de red, y que deber ser conservada en lugares seguros. Plan de emergencia. Esta contempla qu medidas se deben de tomar cuando se est llevando a cabo una amenaza, por ejemplo, en el caso de un ataque de denegacin de servicio (DoS, Denial of Service, por sus siglas en ingls), cerrar los puertos por los
24
que se est llevando a cabo un ataque o bien apagar el equipo que sufre el ataque. Un ataque de DoS, es aquel en el que se emiten muchas peticiones a un servidor, por ejemplo, se puede llenar un servidor web de peticiones a fin de hacer que el equipo sea incapaz de responder las peticiones web. Plan de recuperacin. Esto tiene que ver con las medidas que se van a aplicar despus de un desastre, con ello se evala el dao y se hace lo posible para regresar a la operacin normal el equipo que fue atacado. Hasta este punto te preguntars, y cmo puedo hacer una red segura? Pues bien, lo primero es saber cules son los elementos que conforman a la red que se pretende asegurar, es decir, considerar los siguientes planteamientos: Con qu dispositivos de red se cuenta? Es importante conocer qu dispositivos de red hay para saber cmo se conforma la red de manera topolgica. Conocer la topologa de la red permite conocer la manera en la que se conectan fsicamente todos los equipos en la red. Y as se podra evaluar si la distribucin fsica de la red es ptima o si se propone otra distribucin, as como tambin saber en qu lugar o lugares de la red se pueden colocar equipos de seguridad de la red. Con qu tipos de servidores se cuenta y cules son sus sistemas operativos? Saber qu servidores se tienen en la organizacin, permitir por un lado saber los servicios que se brindan en esa organizacin mediante los servidores, y saber el sistema operativo de esos servidores permitir definir una poltica de seguridad adecuada al equipo que se trate, por ejemplo, para el caso de contar con equipos con cierto sistema operativo, se deber crear un dominio en la red, de manera tal que ese dominio se encargue de administrar las actualizaciones de seguridad de cada uno de los servidores, cuando se estn conociendo los servidores de la organizacin es muy importante conocer qu puertos usan para poder brindar los servicios para los cuales estn destinados, por ejemplo para un servidor de pginas web, el puerto que comnmente est asociado a este servicio es el 80, si se tratase de un servidor de base de datos MySql el puerto por default que est asociado a este es el 3306. Se puede buscar la informacin de puertos asociados a cada servicio en internet, aunque es importante mencionar que a veces estos puertos pueden ser fijados por la persona que instala el servicio en un servidor, de esta manera se podra tener un servidor de pginas web que no use el puerto 80, sino el 90, este cambio no obedece a nada ms que un cambio en la configuracin original de la instalacin de un servicio. Revisar si la red de la organizacin est segmentada (es decir, que existan subredes) y si est segmentada saber cuntos segmentos de red conforman a la red? Saber si en la organizacin existe ms de un segmento de red, permite tener una visin ms general de toda la red de la organizacin, y de esta manera conocer las
25
dimensiones reales de la red. Tambin permite conocer las causas por las que la red est segmentada, podra tratarse de una segmentacin por tipo de departamento, o por importancia de equipo de cmputo, por ejemplo: servidores y usuarios. Es necesario investigar si existe algn tipo de infraestructura de red que permita asegurar la red. Saber si existe una infraestructura de red que permita asegurar la red, se refiere a saber si en la red existen dispositivos de red como un firewall, esto permitir saber el nivel de seguridad actual que se tiene en la red. Es importante que si existe uno o ms firewalls en la organizacin se deban conocer las polticas establecidas dentro de los firewalls detectados, las polticas de firewall son el conjunto de limitaciones o permisos que tiene configurados el equipo, estas limitaciones o permisos definen que servicios pueden entrar o salir de la organizacin a internet (Andreu, 2010). Recuerda que cuando se mencionan servicios son por ejemplo, servicio web, servicio de correo electrnico, etctera.
Identificar cules son los equipos ms importantes para la organizacin. Esto permite identificar los equipos ms sensibles para la organizacin, es decir, qu servidores son los ms importantes y de los cuales la organizacin no puede prescindir. As se les dar mayor importancia a estos equipos. Considerar si existen polticas de seguridad. Saber si existen polticas de seguridad permitir conocer las medidas se han tomado en la organizacin para hacer frente a las amenazas de su red y de sus aplicaciones, as como evaluar o reevaluar las polticas de seguridad, recuerda que las polticas de seguridad deben, a grandes rasgos considerar los siguientes aspectos: Identificar los riesgos. Detectar vulnerabilidades en los sistemas y mitigarlos. Evaluar el impacto en caso de un ataque. Definir un plan de contingencias Por identificar los riesgos, entindase buscar y tener en cuenta todos los riesgos de los sistemas, es decir, localizar los equipos que de fallar, tendra un impacto grande en la organizacin, por ejemplo que se descomponga el servidor de correo electrnico, que se descomponga el servidor de pginas web, que la organizacin se quede sin internet, etctera. Por detectar las vulnerabilidades entindase por ejemplo, sistemas que se han dejado con la configuracin por default, passwords que son sencillos de adivinar. La configuracin por default de un programa es un problema de vulnerabilidad por lo siguiente, la instalacin estndar es una instalacin que como muchos instalan y que no configuran o personalizan a su gusto, tiene configuraciones iguales en muchos dispositivos, lo ms
26
peligroso de estas configuraciones es tener la misma combinacin de usuario password, y se hace ms peligrosa, cuando al usuario tiene privilegios administrativos. Por evaluar el impacto en caso de un ataque, se entiende como la necesidad de tener una visin a futuro y definir qu pasara en caso de un ataque, en el mejor y en el peor de casos. Por ejemplo, si atacan un servidor de correo electrnico, en el mejor de los casos se deja sin servicio de correo electrnico por un rato, y en el peor de los casos, se perdera el servidor de correo por completo con todo su historial. Una vez definidos los impactos ante algn ataque es necesario definir un plan de contingencias que permita recuperarse despus de un ataque lo antes posible. Un plan de contingencias permite que se acte en forma ms cautelosa en relacin con la tecnologa, de informacin, equipo de cmputo, equipo de red, etctera; y de esa manera reaccionar cuanto antes a un ataque y evitar desastres. Te imaginas perder toda la informacin de tu disco duro? El tener un plan de contingencias, permite que no pierdas tu informacin o la menor informacin posible. Como se ha podido observar la Seguridad en los Sistemas de la informacin juega un papel muy importante en cualquier organizacin a cualquier nivel, ya que estn en juego datos o informacin que es muy importante para la empresa o el negocio. La seguridad en las Sistemas de la informacin abarca a la seguridad en aplicaciones y desarrollos y la seguridad en las redes que es lo que trat esta materia, intentamos no dejar de lado el panorama amplio de la seguridad en los Sistemas de informacin, para que tu como desarrollador de software tengas una vista ms general de tu rol y la importancia de tu rol y los dems roles del rea de tecnologas. Es importante mencionarte que tu como desarrollador de software puedes ayudar a mitigar las amenazas o los ataques a tus desarrollos, la mejor manera es apegndote a las normas o polticas de seguridad de tu empresa, apegndote adems a las mejores prcticas de uso del software que desarrolles, adems evita usar combinaciones de usuario/password que se usan por default como o que son sencillos de adivinar: admin/admin, o admin/123, entre otros, para poder tener passwords ms seguros intenta usar combinaciones de nmeros, letras maysculas, minsculas y caracteres especiales, de esta manera tu password ser ms seguro, ya que es ms difcil de rastrear.
Autoevaluacin
El propsito de esta actividad es realizar un anlisis del avance que has tenido para detectar las reas de oportunidad respecto al estudio de la tercera unidad.
27
Evidencia de aprendizaje. Esquemas de seguridad de red.

El propsito de esta actividad es que elabores un esquema del diseo de seguridad de una red relacionando las firmas y certificados digitales, la criptografa y las polticas de seguridad, para ello, retoma el proyecto planteado y el diagrama que realizaste como evidencia de aprendizaje de la unidad 2 Interconectividad de rea extensa (WAN). Una vez recuperado tu proyecto, realiza los siguientes pasos: 1. Identifica en la red la necesidad del uso de firmas y certificados digitales, indica dnde las utilizars y justifica tu seleccin. 2. Integra el uso de un mtodo de criptografa basndote en la configuracin de tu red y los recursos con los que se cuenta. 3. Menciona y enumera las polticas que vas a definir en tu red, para hacerla ms segura. Contempla el plan de contingencias y de desastres. 4. Integra tus conclusiones acerca de la necesidad de contar con redes seguras. Consulta el documento EA. Escala de evaluacin de la unidad 3 donde podrs conocer los parmetros de evaluacin de esta actividad.
Autorreflexiones
Adems de enviar tu trabajo de la Evidencia de aprendizaje, ingresa al foro Preguntas de Autorreflexin y consulta las preguntas que tu Facilitador(a) presente, a partir de ellas elabora tu Autorreflexin en un archivo de texto llamado DIRE_U3_ATR_XXYZ. Posteriormente enva tu archivo mediante la herramienta Autorreflexiones.
Cierre de la unidad
En esta unidad se revis a grandes rasgos una visin general de seguridad de la informacin, y en este papel la redes juegan un papel muy importante desde cmo se configura una red, hasta qu accesos se estn proporcionando a los usuarios. Se puede intuir a lo largo de esta unidad que el usuario juega un papel muy importante para la seguridad, y es en este papel en donde aplican las polticas de seguridad, las redes y los sistemas de informacin por s solos siempre tendrn huecos de seguridad, pero es tarea de los administradores de los sistemas de informacin arreglarlos o mitigarlos. Como futuro ingeniero de software tambin tendrs tus responsabilidades para evitar que los sistemas de informacin no presenten fallas de seguridad y si las hay saber
28
que existen mecanismos de seguridad que pueden ser implementados. La interconectividad de redes es algo que se utiliza todos los das, y un ejemplo de ello es tu carrera que est cursando en lnea, desde una computadora con acceso a internet para acceder a los tus asignaturas, hasta el servidor en donde se encuentran hospedado todos y cada uno de los contenidos que revisas a diario, aqu tambin la seguridad de la informacin juega un papel importante, ya que la plataforma debe ser capaz de albergar a todos los estudiantes que se conectan a diario para leer, consultar o para entregar sus tareas, y esta plataforma tambin obedece a ciertas polticas de seguridad a fin de que todos los estudiantes puedan acceder a sus asignaturas y que los datos importantes como tus calificaciones, mensajes, etctera, puedan estar seguros.
Para saber ms
Para saber ms acerca de cmo implementar una red segura y su importancia se recomienda consultar el siguiente sitio: Search Data Center (2013). Cmo planificar una red segura mediante la prctica de la defensa en profundidad. [En lnea] http://searchdatacenter.techtarget.com/es/consejo/Como-planificar-una-red-seguramediante-la-practica-de-la-defensa-en-profundidad
Para saber cmo desarrollar e implementar una red segura puedes consultar el siguiente documento: Ardita, J.C., (2001) Cmo desarrollar una arquitectura de red segura? Buenos Aires, Argentina: CYBSEC S.A. Security Systems.
Para reforzar la importancia de la seguridad en las redes, consulta algunas razones por las que una red inalmbrica debe estar asegurada en el siguiente sitio: Cisco (2013a). Aunque no pueda ver su red inalmbrica, protegerla debera ser una de sus principales prioridades. [En lnea] http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html Puedes consultar algunos consejos de implementacin de una red segura en el siguiente sitio: Lorenzana, Diego (2012). Consejos para implementar una segura red informtica en nuestra empresa. Madrid: Pymes y autnomos [En lnea] http://www.pymesyautonomos.com/consejos-practicos/consejos-para-implementar-unasegura-red-informatica-en-nuestra-empresa
29
Fuentes de consulta
Aguilera Lpez, P. (2010). Seguridad informtica. Madrid: Ed. Editex. ISBN 84977-176-19. Andreu Gmez, J. (2010). Servicios en red. Madrid: Editex. Ardita, J.C., (2001) Cmo desarrollar una arquitectura de red segura? Buenos Aires, Argentina: CYBSEC S.A. Security Systems. Areitio, J., (2008). Seguridad de la informacin: redes, informticas y sistemas de informacin. Madrid: Ed. Paraninfo. ISBN: 978-84-9732-502-8 Biblioteca Nacional de Espaa (2012). Qu son la firma y los certificados electrnicos? Madrid: BNE. [En lnea] https://sede.bne.gob.es/SedeElectronica/es/LegislacionYSeguridad/Seguridad/Fir maElectronica/ Cert Superior (2012). Certificados Digitales. En lnea http://www.certsuperior.com/CertificadosDigitales.aspx. Mxico: SSL Symantec Cisco (2013a). Aunque no pueda ver su red inalmbrica, protegerla debera ser una de sus principales prioridades. [En lnea] http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html Cisco (2013b). Tecnologa inalmbrica. Proteccin de las redes inalmbricas.[En lnea] http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html Diccionarios Oxford-Complutense (2002). Diccionario de internet. Madrid : Editorial Complutense. Garca Cervign Hurtado, A., y Alegre Ramos, M., (2011). Seguridad Informtica. 1 edicin. Madrid: Ed Paraninfo. ISBN 978-84-9732-812-8 Lorenzana, Diego (2012). Consejos para implementar una segura red informtica en nuestra empresa. Madrid: Pymes y autnomos [En lnea] http://www.pymesyautonomos.com/consejos-practicos/consejos-para-implementaruna-segura-red-informatica-en-nuestra-empresa
30
MMC Modelacin Matemtica y Computacional (2003). Esteganografa. Mxico: Grupo de Geofsica Computacional UNAM. [En lnea] http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsechtml/node320.html Moliner Lpez, F. J., (2005). Grupos A y B de informtica. Bloque especfico. Valencia: Ed MAD S.L. ISBN 84-665-2078-3 Pacheco, F., y Jara, H., (2012). Users: Ethical Hacking 2.0. Buenos Aires: Ed. Dalaga, S.A. ISBN 978-987-1857-63-0 Rajsbaum's, S., (2005). Criptografa. Mxico: Instituto de Matemticas, Universidad Nacional Autnoma de Mxico UNAM. [En lnea] http://www.matem.unam.mx/~rajsbaum/cursos/web/presentacion_seguridad_1.pdf Ramos lvarez, B.; Ribagorda Garnacho, A., (2004). Avances en Criptologa y Seguridad de la Informacin. Madrid: Ed. Daz de Santos. ISBN: 84-7978-650-7. Rohaut, S. (2012). Preparacin para la certificacin LPIC-1. 2 edicin. Barcelona: ENI. ISBN 978-2-7460-7320-3. Search Data Center (2013). Cmo planificar una red segura mediante la prctica de la defensa en profundidad. [En lnea] http://searchdatacenter.techtarget.com/es/consejo/Como-planificar-una-redsegura-mediante-la-practica-de-la-defensa-en-profundidad Sedgewick, R., (1992). Algoritmos en C++. Delaware: Ed. Addison-Wesley / Diaz de santos. ISBN 0-201-62574-1 Stallings, W. (2004). Fundamentos de seguridad en redes: Aplicaciones y estndares. 2 Edicin. Madrid: Ed Pearson Educacin. ISBN 84-205-4002-1 UIT Internacional Telecommunication Union (2008). X.800 Layer Two Security Service and Mechanisms for LANs. [En Lnea] http://www.itu.int/rec/T-REC-X.800199610-I!Amd1
Fuentes de imgenes: Pacheco, F., y Jara, H., (2012). Users: Ethical Hacking 2.0. Buenos Aires: Ed. Dalaga, S.A. ISBN 978-987-1857-63-0
31
Rajsbaum's, S., (2005). Instituto de Matemticas, Universidad Nacional Autnoma de Mexico (UNAM). [En lnea] http://www.matem.unam.mx/~rajsbaum/cursos/web/presentacion_seguridad_1.pdf S Secur-IT @C.R.S (2011a). Informacin previa a System Hacking. [En lnea] http://securitcrs.files.wordpress.com/2011/10/system-hacking.png Secur-IT @C.R.S (2011b). Ataques online pasivos System Hackyng. [En lnea] http://securitcrs.files.wordpress.com/2011/10/man-in-the-middle1.png Stallings, W., (2003). Fundamentos de seguridad en redes. Aplicaciones y estndares. Madrid: Pearson Prentice Hall
32

Unidad 3 Seguridad de Redes

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Unidad 3 Seguridad de Redes

Caricato da

Copyright:

Formati disponibili

Interconectividad de redes

Unidad 3. Seguridad de redes

Ingeniera en Desarrollo de Software 9 Cuatrimestre

Programa de la asignatura: Interconectividad de redes

Unidad 3. Seguridad de redes

Universidad Abierta y a Distancia de Mxico UnADM

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Unidad 3 Seguridad de redes

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Esquema de un ataque (Secur-IT @C.R.S, 2011b)

3.1. Introduccin a la seguridad

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

3.1.2. Criptologa y esteganografa

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

3.2. Mecanismos de seguridad

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Actividad 1. Tecnologas de encriptacin

3.2.1. Firmas y certificados digitales

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Tipos de cifrado moderno (Pacheco y Jara, 2012)

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ejemplo de cifrado asimtrico (Rajsbaum's, 2005, pg 27)

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Actividad 2. Tcnicas de seguridad

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

3.2.3. Polticas de seguridad

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Evidencia de aprendizaje. Esquemas de seguridad de red.

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software

Potrebbero piacerti anche