10.

4 PREVENCION DE INTRUSION
La intrusión es el segundo tipo principal de problema de seguridad y el que tiende a
recibir la mayor atención. Nadie quiere que un intruso entre en su red. Hay cuatro
tipos de intrusos que intentan obtener acceso no autorizado a redes de
computadoras.
Los primeros son intrusos casuales que tienen un conocimiento limitado de la
seguridad informática. Simplemente navegan por Internet tratando de acceder a
cualquier computadora que encuentren. Sus técnicas poco sofisticadas equivalen a
probar los tiradores de las puertas y, hasta hace poco, solo estaban en riesgo las
redes que dejaban sus puertas abiertas. Desafortunadamente, ahora hay una
variedad de herramientas de pirateo disponibles en Internet que permiten que
incluso los principiantes puedan lanzar intentos sofisticados de intrusión. A los
atacantes novatos que usan tales herramientas a veces se les llama script Kiddies.
El segundo tipo de intrusos son expertos en seguridad, pero su motivación es la
emoción de la caza. Se introducen en redes de computadoras porque disfrutan del
desafío y disfrutan presumiendo a amigos o avergonzando a los propietarios de
redes. Estos intrusos se llaman piratas informáticos y, a menudo, tienen una sólida
filosofía contra la propiedad de los datos y el software. La mayoría causa poco daño
y hace pocos intentos de sacar provecho de sus proezas, pero las que lo hacen
pueden causar problemas mayores. Los hackers que causan daños a menudo son
llamados crackers.
El tercer tipo de intruso es el más peligroso. Son piratas informáticos profesionales
que ingresan a computadoras corporativas o gubernamentales con fines
específicos, como espionaje, fraude o destrucción intencional. El Departamento de
Defensa de los Estados Unidos (DoD, por sus siglas en inglés), que monitorea de
forma rutinaria los ataques contra objetivos militares de los Estados Unidos, hasta
hace poco llegó a la conclusión de que la mayoría de los ataques son individuos o
pequeños grupos de hackers en las primeras dos categorías. Si bien algunos de sus
ataques han sido vergonzosos (por ejemplo, la destrucción de algunos sitios web
militares y de inteligencia), no ha habido riesgos de seguridad graves. Sin embargo,
a fines de la década de 1990, el DoD notó un pequeño pero creciente conjunto de
ataques intencionales que clasificaron como ejercicios, ataques exploratorios
diseñados para probar la efectividad de ciertas armas de ataque de software. Por lo
tanto, establecieron un programa de guerra de información y una nueva
organización responsable de coordinar la defensa de las redes militares bajo el
Comando Espacial de los Estados Unidos.
El cuarto tipo de intruso también es muy peligroso. Estos son empleados de la
organización que tienen acceso legítimo a la red, pero que obtienen acceso a
información que no están autorizados a usar. Esta información podría ser utilizada
para su propio beneficio personal, vendida a competidores o modificada de manera
fraudulenta para dar al empleado ingresos adicionales. Muchos intrusos de
seguridad son causados por este tipo de intruso.
El principio clave para prevenir la intrusión es ser proactivo. Esto significa probar
rutinariamente sus sistemas de seguridad antes de que lo haga un intruso. Se
pueden tomar muchas medidas para evitar la intrusión y el acceso no autorizado a
los datos y redes de la organización, pero ninguna red es completamente segura.
La mejor regla para la alta seguridad es hacer lo que hace el ejército: no mantener
datos extremadamente confidenciales en línea. Los datos que necesitan seguridad
especial se almacenan en computadoras aisladas de otras redes. En las siguientes
secciones, analizamos los controles de seguridad más importantes para prevenir la
intrusión y para recuperarse de la intrusión cuando se produce.
10.4.1 Política de seguridad
De la misma manera que un plan de recuperación de desastres es crítico para
controlar los riesgos debido a la interrupción, destrucción y desastre, una política de
seguridad es crítica para controlar los riesgos debido a la intrusión. La política de
seguridad debe definir claramente los activos importantes que deben
salvaguardarse y los controles importantes necesarios para hacerlo. Debe tener una
sección dedicada a lo que los empleados deben y no deben hacer. Además, debe
contener un plan claro para capacitar rutinariamente a los empleados,
especialmente a los usuarios finales con poca experiencia en computación, sobre
las reglas de seguridad clave y un plan claro para probar y mejorar rutinariamente
los controles de seguridad existentes (Figura 10.9). Un buen conjunto de ejemplos
y plantillas está disponible en www.sans.org/resources/policies.
10.4.2 Seguridad perimetral y cortafuegos (firewall)
Lo ideal es que detengas a los intrusos externos en el perímetro de tu red, para que
no puedan acceder a los servidores internos. Hay tres puntos de acceso básicos en
la mayoría de las redes: Internet, LANS y WLAN. Las encuestas recientes sugieren
que el punto de acceso más común para la intrusión es la conexión a Internet (el 70
por ciento de las organizaciones experimentaron un ataque desde Internet), seguido
de las redes LAN y WLAN (30 por ciento). Es más probable que los intrusos externos
usen la conexión a Internet, mientras que los intrusos internos tienen más
probabilidades de usar la LAN o WLAN. Debido a que Internet es la fuente más
común de intrusiones, el enfoque de la seguridad del perímetro generalmente se
encuentra en la conexión a Internet, aunque la seguridad física también es
importante.
Un firewall se usa comúnmente para asegurar la conexión a Internet de una
organización. Un firewall es un enrutador o dispositivo de propósito especial que
examina los paquetes que entran y salen de una red y restringe el acceso a la red
de la organización. La red está diseñada para que se coloque un firewall en cada
conexión de red entre la organización e Internet (Figura 10.10). No se permite el
acceso excepto a través del firewall.
10.4.3 Protección del servidor y del cliente
Agujeros de seguridad. Incluso con la seguridad física y los firewalls, los
servidores y las computadoras cliente en una red pueden no ser seguros debido a
los agujeros de seguridad. Un agujero de seguridad es simplemente un error que
permite el acceso no autorizado. Muchos sistemas operativos de uso común tienen
agujeros de seguridad importantes bien conocidos por los posibles intrusos. Se han
documentado muchos agujeros de seguridad y los proveedores disponen de
"parches" para solucionarlos, pero los administradores de red pueden desconocer
todos los agujeros o simplemente olvidarse de actualizar sus sistemas con parches
nuevos con regularidad.
Sistemas operativos. El gobierno estadounidense requiere ciertos niveles de
seguridad en los sistemas operativos y en los sistemas operativos de red que utiliza
para ciertas aplicaciones. El nivel mínimo de seguridad es C2. La mayoría de los
sistemas operativos principales (por ejemplo, Windows) proporcionan al menos C2.
Los sistemas más utilizados se esfuerzan por cumplir los requisitos de niveles de
seguridad mucho más altos, como B2. Muy pocos sistemas cumplen con los niveles
más altos de seguridad (A1 y A2).
Caballos troyanos. Una herramienta importante para obtener acceso no autorizado
es un caballo de Troya. Los troyanos son consolas de administración de acceso
remoto (a veces llamadas rootkits) que permiten a los usuarios acceder a una
computadora y administrarla desde lejos.
10.4.4 Cifrado
Una de las mejores maneras de prevenir la intrusión es el cifrado, que es un medio
para ocultar información mediante el uso de reglas matemáticas conocidas como
algoritmos.10 En realidad, criptografía es el término más general y apropiado. El
cifrado es el proceso de disfrazar información, mientras que el descifrado es el
proceso de restauración a una forma legible.
Encriptación de clave única. El cifrado simétrico (también denominado cifrado de
una sola clave) tiene dos partes: el algoritmo y la clave, que personalizan el
algoritmo al hacer que la transformación de los datos sea única. Dos piezas de
información idéntica cifradas con el mismo algoritmo, pero con claves diferentes
producen textos cifrados completamente diferentes. Con el cifrado simétrico, las
partes que se comunican deben compartir una clave. Si el algoritmo es adecuado y
la clave se mantiene secreta, la adquisición del texto cifrado por personal no
autorizado no tiene ninguna consecuencia para las partes comunicantes.
Encriptación de clave pública. La forma más popular de encriptación asimétrica
(también llamada encriptación de clave pública) es SAR, que fue inventada en MIT
en 1977 por Rivest, Shamir y Adleman, quienes fundaron RSA Data Security en
1982.14 La patente expiró en 2000, por lo que muchas nuevas empresas ingresaron
al El mercado y el software de clave pública bajaron de precio. La técnica RSA forma
la base de la infraestructura de clave pública (PKI) de hoy.
Autenticación. El cifrado de clave pública también permite el uso de firmas digitales
a través de un proceso de autenticación. Cuando un usuario envía un mensaje a
otro, es difícil probar legalmente quién envió el mensaje. La prueba legal es
importante en muchas comunicaciones, como las transferencias bancarias y las
órdenes de compra / venta en divisas y acciones, que normalmente requieren firmas
legales.
10.4.5 Autenticación del usuario
La base de la autenticación del usuario es el perfil del usuario para cada cuenta de
usuario asignada por el administrador de la red. El perfil de cada usuario especifica
a qué datos y recursos de red puede acceder, y el tipo de acceso (solo lectura,
escritura, creación, eliminación). Los perfiles de usuario pueden limitar los días de
inicio de sesión permitidos, la hora del día, las ubicaciones físicas y el número
permitido de intentos de inicio de sesión incorrectos.
10.4.6 Prevención de la ingeniería social
Una de las formas más comunes para que los atacantes ingresen a un sistema,
incluso dominar a los piratas informáticos, es a través de la ingeniería social, que
se refiere a romper la seguridad simplemente preguntando. Por ejemplo, los
atacantes telefonean habitualmente a los usuarios confiados y, imitando a alguien
como un técnico o gerente senior, piden una contraseña. Desafortunadamente,
muchos usuarios desean ser útiles y simplemente proporcionar la información
solicitada. Al principio, parece ridículo creer que alguien le daría su contraseña a un
completo desconocido, pero un ingeniero social experto es como un buen estafador:
él, y la mayoría de los ingenieros sociales son hombres, puede manipular a las
personas.
10.4.7 Sistemas de prevención de intrusiones
Los sistemas de prevención de intrusiones (IPS) están diseñados para detectar una
intrusión y actuar para detenerla. Hay dos tipos generales de IPS y muchos
administradores de red eligen instalar ambos. El primer tipo es un IPS basado en
red. Con un IPS basado en red, se coloca un sensor IPS en los circuitos de red
clave. Un sensor IPS es simplemente un dispositivo que ejecuta un sistema
operativo especial que supervisa todos los paquetes de red en ese circuito e informa
de las intrusiones a una consola de administración de IPS. El segundo tipo de IPS
es el IPS basado en host, que, como su nombre indica, es un paquete de software
instalado en un host o servidor. El IPS basado en el host supervisa la actividad en
el servidor e informa las intrusiones en la consola de administración de IPS.
10.4.8 Recuperación de intrusiones
Una vez que se ha detectado una intrusión, el primer paso es identificar cómo el
intruso obtuvo acceso no autorizado e impedir que otros se rompan de la misma
manera. Algunas organizaciones simplemente elegirán cerrar la puerta al atacante
y arreglar el problema de seguridad. Alrededor del 30 por ciento de las
organizaciones responden de manera más agresiva al registrar las actividades del
intruso y trabajar con la policía para atrapar a las personas involucradas. Una vez
identificado, el atacante será acusado de actividades delictivas y / o demandado en
un tribunal civil. Varios estados y provincias han introducido leyes que requieren que
las organizaciones informen sobre intrusiones y robos de datos de clientes, por lo
que el porcentaje de intrusiones reportadas y procesadas aumentará.
Recientemente se ha abierto una nueva área llamada informática forense. La
informática forense es el uso de técnicas de análisis informático para recopilar
pruebas para juicios penales y / o civiles. Los pasos básicos de la informática
forense son similares a los de la medicina forense tradicional, pero las técnicas son
diferentes. Primero, identifique la evidencia potencial. Segundo, conserve la
evidencia haciendo copias de respaldo y use esas copias para todos los análisis.
En tercer lugar, analizar la evidencia. Finalmente, prepare un informe legal detallado
para uso en procesos judiciales.

11 Esquema
11.1 Introducción
Todas las organizaciones, excepto las más pequeñas, tienen redes, lo que significa
que la mayoría de los proyectos de diseño de redes son el diseño de actualizaciones
o extensiones de las redes existentes, en lugar de la construcción de redes
completamente nuevas. Incluso es probable que la red para un edificio
completamente nuevo se integre con la red troncal o la WAN existente de la
organización, por lo que incluso los nuevos proyectos se pueden ver como
extensiones de las redes existentes. No obstante, el diseño de la red es muy
desafiante.
11.1.1 El proceso de diseño de red tradicional
El proceso de diseño de red tradicional sigue un proceso de diseño y análisis de
sistemas muy estructurado similar al que se usa para construir sistemas de
aplicaciones. Primero, el analista de redes se reúne con los usuarios para identificar
las necesidades de los usuarios y los sistemas de aplicación planificados para la
red. En segundo lugar, el analista desarrolla una estimación precisa de la cantidad
de datos que cada usuario enviará y recibirá, y la utiliza para estimar la cantidad
total de tráfico en cada parte de la red. En tercer lugar, los circuitos necesarios para
soportar este tráfico más un modesto aumento en el tráfico están diseñados y las
estimaciones de costos se obtienen de los proveedores. Finalmente, 1 o 2 años
después, se construye e implementa la red. Este proceso tradicional, aunque
costoso y requiere mucho tiempo, funciona bien para redes estáticas o de evolución
lenta. Desafortunadamente, la red actual es significativamente diferente de lo que
era cuando se desarrolló el proceso tradicional. Tres fuerzas están haciendo que el
proceso de diseño tradicional sea menos apropiado para muchas de las redes
actuales. Primero, la tecnología subyacente de las computadoras cliente y servidor,
los dispositivos de red y los circuitos en sí están cambiando muy rápidamente. A
principios de la década de 1990, los mainframes dominaban las redes, la
computadora cliente típica era una 386 de 8 MHz con 1 megabyte (MB) de memoria
de acceso aleatorio (RAM) y 40 MB de espacio en el disco duro, y un circuito típico
era una conexión de mainframe de 9.600 bps. o una LAN de 1 Mbps. Hoy en día,
las computadoras cliente y los servidores son significativamente más potentes, y las
velocidades de circuito de 100Mbps y 1 Gbps son comunes. Ahora tenemos más
capacidad de procesamiento y capacidad de red que nunca antes; Ambos ya no son
productos básicos que necesitamos administrar con cuidado. Segundo, el
crecimiento en el tráfico de redes es inmenso. El desafío no es estimar la demanda
actual de los usuarios, sino estimar su tasa de crecimiento. A principios de la década
de 1990, el correo electrónico y la Web eran novedades utilizadas principalmente
por profesores universitarios y científicos. En el pasado, la demanda de la red
estaba esencialmente impulsada por sistemas comerciales predecibles, como el
procesamiento de pedidos.
11.1.2 El proceso de diseño de red de bloques de construcción
Muchas otras organizaciones ahora utilizan un enfoque más simple para el diseño
de red que llamamos el proceso de creación de bloques. El concepto clave en el
proceso de creación de bloques es que las redes que usan unos pocos
componentes estándar en toda la red son más baratas a largo plazo que las redes
que usan una variedad de componentes diferentes en diferentes partes de la red.
En lugar de intentar predecir con precisión el tráfico de usuarios en la red y construir
redes para satisfacer esas demandas, el proceso de creación de bloques comienza
con unos pocos componentes estándar y los usa una y otra vez, incluso si ofrecen
más capacidad de la necesaria. El objetivo es la simplicidad del diseño. Esta
estrategia a veces se denomina "estrecha y profunda" porque se utiliza una gama
muy limitada de tecnologías y dispositivos una y otra vez (muy profundamente en
toda la organización). Los resultados son un proceso de diseño más simple y una
red más fácilmente gestionable construida con una gama más pequeña de
componentes.