Cortafuego.

Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

un cortafuegos (firewall) sirve para impedir el acceso no autorizado a Internet (u otra red) por parte de programas malignos que están instalados en nuestro equipo, o de programas o intrusos que intentan atacar nuestra computadora desde el exterior,en general, a medida que los distintos programas comiencen a querer conectarse a internet, el cortafuegos nos irá alertando y así empezaremos a crear los distintos permisos para cada uno de estos, si es un programa sospechoso, no debería permitirle conectarse, así que sólo nos bastará con aceptar o cancelar, para que el cortafuegos interprete que queremos qué suceda con el programa, muchas veces este proceso se hace de forma automática (depende del cortafuegos), de todas maneras, siempre podremos acceder de forma manual a la base de datos y seleccionar qué programas permitir. 

Un cortafuegos (o firewall en inglés) es una parte de un sistema o una red que está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección. 

Read More

Niveles de Seguridad Informática

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book2, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

eguridad Lógica

Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra información por él almacenada y procesada. Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica. Es decir que la Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.” Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la Seguridad Lógica. Los objetivos que se plantean serán: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 5. Que la información recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Técnicas para asegurar el sistema

• Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.
• Vigilancia de red. Zona desmilitarizada 
• Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos -antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
• Sistema de Respaldo Remoto. Servicio de backup remoto 
• Respaldo de Información

La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como robos, incendios, fallas de disco, virus u otros. Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica.

La medida más eficiente para la protección de los datos es determinar una buena política de copias de seguridad o backups: Este debe incluir copias de seguridad completa (los datos son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (sólo se copian los ficheros creados o modificados desde el último backup). Es vital para las empresas elaborar un plan de backup en función del volumen de información generada y la cantidad de equipos críticos.

Un buen sistema de respaldo debe contar con ciertas características indispensables:

• Continuo

El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.

• Seguro

Muchos softwares de respaldo incluyen encriptación de datos (128-448 bits), lo cual debe ser hecho localmente en el equipo antes del envío de la información.

• Remoto

Los datos deben quedar alojados en dependencias alejadas de la empresa.

• Mantención de versiones anteriores de los datos

Se debe contar con un sistema que permita la recuperación de versiones diarias, semanales y mensuales de los datos.

Hoy en día los sistemas de respaldo de información online (Servicio de backup remoto) están ganando terreno en las empresas y organismos gubernamentales. La mayoría de los sistemas modernos de respaldo de información online cuentan con las máximas medidas de seguridad y disponibilidad de datos. Estos sistemas permiten a las empresas crecer en volumen de información sin tener que estar preocupados de aumentar su dotación física de servidores y sistemas de almacenamiento.

Consideraciones de software

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.

Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.

Consideraciones de una red

Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.

Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.

Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.

Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.A zorra

 Algunas afirmaciones erróneas comunes acerca de la seguridad

• Mi sistema no es importante para un cracker

Esta afirmación se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues ¿quién va a querer obtener información mía?. Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.

• Estoy protegido pues no abro archivos que no conozco

Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.

• Como tengo antivirus estoy protegido

En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación, además los antivirus son vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema operativo se vea más afectada aún.

• Como dispongo de un firewall no me contagio

Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos, además los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing.

• Tengo un servidor web cuyo sistema operativo es un Unix actualizado a la fecha

Puede que este protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix.

Read More

Políticas de seguridad informática

Las políticas son una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organización, también describen cómo se debe tratar un determinado problema o situación.
Este documento está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas.

Por simples qeu parezcan, las políticas de seguridad pueden evitar desastres mayores

Las políticas pueden considerarse como un conjunto de leyes obligatorias propias de una organización, y son dirigidas a un público mayor que las normas pues las políticas proporcionan las instrucciones generales, mientras que las normas indican requisitos técnicos específicos. Las normas, por ejemplo, definirían la cantidad de bits de la llave secreta que se requieren en un algoritmo de cifrado. Por otro lado, las políticas simplemente definirían la necesidad de utilizar un proceso de cifrado autorizado cuando se envíe información confidencial a través de redes públicas, tales como Internet.

Entrando al tema de seguridad informática, una política de seguridad es un conjunto de reglas y prácticas que regulan la manera en que se deben dirigir, proteger  y distribuir los recursos en una organización para llevar a cabo los objetivos de seguridad informática de la misma. 

4.1.1 Objetivo de una política de seguridad

El objetivo de una política de seguridad informática es la de implantar una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información, y a su vez puedan  ser entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos.

4.1.2 Misión, visión y objetivos de la organización

La misión, visión y objetivos varían mucho de una organización a otra, esto es normal si se considera que una organización es diferente de otra en sus actividades y en el conjunto de elementos que la conforman (Elementos humanos, recursos materiales, infraestructura).

De manera rápida se definirán los conceptos de misión, visión y organización.

Misión

Una misma organización puede tener varias misiones, que son las actividades objetivas y concretas que realiza. Las misiones también pretenden cubrir las necesidades de la organización.
La misión es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas

Visión

 Es la imagen idealizada de lo que se quiere crear. Tal idea debe estar bien definida, pues todas las actividades de la organización estarán enfocadas a alcanzar esta visión.

Objetivos

Son actividades específicas enfocadas a cumplir metas reales, alcanzables y accesibles. Se puede decir que un objetivo es el resultado que se espera logrra al final de cada operación.

Así, se vuelve importante considerar la misión, la visión y el objetivo de ser de la empresa, a fin de realizar un estudio que con base en éstas permita identificar el conjunto de políticas de seguridad informática que garantice la seguridad, confidencialidad y disponibilidad de la información.

4.1.3 Principios fundamentales de las políticas de seguridad

Son las ideas principales a partir de las cuales son diseñadas las políticas de seguridad.

Los principios fundamentales son: responsabilidad individual, autorización, mínimo privilegio, separación de obligaciones, auditoría y redundancia.

4.1.3.1 Responsabilidad individual

Este principio dice que cada elemento humano dentro de la organización es responsable de cada uno de sus actos, aun  si tiene o no conciencia de las consecuencias.

4.1.3.2 Autorización

Son las reglas explícitas acerca de quién y de qué manera puede utilizar los recursos.

4.1.3.3 Mínimo privilegio

Este principio indica que cada miembro debe estar autorizado a utilizar únicamente los recursos necesarios para llevar a cabo su trabajo. Además de ser una medida de seguridad, también facilita el soporte y mantenimiento de los sistemas.

4.1.3.4 Separación de obligaciones

Las funciones deben estar divididas entre las diferentes personas relacionadas a la misma actividad o función, con el fin de que ninguna persona cometa un fraude o ataque sin ser detectado. Este principio junto con el de mínimo privilegio reducen la posibilidad de ataques a la seguridad, pues los usuarios sólo pueden hacer uso de los recursos relacionados con sus actividades, además de que facilita el monitoreo y vigilancia de usuarios, permitiendo registrar y examinar sus acciones.

4.1.3.5 Auditoría  

Todas las actividades, sus resultados, gente involucrada en ellos y los recursos requeridos, deben ser monitoreados desde el inicio y hasta después de ser terminado el proceso.

Además es importante considerar que una auditoría informática busca verificar que las actividades que se realizan así como las herramientas instaladas y su configuración son acordes al esquema de seguridad informática realizado y si éste es conveniente a la seguridad requerida por la empresa.

4.1.3.6 Redundancia

Trata entre otos aspectos sobre las copias de seguridad de la información, las cuales deben ser creadas múltiples veces en lapsos de tiempos frecuentes y almacenados en lugares distintos.

Sin embargo, la redundancia como su nombre lo indica, busca “duplicar” y en este sentido se puede decir que a través de los respaldos se duplica información, y lo mismo se puede realizar en diferentes aspectos, como por ejemplo: en cuanto a energía eléctrica, una planta de luz para garantizar que opere en casos de emergencia, servidores de datos que entren en operación cuando el primario sufra una avería, etcétera, de manera tal que la redundancia se considera en aquellos casos o servicios que se vuelven imprescindibles para la empresa y que no pueden suprimirse pase lo que pase.

Mulpiles respaldos de la misma información es un ejemplo de cómo la redundancia es benéfica

4.1.4 Políticas para la confidencialidad

Desde el primer capítulo de esta investigación, se ha mencionado la necesidad de mantener el control sobre quién puede tener acceso a  la información (ya sea a los documentos escritos o a los medios electrónicos) pues no siempre queremos que la información esté disponible para todo aquel que quiera obtenerla.

Read More

Ataques y Contramedidas.

Antes que todo primero tenemos que saber que significa los términos que tienes que ver con ataques y contramedidas.

Ataques informáticos

Método mediante el cual un atacante ya sea un individuo o programa intenta o realiza una  o varias de las siguientes acciones sobre un sistema informático:

Ø  Acceso no permitido.

Ø  Daño.

Ø  Desestabilización.

Contramedidas

Son los mecanismos utilizados para defenderse de un ataque. Hay contramedidas preventivas para evitar el ataque o reducir sus consecuencias y paliativas para reducir el daño del ataque.

Ubicación del atacante

Las posibilidades de ataque están relacionadas de forma directa con la cercanía al equipo atacado, se pueden distinguir de la siguiente manera:

·        Acceso físico al equipo: Un atacante con acceso físico tiene muchas facilidades para acceder de forma no permitida y provocar daños en el equipo y desestabilizarlo.

·        Acceso directo al equipo (sesión): alguien que pueda abrir una sesión puede realizar un gran número de ataques, que tendrá más riesgos entre mas privilegio tenga el usuario con el que se accede.

·        Acceso a la red local del equipo: Se pueden realizar diferentes acciones, que se fundamenta a acceder posteriormente al equipo objetivo.

·        Acceso a través de internet: Esta más limitada que la de acceso a la red, al no tener acceso al nivel de enlace en las comunicaciones con el equipo objetivo.

Potenciales atacantes

·        El número de potenciales atacantes se relaciona de forma inversa con la ubicación de los mismos, una situación podría ser:

o   Pocas personas tienen acceso físico al equipo.

o   Algunas personas tienen acceso a una sesión en el equipo.

o   Todas las personas de la organización tienen acceso a un equipo de red local.

o   Todo internet tiene acceso remoto al equipo.

·        Un atacante dese internet podría atacar tanto al equipo objetivo como a otro cualquiera de su red, comúnmente intenta abrir una sesión e ir ganando privilegios en el equipo objetivo.

Principales ataques con acceso físico

·        La seguridad física estudia principalmente los métodos para evitar que una persona no autorizada tenga acceso al equipo.

·        Con respecto a los accesos no autorizados se destacan los  siguientes:

o   Obtención directa de los datos.

o   Obtención de contraseñas.

o   Ejecución de otro sistema operativo sobe el sistema.

·        Contramedidas:

o   Protección de la BIOS.

o   Protección del gestor de arranque.

o   Cifrado del sistema de ficheros concretos.

o   Utilización de contraseñas fuertes.

[R1] 

Ataques con una sesión d usuario

De forma intencionada o no, un usuario que pueda abrir una sesión puede provocar serios problemas de seguridad ya que en su sesión puede instalarse todo tipo de malware como por ejemplo:

o   Virus.

o   Gusanos.

o   Puertas traseras.

o   Rookits.

o   Caballos de Troya.

o   Spyware.

o   Equipo de zombie.

o   Keylogger.

Vulnerabilidades de usuario

Una vulnerabilidad por lo general permite que el atacante pueda engañar a la aplicación. Por ejemplo esquivando los controles de acceso  o ejecutando comandos en el sistema donde se aloja la aplicación.

 Algunas vulnerabilidades se producen cuando la entrada de un usuario no es controlada, permitiendo la ejecución de comandos. Otras provienen de errores de un programador en la comprobación de los buffer de datos provocando una corrupción de la pila de memoria y por tanto permitiendo la ejecución de código suministrando por el atacante.

Ejemplos de vulnerabilidades:

o   Desbordamiento de bufer.

o   Inyección SQL.

o   Cross Site Scripting.

Los agujeros de seguridad es un fallo en un programa que permite mediante su explotación violar la seguridad de un sistema informático.

Read More