Seguridad
Desde el primer momento en el que se cuenta con un equipo
conectado a una red (ya sea de área local (LAN) ó de área amplia (WAN))
Cualquier otra persona conectada a dicha red puede acceder al sistema.
Desde un pirata informático externo hasta un usuario no autorizado
que intenta obtener privilegios que no le corresponden, el entorno de trabajo
no va a estar nunca a salvo de intrusos.
Dicho
acceso puede tener diferentes efectos
v Acceso de Lectura
Lectura
o copia de información de ciertas maquinas o servidores con archivos
confidenciales.
v Acceso de Escritura
Escritura o destrucción de datos de ciertas maquinas o
servidores (incluyendo la posibilidad de insertar programas troyanos, virus y
puertas traseras).
v Negación de Servicio
Impedir
el uso normal de los recursos de ciertos sistemas, por ejemplo inutilizar la
red consumiendo todo el ancho de banda, ejecutar procesos para consumir la
memoria, etc.
Negación de Servicio (DoS "Denial of Service")
Como
se sabe las computadoras pueden ofrecer una serie de servicios a los que se
puede acceder de forma remota. Una negación ocurre cuando se sobrecarga el
sistema accediendo a él de forma continua y excesiva, normalmente provoca la
perdida de conectividad de la red por el consumo del ancho de banda.
La
forma de evitar este tipo de ataques es controlando el acceso a los servidores,
ya sea limitando el número de peticiones que puedan recibir, eliminando del
sistema servicios que no se usan, o bien restringiendo el acceso al servidor.
Firewall (Servidor de Seguridad)
Una compañía
puede tener múltiples redes LAN dentro (Intranet) sin embargo para poder salir
de la red de la compañía (Intranet) hacia una red distinta como lo puede ser Internet
todo el trafico (información) tendrá que pasar por un único sistema el cual
sería un Firewall.
Un Firewall actúa como un filtro de
paquetes, Inspecciona cada uno de los paquetes entrantes y salientes, Los
paquetes que cumplen con ciertos criterios descritos por el administrador de la
red se reenvían de forma normal, los que no cumplen con los criterios
simplemente son descartados.
Por lo general los criterios de
filtrado se proporcionan como reglas o tablas que listan los orígenes y
destinos aceptables, los orígenes y destinos bloqueados.
En una configuración común tendrá una dirección IP y un puerto, los
puertos indican el servicio deseado, por ejemplo el puerto 25 se utiliza para
correo y el puerto 80 para HTTP (páginas de internet), por ejemplo se puede
crear una regla que bloquee todo el trafico de cualquier dirección IP que
utilice el puerto 23 (Telnet).
En la Figura 7.1 Se puede observar cómo
se pueden utilizar dos Firewall, Un Firewall interno y un Firewall externo, el
Firewall externo se encarga de las conexiones hacia un red distinta como lo es Internet
y el Firewall Interno se encarga de las conexiones dentro de la misma red como
lo es una Intranet.
Como se puede observar en la Figura
7.1 existen dos terminales entre los Firewall Interno y externo, a esta zona de
se llama zona desmilitarizada por el hecho de que los host que se encuentre en
esta zona pueden acceder a recursos que tal vez los host detrás del Firewall
interno no puedan como lo pueden ser ciertas páginas de internet o ciertos
servicios como FTP, HTTP, P2P,etc.
Redes Privadas
Virtuales (VPN)
Muchas empresas oficinas y plantas
esparcidas en muchas ciudades, algunas veces hasta en otros países, Antes de
que existieran las redes de datos publicas era común que las grandes empresas
alquilaran líneas a las compañías telefónicas, Una red constituida solo por
computadoras de la empresa y líneas telefónicas alquiladas se conoce como red
Privada.
Las redes privadas funcionan bien y
son muy seguras, si las únicas líneas disponibles son las alquiladas, la
información no puede fugarse de las ubicaciones de la empresa, el problema con
las redes privadas es que alquilar una sola línea cuesta miles de dólares al
mes, Cuando aparecieron las redes de datos Publicas como lo es Internet muchas empresas trasladaron el tráfico de
datos a este tipo de redes.
Con el aumento de las empresas
cambiando a este tipo de redes surgieron las VPN (Virtual Private Networks) o Redes
Privadas Virtuales que son redes superpuestas sobre públicas.
Un
diseño común es equipar cada oficina con un Firewall y crear túneles en
internet entre cada oficina como se puede observar en la Figura 7.2
Figura 7.2 VPN
Una de las ventajas de Utilizar
internet para la conectividad es que los túneles se pueden establecer bajo
demanda, esto quiere decir que lo puede utilizar tanto un empleado que se encuentre
en su casa como uno que se encuentre de vacaciones en un lugar muy lejano
siempre y cuando cuente con conexión a Internet.
La ventaja principal de una red VPN
es la de ser completamente transparente para todo el software del usuario, La única
persona que está consciente de estas configuraciones es el administrador del
sistema quien tiene que configurar y gestionar las puertas de enlace de
seguridad.
Seguridad
Inalámbrica
En la Figura 7.3 se puede observar
que una empresa necesita que los empleados se encuentren siempre conectados y
para esto se puede utilizar las redes 802.11 o mejor conocidas como Wi-Fi.
Figura 7.3 Red Wi-Fi (802.11)
Sin embargo el rango de las redes
802.11 es de algunos cientos de metros por lo que cualquiera que desea espiar una
compañía solo tiene que introducirse en el estacionamiento y dejar que un
dispositivo que contenga un modulo 802.11 grabe en modo promiscuo.
Una
parte del estándar 802.11 establece un protocolo de seguridad en el nivel de enlace
de datos para evitar que un host inalámbrico lea o interfiera con los mensajes
enviados entre otro par de host inalámbricos, se le conoce con el nombre
comercial de WPA2 (Wi-Fi Protected Access 2) Acceso protegido Wi-Fi 2,
proporciona una verdadera seguridad si se configura de forma adecuada.
Hay
dos escenarios comunes en los que se utiliza el esquema WPA2.
El
primero se puede encontrar en un entorno corporativo, en donde una empresa
tiene un servidor de autentificación separado con una base de datos con nombres
de usuarios y contraseñas la cual usa para determinar si un cliente inalámbrico
puede o no acceder a la red.
El
segundo escenario es entorno domestico, en donde no hay servidor de autentificación
en cambio hay una sola contraseña compartida que los clientes utilizan para
acceder a la red inalámbrica esta configuración es menos compleja que tener un
servidor de autentificación razón por la cual se utiliza en el hogar y en
negocios pequeños
