TALLER
Plataformas de administración de redes
El objeto principal de las plataformas de gestión y administración de red es
proporcionar mayor funcionalidad para los diferentes dispositivos de red
proporcionar mayor funcionalidad para los diferentes dispositivos de red
Para llevar a cabo la administración de una red, no existe un software como
tal que haga todo lo que debe hacerse en una red, por esta razón una plataforma
de administración de redes completa, está compuesta por varios programas,
de gran utilidad como por ejemplo:
tal que haga todo lo que debe hacerse en una red, por esta razón una plataforma
de administración de redes completa, está compuesta por varios programas,
de gran utilidad como por ejemplo:
El Directorio Activo
Su función es almacenar la información acerca de los recursos existentes en
la red además de controlar el acceso de los usuarios y las aplicaciones a estos
recursos.
la red además de controlar el acceso de los usuarios y las aplicaciones a estos
recursos.
Por esta razón el directorio activo se convierte en un medio para organizar,
administrar y controlar centralizadamente el acceso a los recursos de la red.
administrar y controlar centralizadamente el acceso a los recursos de la red.
System Center Configuration Manager
Tiene como función principal, evaluar globalmente desplegar y actualizar los
servidores, las cuentas de los PCs y todos los dispositivos en entornos físicos
móviles y virtuales.
servidores, las cuentas de los PCs y todos los dispositivos en entornos físicos
móviles y virtuales.
En pocas palabras, este es un programa diseñado por Microsoft para la
administración de grandes grupos de ordenadores en red. Proporciona
también acceso remoto, administración de parches, puesta en funcionamiento
de un sistema operativo, protección para acceso a redes, distribución
administración de grandes grupos de ordenadores en red. Proporciona
también acceso remoto, administración de parches, puesta en funcionamiento
de un sistema operativo, protección para acceso a redes, distribución
de software e inventario de hardware y software.
Wsus
WSUS (Windows Server Update Services) Tiene como objetivo principal
administrar actualizaciones en la red, con el fin de que sea solo un equipo o
servidor el que esté encargado de descargar las actualizaciones del sistema
operativo, y que de este servidor, se distribuyan las actualizaciones a los demás
equipos, con el fin de evitar el mayor consumo del ancho de banda, de
administrar actualizaciones en la red, con el fin de que sea solo un equipo o
servidor el que esté encargado de descargar las actualizaciones del sistema
operativo, y que de este servidor, se distribuyan las actualizaciones a los demás
equipos, con el fin de evitar el mayor consumo del ancho de banda, de
esta forma solo es un equipo el que se conecta a internet.
Forefront TMG
Se trata de un getway de seguridad web, creado por Microsoft, con el fin proteger
a las empresas de las amenazas que hay en internet, sirve para habilitar una
seguridad perimetral aprueba de ataques gracias al firewall integrado, prevención
de accesos no autorizados, anti-spam, antivirus y
a las empresas de las amenazas que hay en internet, sirve para habilitar una
seguridad perimetral aprueba de ataques gracias al firewall integrado, prevención
de accesos no autorizados, anti-spam, antivirus y
VPN.
Aparte de herramientas como estas, también hace parte de la plataforma de
administración, los diferentes equipos (hardware) como los Servidores, Proxi,
Firewall y no olvidar los sistemas operativos, Linux y Windows, que en la mayoría
de los casos por seguridad es mejor manejar ambos sistemas operativos ya que
aumentan un poco el grado de seguridad de la red con respecto a ataques externos.
administración, los diferentes equipos (hardware) como los Servidores, Proxi,
Firewall y no olvidar los sistemas operativos, Linux y Windows, que en la mayoría
de los casos por seguridad es mejor manejar ambos sistemas operativos ya que
aumentan un poco el grado de seguridad de la red con respecto a ataques externos.
También existen algún software especializados en este campo, que brindan un
gran apoyo al personal encargado de administrar, los más comunes son los
siguientes:
gran apoyo al personal encargado de administrar, los más comunes son los
siguientes:
- Sun: SunNet Manager (Solstice)
- HP: OpenView
- IBM: Netview for AIX (Tivoli)
- Cabletron: Spectrum
- ¿CISCO: CiscoView? (a través de WWW)
Las plataformas de gestión de red deben contar con ciertas funcionalidades
básicas como:
básicas como:
- Interfaz gráfica de usuario (GUI)
- Mapa de la red
- Sistema gestor de base de datos (DBMS)
- Método estándar de consulta de dispositivos (Protocolo)
- Menús del sistema configurables
- Registro de eventos (Event Log)
Adicional a esto se presentan otras Características como:
- Herramientas de gráficos
- Interfaces de programación de aplicaciones (API)
- Seguridad del sistema
- Aplicaciones de Gestión de red
- BayNetworks’ Optivity
- Cisco’s CiscoWorks
- 3Com’s Transcend
1. Explique cada una de los programas de las plataformas de administración de red.
2. Cuáles son las funcionalidades básicas de la gestión de red de las plataformas y las
aplicaciones.
SEGURIDAD EN REDES
OBJETIVO GENERAL
Conocer los diferentes conceptos básicos sobre la prevención y control de la
seguridad en una red informática, estableciendo las diferentes políticas y normas
de seguridad, necesarias para la protección del sistema de información que
compone la red
seguridad en una red informática, estableciendo las diferentes políticas y normas
de seguridad, necesarias para la protección del sistema de información que
compone la red
OBJETIVOS ESPECÍFICOS:
Conocer los conceptos básicos de prevención y control de la seguridad en una red
informática.
Aplicar las políticas y normas de seguridad de una red informática.
Introducción General a la seguridad en redes
La seguridad de redes es un nivel de seguridad que nos garantiza el buen
funcionamiento de todas las máquinas de una red, y nos optimiza la
utilización de los derechos que se les ha concedido a todos los usuarios.
funcionamiento de todas las máquinas de una red, y nos optimiza la
utilización de los derechos que se les ha concedido a todos los usuarios.
Esto puede incluir:
Evitar que personas no autorizadas intervengan en el sistema y lo dañen.
Evitar que los usuarios realicen operaciones involuntarias que puedan
dañar o perjudicar el sistema.
dañar o perjudicar el sistema.
- Asegurar la información mediante la previsión de fallas.
- Garantizar que no interrumpan los servicios.
- Causas de la inseguridad:
Existen cuatro categorías generales de amenazas o ataques:
Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de ficheros.
Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).
Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red.
Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo.
Clasificación de los ataques:
1. Ataques Pasivos:
En los ataques pasivos el atacante no altera la comunicación, sino que únicamente
la escucha o monitoriza, para obtener información que está siendo transmitida.
Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica
más sutil para obtener información de la comunicación, que puede consistir en:
la escucha o monitoriza, para obtener información que está siendo transmitida.
Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica
más sutil para obtener información de la comunicación, que puede consistir en:
Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los
paquetes monitorizados.
Control del volumen de tráfico intercambiado entre las entidades monitorizadas,
obteniendo así información acerca de actividad o inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna
alteración de los datos. Sin embargo, es posible evitar su éxito mediante el
cifrado de la información y otros mecanismos que se verán más adelante.
alteración de los datos. Sin embargo, es posible evitar su éxito mediante el
cifrado de la información y otros mecanismos que se verán más adelante.
Ataques Activos:
Estos ataques implican algún tipo de modificación del flujo de datos transmitido
o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:
o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:
Suplantación de identidad: el intruso se hace pasar por una entidad diferente.
Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo,
secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a
una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la
una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la
entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta.
Reactuación: uno o varios mensajes legítimos son capturados y repetidos para producir un
efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.
Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes
son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el
mensaje “Ingresa un millón de pesetas en la cuenta A” podría ser modificado para decir
“Ingresa un millón de pesetas en la cuenta B”.
Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de
recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos
los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de
una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de
“denegación de servicio”, consistentes en paralizar temporalmente el servicio de un
servidor de correo, Web, FTP, etc.
Planeación de la seguridad
Cuando hablamos de planeación de la seguridad hablamos de establecer políticas (normas) de seguridad que nos brinde la protección de los recursos informáticos de una compañía, institución, empresa, entre otros.
La mayoría de los diseñadores de redes por lo general empiezan a implementar soluciones de firewall antes de ser identificado un problema particular. Quizá una de las razones de esto es que idear una política de seguridad de red efectiva significa plantear preguntas difíciles acerca de los tipos de servicios de redes y recursos cuyo acceso se permitirá a los usuarios, y cuales tendrán que restringirse debido a os riesgos de seguridad.
Métodos de aplicación de la seguridad de redes:
1. Sistemas de detección de intrusos: Son sistemas que permiten analizar las bitácoras de los sistemas en busca de patrones de comportamiento o eventos que puedan considerarse
sospechosos, en base a la información con la que han sido previamente alimentados.
Pueden considerarse como monitores.
2. Sistemas orientados a conexión de red.- Monitorean las conexiones de red que se intentan establecer con una red o un equipo en particular, siendo capaces de efectuar una acción en base a métricas como: origen de la conexión, destino de la conexión, servicio solicitado,etc. Las acciones que pueden emprender suelen ir desde el rechazo de la conexión hasta alerta al administrador vía correo electrónico. En esta categoría están los cortafuegos
(firewalls).
3. Sistemas de análisis de vulnerabilidades.- Analizan sistemas en busca de vulnerabilidades conocidas anticipadamente. La desventaja de estos sistemas es que pueden ser utilizados tanto por personas autorizadas como por personas que busquen acceso no autorizado al sistema.
4. Sistemas de protección a la privacidad de la información.- Herramientas que utilizan
criptografía para asegurar que la información sólo es visible a quien tiene autorización de
verla. Su aplicación es principalmente en las comunicaciones entre dos entidades. Dentro
de este tipo de herramientas podemos situar a Pretty Good Privacy (PGP), Secure Sockets
Layer (SSL) y los certificados digitales tipo X.509.
5. Sistemas de protección a la integridad de información.- Sistemas que mediante
criptografía o sumas de verificación tratan de asegurar que no ha habido alteraciones
indeseadas en la información que se intenta proteger. Algunos ejemplos son los
programas que implementan algoritmos como Message Digest 5 (MD5) o Secure Hash
Algorithm 1 (SHA-1), o bien sistemas que utilizan varios de ellos como Tripwire.
Otras recomendaciones a tener en cuenta:
- manténganse informado.
- conozca su sistema operativo.
- limite el acceso a la red (firewall).
- limite el número de puntos de entrada (puertos).
- Defina una política de seguridad interna (contraseñas, activación de archivos ejecutables).
- Haga uso de utilidades de seguridad (registro).
Protocolos de administración y seguridad en las aplicaciones TCP/IP
Los protocolos de administración de redes, son los que se encargan de administrar los diferentes tipos de servicios (tareas administrativas) que posee una red.
|El protocolo más conocido o el más utilizado es el protocolo TCP/IP en cual tiene a su cargo otros protocolos (servicios) los cuales son:
Telnet:
Es una aplicación que permite desde nuestro sitio y con el teclado y la pantalla de nuestra
computadora, conectarnos a otra remota a través de la red. Lo importante, es que la conexión
puede establecerse tanto con una máquina multiusuario que está en nuestra misma habitación o al otro lado del mundo.
Una conexión mediante Telnet permite acceder a cualquiera de los servicios que la máquina
remota ofrezca a sus terminales locales. De esta manera se puede abrir una sesión (entrar y
ejecutar comandos) o acceder a otros servicios especiales: como por ejemplo consultar un
catálogo de una biblioteca para buscar un libro, leer un periódico electrónico, buscar información sobre una persona, etc.
Normalmente para ello sólo debemos conocer el nombre de la máquina remota y tener cuenta en ella. Aunque en Internet hay muchas cuentas libres que no necesitan password y son públicas. Precisamente para que la gente a través de Internet acceda a estos servicios.
La comunicación entre cliente y servidor se maneja con órdenes internas, que no son accesibles por los usuarios. Todas las órdenes internas de Telnet consisten en secuencias de 2 ó 3 bytes,dependiendo del tipo de orden.
Los problemas más frecuentes que suelen darse con Telnet son del tipo de la configuración de la terminal. En principio, cada computadora acepta que las terminales que se conectan a ella sean de algún tipo determinado (normalmente VT100 o VT200) y si nuestro software de Telnet no es capaz de emular estos tipos de terminales lo suficientemente bien, pueden aparecer caracteres extraños en la pantalla o que no consigamos escribir con nuestro teclado un determinado carácter.
La mayoría de las implementaciones de Telnet no proporciona capacidades gráficas.
Telnet define un NVT (Network Virtual Terminal) que provee la interfaz a los sistemas remotos, sin tener en cuenta el tipo de terminal. Una implementación Telnet lo que hace es mapear la
semántica del terminal local a NVT antes de enviar data por la conexión.8
HTTP:
El protocolo de transferencia de HyperTexto es el pegamento que une el World Wide Web.
El servicio HTTP en un host permite que usuarios a distancia puedan acceder a los ficheros que almacena si éstos conocen su dirección exacta.
El protocolo HTTP define un sistema de direcciones basado en Localizadores Uniformes de
Recursos (URL). El URL de un recurso indica el protocolo o servicio que se emplea para ser
accedido, la dirección del host donde se encuentra el recurso, y la ubicación del recurso dentro del host. Por ejemplo:
La información hypertexto se almacena en formato HTML. Se refiere a cada fichero como
"página". El "Browser" es el programa de usuario que conecta con el servidor mediante HTTP e interpreta la página HTML antes de mostrarla al usuario.
FTP (File Transfer Protocol):
FTP es un protocolo estándar con STD número 9, que significa tipo de datos estructurado. Su
estado es recomendado y se describe en el RFC 959 (estándar) - Protocolo de Transferencia de Ficheros (FTP).
Una de las operaciones que más se usa es la copia de ficheros de una máquina a otra. El cliente puede enviar un fichero al servidor. Puede también pedir un fichero de este servidor.
Para acceder a un fichero remoto, el usuario debe identificarse al servidor. En este momento el servidor es responsable de autentificar al cliente antes de permitir la transferencia del fichero.
Toda conexión FTP implica la existencia de una máquina que actúa como servidor (aquella en la que se cogen o dejan fichero) y un cliente. Lo más habitual es que los usuarios particulares utilicen programas clientes de FTP para conseguir programas albergados en servidores FTP, que se suelen encontrar en universidades, empresas, o proveedores de internet.
Para conectarse a un servidor FTP es necesario un programa cliente. Los navegadores, como
Netscape Navigator o Microsoft Explorer, suelen tener incorporados programas que actúan como clientes y que permiten tomar ficheros de un servidor. Para poder dejar ficheros en un servidor es necesario un programa de transferencia de FTP (además, el servidor ha de permitir que ese usuario tenga derecho a dejar ficheros). Windows'95 tiene la orden FTP, que puede ejecutar desde la línea de comandos.
Los servidores FTP se organizan de manera similar a como lo hace el Administrador de Archivos del Win'3.1 o el Explorador de Win'95: como una estructura de directorios en forma de árbol. Esto significa que cada carpeta que seleccionamos está compuesta a su vez de carpetas y archivos, hasta que una carpeta está compuesta únicamente por archivos.
Para coger un archivo basta picar sobre él (si se trata de un navegador) o utilizar la orden get del FTP en la linea de comandos.
Se pueden enviar o recibir todas las clases de ficheros, ya sean de texto, gráficos, sonido, etc.
Normalmente los ficheros de los servidores se encuentran comprimidos (formatos .zip o .arj para PC, .hqx o .sit para Macintosh, .tar o .gz para Unix, etc.) con el objeto de ocupar el menor espacio posible tanto en el disco como en la transferencia. Para poder descomprimirlos es necesario un programa descompresor.
Existen dos tipos de accesos a un servidor FTP:
Como usuario registrado. El administrador del sistema concede una cuenta al sistema (similar a la de acceso a internet), lo que da derecho a acceder a algunos directorios, dependiendo del tipo de cuenta.
Como usuarios anónimos. En este tipo de acceso el login es anonymous y el password la dirección de correo. Esta es la cuenta que usan por defecto los navegadores.
FTP Offline:
Es enviar un email a un servidor de FTP: se envía un email con la petición de un fichero, te
desconectas, y después el fichero es enviado a tu cuenta de email.
No todos los servidores de FTP-mail funcionan de la misma forma para obtener ayuda específica de un servidor en concreto debes de enviar un email a ese servidor y escribir en el cuerpo únicamente: Help.9
SNMP Simple Network Management Protocol)
Es el protocolo Simple de Administración de Red y está en la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Es parte de la familia de protocolos TCP/IP. SNMP permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.
Las versiones de SNMP más utilizadas son SNMP versión 1 (SNMPv1) y SNMP versión 2 (SNMPv2). SNMP en su última versión (SNMPv3) posee cambios significativos con relación a sus predecesores, sobre todo en aspectos de seguridad, sin embargo no ha sido mayoritariamente aceptado en la industria.10
Componentes Básicos:
Una red administrada a través de SNMP consiste de tres componentes claves:
- Dispositivos administrados.
- Agentes.
- Sistemas administradores de red (NMS’s).
Un dispositivo administrado es un nodo de red que contiene un agente SNMP y reside en una red administrada. Estos recogen y almacenan información de administración, la cual es puesta a disposición de los NMS’s usando SNMP. Los dispositivos administrados, a veces llamados elementos de red, pueden ser routers, servidores de acceso, switches, bridges, hubs, computadores o impresoras.
Un agente es un módulo de software de administración de red que reside en un dispositivo
administrado. Un agente posee un conocimiento local de información de administración (memoria libre, número de paquetes IP recibidos, rutas, etcétera), la cual es traducida a un formato compatible con SNMP y organizada en jerarquías.
Un NMS ejecuta aplicaciones que supervisan y controlan a los dispositivos administrados. Los NMS’s proporcionan el volumen de recursos de procesamiento y memoria requeridos para la administración de la red. Uno o más NMS’s deben existir en cualquier red administrada.11
Servicios de Seguridad y Seguridad en Sistemas Operativos
Los servicios de seguridad son los que protegen los sistemas (datos y transferencia de la
información) de una organización; los cuales se clasifican por servicios de confiabilidad, integridad, autenticación, control de acceso e irrenunciabilidad:
Confiabilidad: requiere que la información sea accesible únicamente por las entidades
autorizadas. La confidencialidad de datos se aplica a todos los datos intercambiados por
las entidades autorizadas o tal vez a sólo porciones o segmentos seleccionados de los
datos, por ejemplo mediante cifrado. La confidencialidad de flujo de tráfico protege la
identidad del origen y destino(s) del mensaje, por ejemplo enviando los datos
confidenciales a muchos destinos además del verdadero, así como el volumen y el
momento de tráfico intercambiado, por ejemplo produciendo una cantidad de tráfico
constante al añadir tráfico espurio al significativo, de forma que sean indistinguibles para
un intruso. La desventaja de estos métodos es que incrementan drásticamente el volumen
de tráfico intercambiado, repercutiendo negativamente en la disponibilidad del ancho de
banda bajo demanda.
Integridad: requiere que la información sólo pueda ser modificada por las entidades
autorizadas. La modificación incluye escritura, cambio, borrado, creación y reactuación de
los mensajes transmitidos. La integridad de datos asegura que los datos recibidos no han
sido modificados de ninguna manera, por ejemplo mediante un hash criptográfico con
firma, mientras que la integridad de secuencia de datos asegura que la secuencia de los
bloques o unidades de datos recibidas no ha sido alterada y que no hay unidades
repetidas o perdidas, por ejemplo mediante time-stamps.
Autenticación: requiere una identificación correcta del origen del mensaje, asegurando
que la entidad no es falsa. Se distinguen dos tipos: de entidad, que asegura la identidad de
las entidades participantes en la comunicación, mediante biométrica (huellas dactilares,
identificación de iris, etc.), tarjetas de banda magnética, contraseñas, o procedimientos
similares; y de origen de información, que asegura que una unidad de información
proviene de cierta entidad, siendo la firma digital el mecanismo más extendido.
Control de acceso: requiere que el acceso a los recursos (información, capacidad de
cálculo, nodos de comunicaciones, entidades físicas, etc.) sea controlado y limitado por el
sistema destino, mediante el uso de contraseñas o llaves hardware, por ejemplo,
protegiéndolos frente a usos no autorizados o manipulación.
No repudio (irrenunciabilidad): ofrece protección a un usuario frente a que otro usuario
niegue posteriormente que en realidad se realizó cierta comunicación. Esta protección se
efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución
de cualquier disputa. El no repudio de origen protege al receptor de que el emisor niegue
haber enviado el mensaje, mientras que el no repudio de recepción protege al emisor de
que el receptor niegue haber recibido el mensaje. Las firmas digitales constituyen el
mecanismo más empleado para este fin.
Sistemas Criptográficos y herramientas de rastreo
Criptografía:
La criptografía se diseñó para efectos de seguridad de la información (cables de acceso), la
criptografía se usa no sólo para proteger la confidencialidad de los datos, sino también para
garantizar su integridad y autenticidad.
Herramientas criptográficas y herramientas de rastreo:
Firma digital: Es Un certificado que puede utilizarse para identificarse en cualquier tipo de
transacción o comunicación electrónica. Permite garantizar que un mensaje emitido ha sido
enviado por el titular del certificado y que no ha sufrido ninguna alteración.
El proceso de firma digital consta de dos partes bien diferenciadas:
1. Proceso de Firma: en el que el emisor encripta el documento con su llave privada,
enviando al destinatario tanto el documento en claro como el encriptado.
2. Proceso de Verificación de la Firma: el receptor desencripta el documento cifrado
con la clave pública de A y comprueba que coincide con el documento original, lo que
atestígua de forma total que el emisor del mismo ha sido efectivamente A.
El método de la firma digital no sólo proporciona autenticidad al mensaje enviado por A, sino que también asegura el no repudio, ya que sólo el dueño de una llave privada puede encriptar un documento de tal forma que se pueda desencriptar con su llave pública, lo que garantiza que ha sido A y no otro el que ha enviado dicho documento.
Asimismo proporciona Integridad de datos, ya que si el documento fuera accedido y modificado en el camino el resumen del documento cambiaría también.
La firma digital suele usarse en comunicaciones en las que no existe una confianza inicial total entre los comunicantes. Se usan para autentificar mensajes, para validar compras por Internet, para realizar transferencias de fondos bancarios y para otras transacciones de negocios.
Tanta es la fuerza que posee éste sistema que a nivel legal la firma electrónica constituye en la mayoría de los casos una prueba de indudable de autoría del envío de un documento electrónico, semejante a la firma tradicional de puño y letra.
Un alegato que podría esgrimir A para negar la autoría del envío de un documento cifrado con su clave privada sería el hecho de haber perdido dicha llave o que se la hayan sustraído, pero
entonces hay que tener en cuenta que A es la única responsable del buen uso de su llave privada, por lo que está obligado a comunicar inmediatamente a la autoridad correspondiente cualquier circunstancia que ponga en peligro la seguridad de la misma.
Esto es análogo a lo que ocurre con las tarjetas de débito o crédito, siendo siempre en último
extremo responsable del uso indebido de las mismas el dueño de la tarjeta si no ha avisado a
tiempo a su entidad financiera o banco de la pérdida o sustracción. 12
Funciones hash
Son funciones matemáticas que realizan un resumen del documento a firmar. Su forma de operar es comprimir el documento en un único bloque de longitud fija, bloque cuyo contenido es ilegible y no tiene ningún sentido real. Tanto es así que por definición las funciones hash son irreversibles, es decir, que a partir de un bloque comprimido no se puede obtener el bloque sin comprimir, y si no es así no es una función hash. Estas funciones son además de dominio público.
A un mensaje resumido mediante una función hash y encriptado con una llave privada es lo que en la vida real se denomina firma digital.
El esquema de firma digital mediante una función hash es el siguiente:
Y su mecanismo es el siguiente:
1. El emisor aplica una función hash conocida al documento, con lo que obtiene un resumen
hash del mismo.
2. Encripta dicho resumen con su clave privada.
3. Envía al receptor el documento original plano y el resumen hash encriptado.
4. El receptor B aplica la función hash al resumen sin encriptar y desencripta el resumen
encriptado con la llave pública de A.
5. Si ambos coinciden está seguro de que ha sido A el que le ha enviado el documento. Si no
coinciden, está seguro de que no ha sido A o de que el envío ha sido interceptado durante
el medio de envío y modificado.
El caso de que ambos resúmenes no coincidan contempla también la posibilidad de que el
mensaje haya sido alterado en su viaje de A a B, lo que conlleva igualmente el rechazo del
documento por no válido.
Las funciones hash y la firma digital son elementos indispensables para el establecimiento de
canales seguros de comunicación, basados en los Certificados Digitales.
Para que una función pueda considerarse como función hash debe cumplir:
Debe transformar un texto de longitud variable en un bloque de longitud fija, que
Generalmente es pequeña (algunas son de 16 bits).
Debe ser cómoda de usar e implementar.
Debe ser irreversible, es decir, no se puede obtener el texto original del resumen hash.
Debe ser imposible encontrar dos mensajes diferentes cuya firma digital mediante la
unción hash sea la misma (no-colisión).
Si se desea además mantener un intercambio de información con Confidencialidad, basta
con cifrar el documento a enviar con la clave pública del receptor.
Las funciones hash más conocidas y usadas son:
MD2, abreviatura de Message Digest 2, diseñado para ordenadores con procesador de 8
bits. Todavía se usa, pero no es recomendable, debido a su lentitud de proceso.
MD4, abreviatura de Message Digest 4, desarrollado por Ron Rivest, uno de los
fundadores de RSA Data Security Inc. y padre del sistema asimétrico RSA. Aunque se
considera un sistema inseguro, es importante porque ha servido de base para la creación
de otras funciones hash. Un sistema de ataque desarrollado por Hans Dobbertin posibilita
el crear mensajes aleatorios con los mismos valores de hash (colisiones), por lo que ya no
se usa. De hecho, existe un algoritmo que encuentra una colisión en segundos.
MD5, abreviatura de Message Digest 5, también obra de Ron Rivest, que se creó para dar
seguridad a MD4, y que ha sido ampliamente usado en diversos campos, como
autenticador de mensajes en el protocolo SSL y como firmador de mensajes en el
programa de correo PGP. Sin embargo, fué reventado en 1996 por el mismo investigador
que lo hizo con MD4, el señor Dobbertin, que consiguió crear colisiones en el sistema
MD5, aunque por medio de ataques parciales. Pero lo peor es que también consiguió
realizar ataques que comprometían la no-colisión, por lo que se podían obtener mensajes
con igual hash que otro determinado. A pesar de todo esto, MD5 se sigue usando bastante
en la actualidad.
SHA-1, Secure Hash Algorithm, desarrollado como parte integrante del Secure Hash
Standar (SHS) y el Digital Signature Standar (DSS) por la Agencia de Seguridad Nacional
Norteamericana, NSA. Sus creadores afirman que la base de este sistema es similar a la de
MD4 de Rivest, y ha sido mejorado debido a ataques nunca desvelados. La versión actual
se considera segura (por lo menos hasta que se demuestre lo contrario) y es muy utilizada
algoritmo de firma, como en el programa PGP en sus nuevas claves DH/DSS (Diffie-
Hellman/Digital Signature Standar). Destacar también que en la actualidad se están
estudiando versiones de SHA con longitudes de clave de 256, 384 y 512 bits.
RIPEMD-160, desarrollada por un grupo de investigadores europeos, entre los que se
encuentra Hans Dobbertin (el reventador de MD4-MD5) y otros investigadores incluidos
en el proyecto RIPE (RACE Integrity Primitives Evaluation). Su primera versión adolecía de
las mismas debilidades que MD4, produciendo colisiones, pero las versiones mejoradas
actuales son consideradas seguras. Maneja claves muy robustas, normalmente de 160
bits, aunque existen versiones de 128 y se están planteando nuevas de 256 y 320 bits. Es
muy rápido, no está patentado y su código fuente es abierto, de libre acceso. 13
Protocolos De Seguridad Y Firewalls
Un protocolo de seguridad define las normas y reglas de las comunicaciones, diseñadas
para que el sistema pueda soportar ataques de carácter malicioso.
Protocolo IP SEC (Protocolo de seguridad de internet): Es un conjunto de protocolos cuya
función es asegurar las comunicaciones sobre el protocolo (IP), autenticando y/o cifrando
cada paquete IP en un flujo de datos.
Protocolo GRE 47: Protocolo de encapsulación de enrutamiento genérico, se emplea en
combinación con otros protocolos de túnel para crear redes de internet virtuales.
PPTP (Protocolo de túnel punto a punto: encapsula los paquetes (frames) del protocolo
punto a punto (PPP) con datagramas IP para transmitirlos por una red IP como Internet.
SSH: Este Protocolo contiene un conjunto de programas que contienen tecnologías de
claves públicas y privadas, para autenticarse y encriptar sesiones entre cuentas de
usuarios y maquinas que estén en internet.14
Firewalls / Cortafuegos
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
Tipos de Firewall
- Filtrado de Paquetes.
- Proxy-Gateways de Aplicaciones.
- Dual-Homed Host.
- Screened Host.
- Screened Subnet.
Inspección de Paquetes
Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es
inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas.
1. Firewalls Personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada.
Beneficios de un Firewall
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estarían expuestas a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de qué tan fácil fuera violar la seguridad local de cada máquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se haya convertido en uso casi imperativo es el hecho que en los últimos años en Internet han entrado en crisis el número disponible de
direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall.
Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el tráfico de la red, y que procesos han influido más en ese tráfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible.
Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados.15
No hay comentarios:
Publicar un comentario