Anda di halaman 1dari 33

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Riesgos de Seguridad y
Medidas de Proteccin
en Redes LAN

Ricardo Daniel Ponce

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

INDICE
Resmen

1.Introduccin

2.La seguridad y las redes actuales

3.Los Riesgos que afectan a una red

3.1
3.2
3.3
3.4

Prdida del equipo


Amenazas de software
Mal uso por personas autorizadas
Uso fraudulento por personas no autorizadas

10
11
12
13

4.Riesgos crticos

14

5.Herramientas y medidas de seguridad

15
15

5.1 Herramientas de prevencin


5.1.1
5.1.2
5.1.3
5.1.4

Medidas de prevencin contra


Medidas de prevencin contra
Medidas de prevencin contra
Medidas de prevencin contra
personas no autorizadas

la prdida de equipos
las amenazas de software
el mal uso de personas autorizadas
el uso fraudulento por

5.2 Herramientas de proteccin contra intrusos


5.2.1 Relacionadas con los

usuarios

5.2.1.1 Contraseas
5.2.1.2 Identificacin de usuarios
5.2.1.2.1 Identificacin de usuarios
mediante tarjetas inteligentes
5.2.1.2.2 Identificacin de usuarios
mediante autenticacin biomtrica
5.2.2 Herramientas de encriptacin
5.2.2.1 Encriptacin WEP o WPA

15
16
16
16

17
18
18
19
19
20

20
21

5.2.3 Utilizacin de filtros MAC

22

5.2.4 No publicar la identificacin SSID en redes Wifi

23

5.2.5 No habilitar DHCP

24

5.2.6 Utilizar un Firewall

24

5.2.6.1. Tipos de Firewall


5.2.6.1.1. Proxy o Servidor de Defensa
5.2.6.1.2. Gateways a nivel aplicacin
5.2.6.1.3. Ruteador filtra paquetes

26
26
27
27

5.2.7 Medidas fsicas de seguridad

27

5.3 Herramientas para recuperacin de datos

28

5.3.1 Copias de seguridad de archivos


5.3.2 RAID (Redundant Array of Independent Disk)

28
28

6. Recomendaciones bsicas de seguridad

29

7. Conclusiones

30

Bibliografa

32

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Resmen
Desde el punto de vista del administrador,
uno de los objetivos de la gestin es asegurar
que el sistema permanezca libre de peligros
que puedan sabotear su operabilidad normal.
Con el auge de la conectividad masiva y el
crecimiento sostenido de internet y las
comunicaciones inalmbricas, los peligros
potenciales se multiplican, as como la
posibilidad de intrusiones, prdida de datos o
daos a la informacin.
Las polticas de seguridad tratan de eludir esos peligros y preparar al administrador para el
momento en que las medidas de seguridad perimetrales sean violadas, protegiendo los datos y la
informacin para minimizar los posibles daos y mantener la operabilidad normal del sistema.
As es que uno de los pilares de la administracin es mantener la integridad, disponibilidad y
confidencialidad de la informacin dentro de la red, evitando de ese modo que la organizacin
detenga la continuidad de sus procesos normales de funcionamiento.
Hoy en da es poco frecuente encontrar redes que no tengan segmentos inalmbricos, por lo que a
la seguridad se le agrega un problema adicional, que es justamente el de carecer de barreras
fsicas.
En esta monografa se trata de orientar al personal tcnico sobre las medidas usuales de
seguridad que deben ser tenidas en cuenta al momento de gestionar los recursos y la informacin,
destacando especialmente que en la actualidad casi todas las redes que combinan la conectividad
de cable con las seales inalmbricas.
Las redes Wifi y cableadas cuentan con elementos de seguridad suficientes pero el mayor
inconveniente es que estos sistemas no funcionan si sus usuarios no los utilizan o no son tenidos
en cuenta en la planificacion y administracin de ese tipo de redes.
En este documento pretendo repasar brevemente todos los aspectos que debe contemplar una
planificacin moderna de seguridad analizando diversos puntos de vista, posibilidades y
estrategias, tratando de ayudar al administrador a entender cules son las debilidades ms
evidentes y urgentes de su red.

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

1. Introduccin

La seguridad desde el punto de vista del administrador


de la red busca asegurar que el sistema est libre de
peligros potenciales as como evitar la prdida o los
daos a la informacin, manteniendo la integridad,
disponibilidad y confidencialidad de la misma dentro
de la red, evitando de ese modo que la organizacin
detenga la continuidad de sus procesos normales de
funcionamiento.

Integridad quiere decir que los recursos de la red pueden ser usados y modificados por
personas autorizadas y en modo controlado.

Disponibilidad significa que los elementos de hardware y software se mantienen


accesibles al personal autorizado de la organizacin.

La Confidencialidad tiene por fin garantizar que la informacin slo es accesible por la
organizacin y el personal autorizado, evitando su difusin hacia entidades externas.

Es por eso que a grandes rasgos, toda poltica de seguridad que se


implemente en un sistema tiende a permitir el acceso slo a
personas autorizadas, proteger la informacin y evitar la prdida o
control de uno o varios equipos de la red.
Pero desde el punto de vista prctico, el hecho de que una persona
pueda entrar al sistema, as como acceder a los recursos y a la
informacin, hace que el sistema deje de ser impenetrable porque
es posible que un intruso averigue el modo de entrar mediante
accesos autorizados. La primer premisa de seguridad a la que debe
prestar atencin un administrador de red es que justamente una red
que tenga accesos permitidos programados deja de ser absolutamente impenetrable.

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

2. La seguridad y
las redes actuales

En la actualidad es poco frecuente encontrar redes que no tengan segmentos inalmbricos, por lo
que a la seguridad se le agrega un problema adicional, que es justamente el de carecer de
barreras fsicas.
En las redes wifi o redes que tienen segmentos inalmbricos, cualquier persona con una tarjeta wifi
y conocimientos, puede acceder a un punto de acceso y tener la posibilidad potencial de hacer uso
de los recursos de la red.
Si bien en las redes corporativas o profesionales, gestionadas por administradores u operadores
capacitados este tipo de riesgo adicional es tenido en cuenta al momento de la planificacin, en las
redes hogreas o de aficionados, muy pocos usuarios se toman en serio las medidas de seguridad.
Es frecuente que se instale una red Wi-Fi sin modificar la configuracin que trae el sistema por
defecto.
Desde el punto de vista tcnico, las redes Wi-Fi incorporan elementos y sistemas de seguridad
suficientes como para garantizar la confidencialidad, integridad y autenticidad de toda la
informacin. Pero inconveniente es que estos sistemas no funcionan si sus usuarios no los utilizan
o no son tenidos en cuenta en la planificacion y administracin de ese tipo de redes.
Tener un sistema de seguridad no es suficiente si los usuarios no se rigen por las medidas o
protoclos de seguridad implementados. De este modo las medidas de seguridad y el modo de
trabajar de los propios usuarios confluyen al momento de plantear
los riesgos reales de una red.
Es por eso que en la administracin de seguridad se dice que el
ms frecuente punto dbil de la seguridad son los propios
usuarios. Las redes Wi-Fi requieren ms atencin en materia de
seguridad que las redes cableadas, principalmente porque
muchos de sus usuarios no son todava
conscientes de los riesgos.
En el usuario comn la amplia disponibilidad de redes wifi y
cotidianeidad en su uso personal y profesional, crea un falso
sentido de confianza al hacerle creer que sabe operar correctamente con este tipo de redes, y
tiene en cuenta todos los aspectos prcticos que hacen a la seguridad, lo que no es cierto en la
prctica y es justamente contra lo que deben lidiar los adminsitradores de seguridad.

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

3. Los Riesgos que


afectan a una red

La seguridad es un riesgo para las redes. Todas las tecnologas que han aparecido en el mercado
hasta la fecha desde el inicio de la era de la informtica son suceptibles de un modo u otro de ser
violadas en lo que se refiere a la integridad, confidencialidad o autenticidad de los datos que
contienen.
Si la red est formada por cables, el permetro por el que transcurre la informacin y los puntos de
conectividad con el exterior de la LAN son fcilmente detectables y pueden ser controlados
estrictamente.
Pero cuando la red es completamente Wifi o tiene segmentos inalmbricos, las seales que forman
parte del sistema de conexin pueden ser fcilmente monitoreadas desde el exterior del recinto
vigilado y los instrusos tienen una va adicional de intrusin, que se potencia por la imposibilidad de
controlar el permetro preciso de emisin de las seales. Esto ciertamente es una cuota de riesgo
aadido a las redes. Pero la buena noticia es que ese riesgo es controlable.
Al igual que las redes de cable, en los segmentos wifi se deben tener en cuenta todos los puntos
tecnolgicamente dbiles, pero que en este caso involucran a las seales emitidas y por ende, los
llmites dejan de ser fsicamente definidos por lo que el administrador deber lidiar con una serie de
conceptos puntuales que son inherentes a la naturaleza Wifi y que corresponden a los rangos de
extensin de la seal.
Todos los riesgos que pueden afectar a una red son controlables, cualquiera sea la naturaleza de
la red, pero el riesgo siempre ser mayor cuantas menos medidas de seguridad tomemos. En esta
premisa entra en juego la capacidad del administrador de seguridad, que deber equilibrar las
medidas de seguridad con la facilidad operativa teniendo en cuenta la naturaleza de la red y el
valor de los recursos y la informacin, ya que no es lo mismo administrar una red hogarea, una
red de un banco o una red de un organismo de seguridad nacional. Desde el punto de vista del
administrador los riesgos potenciales dependern entonces de la naturaeza de lo que protege y la
posibilidad de intrusin, que deber ser previsto justamente con ms o menos medidas de
seguridad que de un modo u otro dismunirn la facilidad operativa de la misma.
Como el mayor punto dbil de la red lo constituyen los operadores humanos, las medidas de
seguridad aplicadas debern tener en cuenta justamente este eslabn frgil, y evitar sobrecargar a
la seguridad con medidas que dependan excesivamente de los operadores humanos, propensos a
cometer errores.

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

La planificacin de seguridad deber contemplar entonces estas premisas

Determinar que recursos deben ser protegidos dentro de la red

Determinar de qu debemos proteger esos recursos

Determinar el grado de proteccin que necesitarn esos recursos

Por supuesto que este anlisis deber tener en claro que medidas y herramientas implementar
para alcanzar el nivel de seguridad definido para la red sin desequilibrar la relacin costo/beneficio
y sin afectar la operatividad normal de la red.
Una vez que el administrador defina estos elementos se podrn disear las polticas de seguridad
adecuadas que debern implementarse y crear el permetro de defensa adecuado que permita
proteger los recursos y la informacin. Como hemos mencionado, si la red tiene algn componente
Wifi, ese permetro no ser fsico, sino operativo y extensivo al alcance de las seal o seales
involucradas en el o los segmentos wifi.

Las cuatro categoras de riesgos que preocupan en el uso de cualquier tecnologa de red son las
siguientes:

Prdida del equipo

Amenazas de software

Mal uso por personas autorizadas

Uso fraudulento por personas no autorizadas

3.1 Prdida del equipo

Tanto en una organizacin como en una computadora


individual, la cantidad de informacin que se almacena
puede llegar a lmites insospechados. Desde listado de
clientes, datos de cuentas de la empresa, descripciones de

10

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

productos, correspondencia y mensajera con proveedores y clientes, agenda de contactos,


nmeros de tarjetas de crdito, fotos y videos personales o comerciales, informacin
confidencial o personal, incluso puede contener claves de acceso a distintos recursos o
medios, etc.
Dentro de esta categora debemos considerar no slo la posibilidad cierta de que un ataque
exterior a la red tome el control del equipo mediante un hacker o un software automtico,
sino tambin los desastres naturales como terremotos, tormentas elctricas, inundaciones y
los problemas propios del medio ambiente del equipo como problemas del sistema de
alimentacin elctrico, incendios, humo, polvo de extintores y en general cualquier problema
que afecte al entorno de los equipos.
Perder una computadora puede convertirse en un gran problema no slo por la posible
prdida de la informacin en caso de un ataque destructivo o accidental, sino por la prdida
de la confidencialidad de la misma ante la posibilidad de que sea copiada . A esto ltimo se
le suma el hecho de que la computadora perdida dentro del sistema puede ser usada para
acceder a otros recursos o equipos dentro de red administrada.
Este problema existe tanto en redes cableadas como en redes Wifi o redes mixtas. Si la red
es cableada y dispone de acceso remoto, cualquiera podra acceder desde cualquier parte
del mundo a travs de Internet. O el intruso podra usar un acceso autorizado violando el
permetro fsico de la misma. Si la red es inalmbrica, el acceso se tendra que hacer
necesariamente desde una zona de cobertura. Si la red es mixta el ataque puede provenir
de cualquier lado.
La clave consiste en mantener funcionando de modo adecuado todos los elementos de la
seguridad que describiremos en las secciones correspondientes.

3.2 Amenazas de software

Los virus informticos se han convertido en uno de los


grandes problemas tcnicos actuales. Son pequeos
programas que llegan por diversos medios a las
computadoras para causar algn tipo de dao directo o

indirecto, tomar el control del ordenador, obtener o capturar informacin o modificar algunos
aspectos funcionales del sistema con un fin determinado.
Los virus terminan afectando a todo tipo de redes, sean cableadas o inalmbricas.
Afortunadamente se cuenta en la actualidad con herramientas de calidad suficiente para
mantener controlados los ataques por virus dentro del sistema.
Dentro de esta categora tambin debemos considerar el software mal desarrollado que
contiene errores o bugs, las herramientas de seguridad que en caso de prdida del control
de un equipo o de la red, pueden ser usadas por los atacantes. Las puertas traseras o atajos
que se colocan en los programas por los desarrolladores para tener mayor velocidad en la
deteccin y depuracin de fallos y que suelen mantenerse an despus de liberar las
versiones definitivas de los programas.

11

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

No se deben olvidar las bombas lgicas, que son cdigos includos dentro de programas y
permanecen en modo de escucha hasta ser activadas, provocando dao, capturando
informacin o canalizando datos a vas alternativas a las legales.
Algunos software pueden usar canales o puertos de comunicacin encubiertos que permiten
transferir informacin violando las polticas de seguridad del sistema por lo que se hace
conveniente monitorear permanentemente los puertos abiertos dentro del sistema.

3.3 Mal uso por


personas autorizadas

El uso inadecuado del sistema de modo


intencional o accidenal, es una amenaza de la
que resulta un poco ms difcil protegerse.
Uno de los problemas ms imprevisibles de las organizaciones se presenta por el mal uso
intencional de los recursos de la red, sobre todo porque el personal autorizado se encuentra
dentro del sistema y tiene un grado o nivel de dificultad menor con respecto a un atacante
del exterior.
Las personas son el factor de riesgo ms importante que debe considerar el administrador
porque constituyen el eslabn ms dbil de la seguridad. No necesariamente las personas
deben tener intenciones de causar dao, pero an sin intencin pueden causar enormes
prdidas por error en las operaciones o por omisin de medidas de seguridad.
Clsicamente se consideran dos tipos de atacantes: los pasivos, que son aquellos que
entran en el sistema pero no destruyen datos sino que buscan y copian informacin y los
atacantes activos, que entran y modifican al sistema.
Desde este punto de vista se deben considerar como riesgo al propio personal de la
empresa. Los empleados insatisfechos, infieles o despechados pueden robar o directamente
destruir informacin, principalmente en casos de espionaje comercial y/o industrial,
negociaciones con la competencia para nuevas contrataciones, despidos justificados o
injustificados, etc.

Cuando un usuario ha pasado todos los niveles de seguridad que se les ha asignado, y se
encuentra dentro del sistema se hace sumamente difcil controlar detalladamente sus pasos
dentro de la red. El seguimiento es posible gracias a diversos programas trazadores y an
reportes, pero desde el punto de vista administrativo se hace muy difcil el seguimiento por la
cantidad de informacin que el administrador deber leer, as es que en ocasiones hay que
privilegiar la previsin mediante el uso de polticas de asignacin de claves y restriccin de
accesos antes que controlar las actividades de los usuarios.
Usualmente esto se complementa con una estricta poltica de gestin de copias de
seguridad (backups) que permiten preservar la informacin.
Este tipo de riesgos crea la necesidad de crear e implementar polticas de seguridad
adecuadas en la empresa que incluyan programas de formacin a los usuarios y hacer
controles peridicos de su cumplimiento, que se conocen como auditoras de seguridad.

12

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

3.4 Uso fraudulento por


personas no autorizadas

Cuando una red es slo de cable, la seguridad debe


contemplar se desde el punto de vista de la
conectividad fsica (tendido de cables, bocas de
acceso, etc) y de las conexiones (puertas de enlace,
etc). Cuando hay puntos de acceso wifi se hace
necesario adems contemplar la posibilidad de intrusos que accedan mediante las reas de
cobertura.
Es por eso que a menudo se hace referencia a la desventaja de las redes inalambricas con
respecto a las cableadas. Por este motivo es importante que el administrador tenga en claro
que se debe pensar que la seguridad perimetral se extiende ms all del permetro fsico de
la red y trabajar en los protocolos en consecuencia.
Se debe considerar la posibilidad de que exempleados puedan atacar el sistema,
principalmente si fueron despedidos o si existe la posibilidad de que acceda a informacin
suceptible de ser robada, sobre todo en casos de empleados capturados por la competencia.
Se hace necesario tener en claro que los ex usuarios conocen las debilidades del entorno
as como la organizacin interna de la informacin.
Los crackers tienen como objetivo principal ingresar para satisfacer la curiosidad tcnica o
para usar las redes como enlace hacia otros lugares, probando tcnicas y formas novedosas
de ataques, que suelen tener diversos grados de conocimientos tcnicos. Un grado ms
avanzado de atacante son los terroristas informticos, que son individuos que atacan al
sistema para causar daos, tomar el control u obtener informacin con diversos fines, incluso
los econmicos.
Una variedad aparte constituyen el grupo de intrusos remunerados, que generalmente son
muy peligrosos porque tienen una gran experiencia en seguridad y tcnicas de intrusin y
evasin. Son verdaderos profesionales que alquilan sus conocimientos y sevicios para robar
informacin, provocar daos o modificar datos tratando de afectar la operatividad bsica.

13

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

4. Riesgos crticos

De los riesgos mencionados, la Prdida del Equipo es muchas veces el riesgo que se considera
como el ms crtico por parte del administrador de la red.
Perder el control de un equipo puede traer consecuencias que varan de acuerdo al tipo de equipo
que se pierda:

Se pierde la informacin guardada en el terminal: informacin comercial, estratgica,


bancaria, datos de cuentas como nombres de usuarios, passwords, listas de clientes, listas
de saldos, pedidos, etc. Dependiendo de la estrategia o protocolo de seguridad que se
lleve adelante en la empresa, esta prdida de datos puede ser ms o menos crtica y las
consecuencias siempre son imprevisibles. Hay que tener en cuenta que por ms que las
reglas y protocolos de seguridad del administrador de la red sean estrictos, el punto dbil
de la seguridad siempre es el usuario. Por ms que la reglas de seguridad indiquen que la
informacion estratgica o de seguridad de la empresa no sea guardada localmente, los
usuarios del equipo que se pierde pueden haber dejado informacin importante guardada
localmente. La perdida de un equipo de red siempre puede traer consecuencias
imprevisibles que deben evaluarse, analizarse y contrarestarse (en caso de ser posible) a
partir del ataque. La informacin no slo puede ser accedida y robada para diversos fines,
sino que tambin puede ser eliminada por el intruso en el caso que el ataque tenga por
objeto hacer dao y destruir datos dentro de la red.

El ordenador perdido puede convertirse tambin en el enclave estratgico del intruso para
proceder a acceder a la red interna de la empresa. En algunos casos, cuando los ataques
son bien planificados, puede suceder que no se provoquen daos a la informacin, sino
robo de la misma y el equipo sea utilizado por los intrusos como un equipo zombie a
travs del uso de algn troyano, o que se le instale algn software de captura de datos
como keyloggers (para captura de nombres de usuario o contraseas), analizadores de
comportamientos, gusanos para expandir algn virus, etc.

Como se puede ver, desde este punto de vista que expongo, los riesgos ms crticos pueden
derivarse de la perdida de un equipo en red. Incluso muchos virus informticos tienen por objeto
que se pierda el control de un equipo para que ste sea utilizado de manera fraudulenta (redes
zombies que generan ataques de denegacin de servicios, troyanos que permiten tomar el control
remoto de equipos a distancia, gusanos que expanden mensajes, propagan virus, extraen
informacin, etc).

14

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

5. Herramientas y
medidas de
seguridad
La nica manera de conseguir seguridad en cualquier sistema informtico es implementando las
tcnicas de proteccin adecuadas. Ninguna tcnica de proteccin es eficaz al cien por cien,
siempre existe riesgo. Pero mientras ms barreras de seguridad se implementen, menor ser el
riesgo.
Siempre es conveniente recordar que el punto ms dbil de la seguridad la constituyen los
usuarios.
No sirve de mucho si un sistema de cifrado es completamente seguro si no se activa, si sus claves
son evidentes o si se deja con la configuracin por defecto.
Consideraremos tres tipos de herramientas de seguridad:

Herramientas de prevencin
Herramientas de proteccin contra intrusos
Herramientas para recuperacin de datos.

5.1 Herramientas de prevencin

Son aquellas que aumentan la seguridad de un sistema


durante el funcionamiento normal de ste impidiendo la
aparicin de problemas de seguridad y aportan un
conjunto de medidas que tienden a dejar circunscripto al
problema dentro de un margen tolerable que no impide
la operatividad normal del sistema.

5.1.1 Medidas de prevencin contra la prdida de equipos


Es muy importante tomar las precauciones mnimas para evitar dentro de lo posible la
prdida o robo del equipo. Tambis es necesario prepararse para esa eventualidad.
En esos casos es importante no dejar grabados en el equipo datos considerados
vitales tales como nombres de usuario y contrasea, ni dejar estos datos escritos en
papeles que estn permanentemente con el equipo o en documentos fcilmente
identificables.

15

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

5.1.2 Medidas de prevencin contra las amenazas de software


Un virus informtico es un programa que se propaga de un sistema a otro por medio
de la generacin de copias idnticas de s mismo. Estas copias pasan de una
computadora a otra a travs de medios de entrada/salida.
El poder de propagacin es algo que caracteriza a este tipo de programas. El poder
hacer copias de s mismo y de pasar de un sistema a otro de manera inadvertida,
hacen que no se pueda prever el alcance de las infecciones.
Los daos que puede producir un virus estn generados por caractersticas propias de
cada cdigo y por lo general se diferencian entre virus que se instalan y se ejecutan
disimuladamente en el sistema efectuando copias de s mismos sin mayores acciones
y terminan provocando anomalas de funcionamiento y
aquellos que estn
programados para ejecutar acciones dentro del sistema que pueden ser dao directo,
robo de informacin, captura de datos, etc.
La funcin de un programa antivirus es la de detectar la presencia o el accionar de un
virus informtico y tratar de eliminarlo cuando est instalado o impedir su instalacin
cuando se detecta el acceso del mismo.
Todo usuario de computadoras debera implementar una estrategia de seguridad
antivirus, no slo para proteger su propia informacin sino para evitar convertirse en
un agente de dispersin del virus.
Un antivirus es slo una herramienta que no es eficaz en el cien por cien de los casos
si no se sigue un protocolo de seguridad. Por lo tanto, la nica forma de que
constituya un bloqueo eficaz para un virus es que se lo utilice con determinadas
normas y procedimientos.
Estas normas tienden a controlar la entrada de archivos al disco rgido de la
computadora, lo cual se logra revisando con el antivirus todos los disquetes, medios
de almacenamiento en general, todos los archivos y, por supuesto, disminuyendo al
mximo todo tipo de trfico.

5.1.3 Medidas de prevencin contra el mal uso de personas


autorizadas
El mal uso del sistema intencional o accidental por personas autorizadas suele
aparecer en los entornos corporativos, por lo que su solucin se basa en implantar
una poltica de seguridad donde se defina cules son los puntos importantes que
deben tener en cuenta los empleados.
La poltica debe abarcar tpicos tales como uso de las claves, copias de seguridad,
etc. Es importante plasmar estos puntos en un documento y difundirlo
adecuadamente, adems de ofrecer formacin sobre el uso de los ordenadores, las
posibles amenazas a la seguridad y cmo evitarlas.

5.1.4 Medidas de prevencin contra el uso fraudulento por


personas no autorizadas
A pesar de que la mayora de los usuarios tiene en mente el problema de la
seguridad, lo cierto es que no se le suele dedicar mucha atencin. Por ejemplo, es
habitual dejar los productos con su configuracin por defecto.

16

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Si hay algo que conocen los intrusos es la configuracin por defecto de los equipos.
Por ello, es recomendable cambiar las claves de acceso y activar las medidas de
seguridad no configuradas por defecto, principalmente en los segmentos Wifi de la
red, que involucra claves de tipo WEP o WPA.
A nivel de los routers es tambin importante ocultar la identificacin SSID, no habilitar
DHCP o utilizar un firewall.

5.2 Herramientas de proteccin


contra intrusos
Son aquellas que se utilizan para detectar intentos o
violaciones de la seguridad, permiten buscar
posibles fallos o puntos dbiles por los cuales
pueden ingresar ataques y finalmente evitar las
intrusiones dentro del permetro de la red.
Un intruso es cualquier persona que entra en la red sin autorizacin. En el caso de las redes
en general los intrusos pueden venir desde internet o usand indebidamente un enlace
interno de conexin (boca rj45). Si la red tiene un segmento inalmbrico, el intruso puede
acceder a partir de un punto de acceso sin estar dentro del permetro fisico de la red, pero
dentro del rea de cobertura.
A veces la intrusin consiste en establecer la comunicacin sin hacer uso de los recursos de
la red, pero escuchando e interpretando la informacin que intercambian los usuarios
autorizados.
A menudo el intruso puede impedir el uso normal de la red saturndola.
En el caso de redes Wifi el acceso, la escucha y la saturacin pueden evitarse cifrando las
comunicaciones, pero es conveniente complementar el uso del cifrado con otros conjuntos
de medidas y herramientas disponibles tambin para la parte cableada de la misma.
Analizaremos:

Herramientas relacionadas con los usuarios

Herramientas de encriptacin

Utilizacion de filtros MAC

No publicar identificacin SSID en redes wifi

No habilitar DHCP

Usar un Firewall

Medidas fsicas de seguridad

17

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

5.2.1 Relacionadas con los usuarios


Estas medidas tienen por fin identificar de modo correcto a los usuarios legtimos y
permitirles el acceso.
5.2.1.1 Contraseas
El mtodo de identificacin ms utilizado en las
redes es la identificacin mediante usuario y
contrasea. Si no se lo utiliza de modo adecuado
puede llegar a tener un nivel de seguridad muy
bajo, por lo cual es muy dependiente del usuario.
Segn el CERT (Computer Emergency Response Team, 'Equipo de respuesta
para emergencias informticas' del Gobierno de los Estados Unidos), el 80%
de las violaciones de ordenadores son debidas al uso de claves de acceso
inadecuadas.
Por tanto, a la hora de elegir una palabra clave es importante tener en cuenta
las siguientes diez reglas bsicas:

Que tenga una longitud mnima de seis caracteres (pero, a ser

posible, mayor).

Que no sea una palabra con significado (por ejemplo, PAPA).

Que no se corresponda con las iniciales del nombre del usuario

de la empresa (por ejemplo, TdE o IBM).

Que no sea una letra repetida (por ejemplo, AAAA).

Que no est formada por letras contiguas del alfabeto (por

ejemplo, ABCD).

Que no est formada por teclas contiguas del teclado (por

ejemplo, QWERTY).

Que mezcle letras maysculas, minsculas y nmeros (por

ejemplo, T2pY1h).

No compartirla con nadie.

No la deje escrita junto al equipo.

Y, por ltimo, cambie peridicamente las claves de acceso.

Existen trucos para recordar claves aparentemente complejas. Por ejemplo:


reemplazar letras por nmeros o signos ('<0m0k#0?' en vez de 'Cmo que
no?'), elegir una palabra sin sentido, aunque pronunciable ('m1k0f3' por 'micofe')
o utilizar acrnimos de frases no populares ('Np6+xlN' por 'No puedo beber ms
por las noches').
Ante la menor sospecha de que alguien pudo haber accedido indebidamente,
se debern cambiar las claves. Como medidas preventiva adicional, ante el

18

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

ingreso incorrecto de una contrasea por segunda o tercera vez el sistema


debera:

Avisar con una leyenda, que slo se tiene tiene una oportunidad ms
para ingresarla

En caso de equivocarse nuevamente, el sistema debera bloquear al


usuario hasta que el administrador destrabe al usuario dentro del
sistema.

5.2.1.2 Identificacin de usuarios


Este conjunto de herramientas tiene por fin autenticar que las personas que
acceden son realmente los usuarios autorizados.
Esa persona sea quien dice ser realmente. Para ello, existen distintos mtodos,
que se dividen en tres categoras, de acuerdo a lo que utilizan para verificar la
identidad, las cuales pueden ser:

Identificacin mediante tarjetas inteligentes

Autenticacin biomtrica

5.2.1.2.1 Identificacin de usuarios


mediante tarjetas inteligentes
Las tarjetas inteligentes son resistentes a
la adulteracin y ofrecen funciones de
almacenamiento
seguro
para
el
procesamiento.
Al introducir la tarjeta en el lector los dos dispositivos se identifican entre
s con un protocolo a dos bandas en el que es necesario que ambos
conozcan la misma clave, lo que elimina la posibilidad de utilizar tarjetas
de terceros para autenticarse ante el lector de una determinada
compaa.
Tras identificarse las dos partes, se lee la identificacin personal (PID) de
la tarjeta, y el usuario teclea su PIN; se inicia entonces un intercambio en
el que se enva el PID a la mquina y sta solicita a la tarjeta una
respuesta con la clave personal del usuario. Si la respuesta es correcta,
el host ha identificado la tarjeta y el usuario obtiene acceso al recurso
pretendido.
Algunas de las ventajas de utilizar las tarjetas son:
Economa por su bajo costo
Es un mtodo muy difundido y conocido por los usuarios
Es un medio muy difundido

19

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

5.2.1.2.2 Identificacin de usuarios


mediante autenticacin biomtrica
Estos sistemas se basan en la deteccin de
caractersticas fsicas del usuario a identificar.
Tiene la ventaja de que es muy dificultoso
vulnerarlo.

Entre los mtodos mencionaremos:


Verificacin de la voz: para mejorar su eficacia, debe haber
ausencia de ruidos. Este sistema puede ser vulnerado mediante
tcnicas de simulacin.
Verificacin de escritura: que se basa en la bsqueda de ciertos
rasgos de la firma. En este mtodo se investiga: la forma de
firmar, el tiempo utilizado y el ngulo del trazo.
Verificacin de huellas: se sabe que no hay dos persona que
posean las mismas huellas dactilares. Como desventaja
mencionaremos la incapacidad de validar en el caso en que el
dedo est lastimado, sucio o por el estado de la piel.
Verificacin de patrones oculares: existen mtodos que analizan
patrones retinales o la estructura del iris. Son de costos muy
elevados.
Verificacin de la geometra de la mano: de los sistemas
biomtricos, es de los ms rpidos y tiene una posibilidad de
error aceptable.

5.2.2 Herramientas de encriptacin


La criptografa es un mtodo de seguridad que
sirve para resguardar todo tipo de informacin,
comunicaciones, identificaciones y claves. Todos
los archivos bsicos o maestros de la red, as
como toda trasferencia de datos deben estar
encriptados.
La idea de este mtodo es transformar el texto normal a u texto cifrado , con lo cual el
enemigo lee el texto cifrado, no el original. Para poder acceder al verdadero es
necesario una clave que solo conocen el emisor y el receptor. En las organizaciones
hay informacin confidencial, a la que puede tener acceso solamente personas
autorizadas. Para ello se comenzaron a utilizar tcnicas de criptografa.
Esto nace a partir de la problemtica de las empresas de mandar informacin
importante, mediante un canal de comunicacin poco seguro como es el caso de
Internet. A esto se le llama Sistema de Encriptacin, para lo cual utiliza una clave de
encriptacin denominada llave, necesaria para acceder a la informacin autntica.
Hay dos tipos de cifrados:

20

Por sustitucin en donde cada letra o grupo de letras se reemplaza por otra
letra o grupo de letras para disfrazarla.

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Por transposicin en donde se reordenan las letras pero no son disfrazadas.

La criptografa de clave pblica requiere que cada usuario tenga dos claves, una
pblica, usada para cifrar mensajes destinados a un usuario y una clave privada,
usada slo por el usuario para descifrar mensajes.
Existen dos tipos de claves de encriptacin:

Claves Simtricas: en las que los algoritmos o claves de encriptacin y


desencriptacin son las mismas.

Claves Asimtricas: que usan una clave o algoritmo para grabar o trasmitir y
otra para leer o recibir e interpretar el mensaje.

Los sistemas de clave asimtrica son los que se estn imponiendo, ya que ofrecen un
mayor grado de seguridad. Sobre todo porque no hace falta que la clave sea conocida
por ms de una persona.
5.2.2.1 Encriptacin WEP o WPA
En el caso de las redes Wifi o redes que tengan un
segmento inalmbrico, se usa el cifrado WEP y
WPA, que
son sistemas de cifrado de la
informacin que permiten que slo los equipos con
la clave correcta puedan conectarse al punto de
acceso; y adems permiten que la informacin
intercambiada entre los usuarios y el punto de
acceso est cifrada, y por lo tanto, oculta a los
intrusos.
El sistema WEP es el originario de Wi-Fi y, aunque supone una buena medida
de proteccin, se le encontraron debilidades, por lo que fue sustituido por el
sistema WPA.
El inconveniente de estos sistemas de cifrado es que es necesario introducirlos
manualmente en cada uno de los equipos de la red inalmbrica (punto de
acceso y ordenadores de usuarios), lo que no supone problemas en redes
pequeas, pero en el caso de las redes corporativas complica su gestin. Sobre
todo teniendo en cuenta que para mantener un alto nivel de seguridad es
necesario modificar la clave peridicamente.
Es necesario tener en claro que en el momento en que se introduce la clave se
pierde la conexin con todos los equipos que no dispongan de la misma.
La configuracin en el punto de acceso depende del equipo en cuestin, pero
se trata de buscar las opciones de cifrado (Encryption), seleccionar la opcin de
cifrado elegida (WPA, WEP de 40/64 o 104/128 bits) y elegir el modo como se
va a introducir la clave.
La clave es realmente un conjunto de caracteres hexadecimales. Esto quiere
decir que se puede utilizar cualquier nmero y las letras de la A a la F. No
obstante, como introducir un cdigo hexadecimal puede resultar incmodo, se
puede elegir la opcin de utilizar una frase clave o passphrase.

21

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

A pesar de que WPA es ms seguro, WEP se sigue utilizando mayoritariamente


por dos motivos principales:
No todos los dispositivos son compatibles con WPA, lo que se torna en una
primera dificultad. Puede suceder que la tarjeta de red sea compatible,
pero el driver instalado no pueda operar con WPA. Este un primer
inconveniente por parte de los usuarios. Se requiere que la tarjeta sea
compatible y adems se tenga el driver correcto instalado para que el
binomio hardware+driver pueda soportar WPA. Recordemos adems que
una red actual no slo incluye dispositivos tipo computadoras de escritorio
(desktop, all-in-one), porttiles (netbooks, notebooks, ultrabooks, etc) y
tablets, sino tambin una serie de dispositivos que ahora integran la red
formando una parte dinmica y operativa de la misma: celulares, pda, ebooks readers, impresoras inalambricas, cmaras fotogrficas, etc. Habra
que comprobar la compatibilidad WPA de todos esos dispositivos.
La configuracin de WEP o WPA en el Punto de Acceso o Router afecta a
todos los equipos que se conectan a la red, y cada uno de los dispositivos
requiere de configuracin manual de la seguridad. Esto deriva en que si
tenemos configurada la seguridad WPA y en algn momento se requiere
conectar a un equipo que no es compatible con WPA, deberemos
reconfigurar el Punto de acceso o el Router y todos los equipos que ya
estn conectados a la nueva confracin con WEP para permitir a ese
dispositivo la conexin. Desde el punto de vista del administrador de la red,
se producira una acumulacin de trabajo que va a depender de la cantidad
de equipos a reconfigurar, la prdida momentnea de la conexin a la red
por parte de todos los equipos que deben reconfigurarse y lo que es ms
importante, la momentnea imposibilidad de acceder a los recursos que
comparte la red hasta su reconfiguracin (archivos, datos, servicios,
conexin a internet, etc).
Estos problemas (en conjunto), lleva a la decisin por parte de los
administradores a configurar por defecto la seguridad con WEP, porque todos
los dispositivos y equipos Wifi son compatibles con WEP. Desde el punto de
vista operativo, por supuesto, se analizar los riesgos de seguridad para tomar
la determinacin de si es conveniente configurar WPA y potencialmente dejar
de conectar dispositivos no compatibles con WPA. En este caso en particular, el
administrador de la red analizar los potenciales riesgos de la red y la
posibilidad cierta o remota de que la misma sea el centro de un ataque. Desde
el punto de vista del riesgo, no es lo mismo una red hogarea (personal), una
red de una pequea empresa (estudio, escuela, ciber) o una red corporativa
(banco, organismo estatal, de seguridad, etc).
En agunos casos, cuando el estudio previo lo requiera, el administrador har
prevalecer la seguridad e implementar WPA an a costa de tener que cambiar
el hardware de dispositivos no comptabiles o directamente impedir la conexin
de esos equipos.

5.2.3 Utilizacin de filtros MAC


La direccin MAC es un nmero de identificacin
globalmente nico que identifica a cada
dispositivo de comunicacin o cada tarjeta de
red que se fabrica. Este nmero es nico y fue creado para facilitar las
comunicaciones del protocolo Ethernet. La ventaja de la direccin MAC frente a la
direccin IP es que la primera es nica para cada equipo, mientras que la segunda la

22

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

asigna cada red y puede ser modificada por sus usuarios. Por tanto, un nmero o
direccin MAC identifica a cada terminal de forma inequvoca.
Aprovechando esto, algunos puntos de acceso wifi ofrecen la posibilidad de definir
una lista de nmeros MAC permitidos.Tambin puede definirse en las reglas de un
firewall.
Esto quiere decir que el punto de acceso o el firewall slo permitir la comunicacin a
los equipos cuyo nmero MAC se encuentre en la lista. Al resto de equipos, entre ellos
al de los intrusos, no se les permitir el acceso.
El filtro MAC es una buena barrera de acceso, no obstante, tiene una debilidad: un
pirata experimentado puede descubrir los nmeros MAC autorizados, modificar este
nmero en su equipo y entrar en la red.
Los nmeros MAC estn formados por 48 bits, es decir, 12 caracteres hexadecimales
que suelen representarse como una cadena de seis grupos de dos cifras separados
por dos puntos (por ejemplo, 12:AB:56:78:90:FE).
Este nmero lo asigna cada fabricante a cada una de las tarjetas de comunicacin
(NIC o Network Interface Card) que produce y tiene la particularidad de ser nico.
Quiere decir que no existen dos tarjetas con nmeros iguales, aunque sean del mismo
fabricante. Esto es lo que se conoce como identificacin globalmente nica.
Los nmeros MAC fueron definidos por el IEEE para ser utilizados con la red Ethernet.
De los 48 bits de que dispone, los ltimo 24 identifican al fabricante de la tarjeta, este
identificador se conoce como OUI (Organizationally Unique Identifier, 'Identificador
nico de organizacin'), pudiendo cada fabricante disponer de ms de uno de estos
identificadores.

5.2.4 No publicar la
identificacin
SSID en redes Wifi
Los puntos de acceso en las redes Wifi
se identifican por un nombre que le otorga su administrador y que se conoce como
SSID o nombre de red. El punto de acceso puede anunciar este nombre, emitir esta
informacin, o mantenerlo oculto.
Cuando lo anuncia, cualquier usuario en su rea de cobertura que explore las redes
disponibles lo
encontrar y podr intentar conectarse a ella con un simple clic. Si el punto de acceso
no publica su SSID, su nombre no aparecer en la lista de redes disponibles, y por
tanto, no invitar a su conexin.
Existen herramientas para descubrir el SSID aunque el punto de acceso no lo
publique, por tanto, un hacker experimentado no tendr problemas en saltarse esta
barrera.
Dado que el identificador SSID se puede elegir, es mejor utilizar un nombre que no
tenga ninguna relacin con los propietarios ni con los usuarios de la red. Esto
complicar, al menos, la identificacin de la red.

23

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

5.2.5 No habilitar DHCP


Para que un equipo se conecte a una red IP necesita
disponer de un nmero IP de identificacin (su direccin
IP). Este nmero puede introducirse manualmente en cada
equipo o puede configurarse para que lo obtenga
automticamente en el momento de su conexin.
Quien asigna los nmeros IP de forma automtica es un
servicio del punto de acceso conocido como DHCP
(Dynamic Host Control Protocol, 'Protocolo de control dinmico del Host').
El servicio DHCP puede habilitarse o no. Si se habilita, cualquier usuario puede
conectarse a la red simplemente configurando la opcin 'Obtener IP de forma
automtica'. Si no se habilita, a cada equipo de usuario hay que configurarle
manualmente una direccin IP vlida. Esto significa que cada nmero IP tiene que
estar dentro del rango de nmeros de la red y no estar siendo utilizado por otro
usuario.
Por tanto, tener deshabilitado el servicio DHCP supone una barrera, aunque obliga al
administrador de la red a gestionar de forma manual la asignacin de nmeros IP.

5.2.6 Utilizar un Firewall


Un firewall es un software o un hardware que controla las
comunicaciones entrantes y salientes en una red y que
mediante la configuracin especfica permite filtrarlas,
basndose en distintos criterios para impedir el acceso no
autorizado a reas protegidas y evitar conexiones entrantes y
salientes que cumplan con los criterios de exclusin
configurados en las reglas de seguridad programadas en el mismo firewall.
Existen firewalls que trabajan con toda una red, que existen bajo forma de hardware y
que en algunas ocasiones pueden estar incorporados a Routers o Puntos de Acceso.
Estos firewalls de hardware incorporan software que permite la configuracin
personalizada. Y existen firewalls en forma de software, que se usan principalmente
para la proteccin individual de equipos. En ambientes corporativos y redes, se
prefieren los firewalls de hardware porque permiten concentrar la configuracin de
seguridad en un solo lugar, facilitando las tareas del administrador de la red.
Siempre es conveniente este tipo de configuracin centralizada, pero en el caso de no
contar con un firewall para toda la red, en el caso de pequeas redes hogareas, se
pueden incorporar firewalls individuales para cada equipo y configurar la seguridad
individualmente, aunque no es conveniente porque implica ms riesgos de seguridad
ante la posibilidad de equivocaciones al programar las reglas o imprevistos.
Las funciones del firewall se resumen en una serie de controles y un conjunto de
decisiones:

24

Analiza el trfico entrante y saliente de una red o de un equipo en particular


Decide que trfico deja pasar de acuerdo a las reglas de seguridad
programadas
Decide a qu trfico le debe impedir el acceso para garantizar la seguridad
interna de la red o del equipo

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Decide que trafico deja salir en base a las reglas de seguridad programadas
Decide que trafico saliente debe impedir basndose en las reglas de seguridad
programadas

El enclave estratgico del firewall son justamente la programacin de las reglas de


seguridad para el trfico entrante y el saliente de la red o el equipo.
Estas reglas de seguridad (o filtros) tienen distintos puntos de vista y criterios y suelen
programarse bajo dos tipos de criterios: criterios permisivos y criterios de exclusin.
Los routers permiten que individualmente las reglas puedan activarse o desactivarse,
facilitndole al administrador la programacin de reglas individuales sencillas que
unindose con otras, producen una barrera lgica cuya fortaleza depende de la lgica
de programacin que se emplea. Adicionalmente se puede decir que si las reglas son
programadas de modo incoherente, pueden haber problemas en la comunicacin de
la red.
Dependiendo del router, las formas de programar esos criterios pueden ser diferentes,
pero casi todos los routers permiten la programacin de estos tipos de filtros:

Filtro MAC: el nmero MAC es un nmero asignado y grabado por el


fabricante para cada tarjeta de red que es unico e irrepetible. Este filtro permite
definir exactamente los nmeros MAC autorizados o impedidos de
comunicarse. Si el filtro est configurado para PERMITIR, los nmeros MAC de
la tabla son los equipos autorizados a entrar o salir de la red y los que no estn
ingresados son excludos y no pueden ni entrar ni salir. Si el filtro est
configurado para IMPEDIR, los nmeros MAC ingresados en la tabla o pueden
entrar o salir de la red y los que no estn ingresados tienen autorizacin de
trfico. Este filtro est pensado para que el administrador impida la conexin
especfica de uno o varios equipos d la red o del exterior o para canalizar el
trfico de la red a uno o varios equipos en particular.

Filtro URL: la url es la direccin de pgina web en forma de triple w


(www.dominio.com.ar). Si el filtro est configurado como PERMITIR, define qu
paginas web pueden ser accedidas desde la red; las que no estn definidas,
son bloquedas. Si el filtro est configurado para IMPEDIR, las pginas web
ingresadas en la tabla no pueden ser accedidas por los equipos de la red y las
que no se ingresaron pueden visualizarse. Este filtro est pensado para
impedir que os usuarios accedan a pginas web o para canalizar la
conectividad a una o varias pginas web en particular. Dependiendo del router,
algunos permiten trabajar indistintamente con triple w (www) o numeros ip de
las pginas web, otros slo permiten ingresar el triple w de la pgina.

Filtro IP: Si el filtro est programado para PERMITIR, los nmeros IP que se
ingresen en la tabla, sern los autorizados para conectarse mientras que el
resto de nmeros IP sern excludos de la conexin. Si el filtro se configura
para IMPEDIR, los nmeros IP de la tabla no tendrn acceso a la red y el resto
de los nmeros podr conectarse. Este filtro est pensado principalmente para
que el administrador pueda canalizar las comunicaciones de la red en el caso
de que tenga varias puertas de enlace, para que pueda canalizar
comunicaciones dentro de un cierto rango de nmeros IP, como un filtro
semejante al MAC en el caso de que su red tenga equipos con IP fijas o para el
caso de que quiera entubar comunicaciones dentro de segmentos de red.
Adicionalmente tambin puede servir de filtro ante nmeros IP externos
detectados como potencialmente peligrosos. Casi todos los router que he visto
permiten definir nmeros IP individuales o rangos completos de nmeros IP
(definiendo el binomio IP desde / IP hasta).

25

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Filtro Dominio: semejante al filtro URL, pero no incluye el nombre de la pgina


completo, sino todo el dominio. Por ejemplo, en un filtro URL bloqueamos una
pgina web en particular (por ejemplo www.hackers.net.ar), pero en el Filtro de
Dominio bloqueamos a todas las pginas web que tengan un dominio en
particular. Por ejemplo definimos al dominio net.ar y el router trabajar con
todas las web que terminen en net.ar, sin importar el nombre en particular de
la
pgina
web.
Si el filtro est configurado como PERMITIR, define qu dominios pueden ser
accedidos desde la red; los que no estn definidos, son bloquedos. Si el filtro
est configurado para IMPEDIR, los dominios ingresados en la tabla no pueden
ser accedidos por los equipos de la red y los que no se ingresaron pueden
visualizarse.

Filtro Protocolos: Define que protocolos tienen permiso o estn excludos de


operar con los equipos de la red. Dependiendo de la calidad del firewall y de la
actualidad de su software puede incluir ms o menos protocolos. La mayora
que he visto incluye los protocolos usuales: TCP, FTP, HTTP, HTTPS, SMTP,
POP3, Telnet, etc. Algunos routers hacen una diferenciacin entre Protocolos
de la capa 4 de transporte (TCP, UDP) y protocolos de la capa 7 de aplicacin
( HTTP, SMTP, POP3, FTP, etc). Por este ltimo motivo puede ser que
algunos tengan diferentes formas de programacion. Usualmente todos
permiten definir un protocolo y adicionalmente programar los puertos o el rango
de puertos con los que trabaja el protocolo a definir en la regla. Cuando el filtro
se programa para PERMITIR, el protocolo definido puede trabajar para los
puertos programados y el resto de los protocolos no ingresados a la lista no
pueden trabajar. Si el protocolo definido intenta acceder por un puerto no
registrado en la lista, se niega la comunicacin. Cuando el filtro se programa
para IMPEDIR, el protocolo definido no puede trabajar para los puertos
programados y el resto de los protocolos no ingresados a la lista pueden
trabajar. Si el protocolo definido en la lista de IMPEDIR intenta acceder por un
puerto no registrado en la lista, se permite la comunicacin. Por este ltimo
motivo este filtro de programacin es uno de los ms crticos en seguridad y el
que ms fallas puede ocasionar en la administracin y programacin de la
reglas. Muchos expertos en seguridad advierten de la necesidad de trabajar
esta regla de filtro por protocolo unica y exclusivamente como regla de
PERMITIR para evitar riesgos catastrficos se seguridad.

5.2.6.1. Tipos de Firewall


Dependiendo de la configuracin de estos filtros que forman parte de los
routers, se pueden configurar estos tipos de firewalls individuales o combinados
entre s.

5.2.6.1.1. Proxy o Servidor de Defensa


El proxy es un software que se instala en una
computadora conectada a una red local, que
funciona como una puerta lgica. Los proxy
pueden
tener
varias
aplicaciones,
pero
generalmente funcionan como firewall.
La funcin de un proxy es permitir el acceso desde el exterior a los datos
compartidos pero protegiendo al servidor en el cual se encuentran los
datos alojados. Para esto, el proxy permite colocar una copia de nuestros

26

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

archivos para la consulta, evitando de ese modo que los archivos


originales sean puestos en riesgo.
Usualmente un servidor proxy es un programa que trabaja con servicios
externos, en nombre de clientes internos. Los clientes se comunican con
los servidores proxy los cuales a su vez, trasmiten las solicitudes
aprobadas a cada uno de los clientes para despus transmitir las
respuestas al servidor proxy y de este a los clientes.
El proxy guarda en el disco o la memoria las pginas a las que se
accede, para que la prxima vez que alguien acceda a las misma, pueda
ingresar ms rpido, permitiendo que muchos usuarios accedan a
internet a a travs de una sola conexin.

5.2.6.1.2. Gateways a nivel aplicacin


Los gateways nivel-aplicacin permiten al
administrador de red la implementacin de
una poltica de seguridad estricta que la que
permite instalar un ruteador filtra-paquetes.
En ellos se instala un cdigo de propsito especial (o servicio Proxy) para
cada aplicacin deseada. Si el administrador de red no instala el cdigo
Proxy para la aplicacin particular, el servicio no es soportado y no
podrn desplazarse a travs del firewall.
5.2.6.1.3. Ruteador filtra paquetes
En este caso el ruteador toma decisiones que
le permiten permitir o negar el paso de cada
uno de los paquetes de datos que son
recibidos. El ruteador examina cada datagrama para determinar si este
corresponde a uno de sus paquetes filtrados y determina si ha sido
aprobado por sus reglas.
Si se encuentra la correspondencia y las reglas permiten el paso del
paquete, este ser desplazado de acuerdo a la informacin a la tabla de
ruteo. En cambio si las reglas niegan el paso, el paquete es descartado.
El router de filtrado es por lo general transparente a los usuarios finales y
a las aplicaciones, por lo que no se requiere de entrenamiento
especializado o software especfico que tenga que ser instalado en cada
uno de los servidores.

5.2.7 Medidas fsicas de seguridad


Siempre se puede plantear la posibilidad de agregar
un dispositivo fsico que complemente al software para
dotar al sistema de redes para una mayor seguridad.
Podemos considerar las siguientes soluciones como
ejemplo:

27

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Colocar una llave tipo yale o trabex, para cortar la alimentacin elctrica del
equipo. Esto permitir garantizar que slo el poseedor de la llave fsica pueda
usar el equipo.
Eliminar las unidades de almacenamiento externo y puertos que permitan la
conexin de dispositivos de almacenamiento. Esto eveiar que los usuarios
puedan bajar y trasladar informacin privativa de la empresa con el beneficio
adicional de impedir el ingreso de virus por esas vas.
Colocar un dispositivo lector o lectograbador de tarjetas magnticas lo que
permitir entregarle a cada usuario una tarjeta magnetizada con los datos para
validar la identificacin y autenticidad, adems de la clave que tambin debe
ingresar tipeando.
Colocar una cmara de vdeo para grabar la imagen de quien est frente al
monitor y el teclado, programando la grabacin cada cierto tiempo.
Implementar sistemas de autenticacin por firma digital, de modo que se pueda
captar la firma en un scanner y cmparar firmas grabadas

5.3 Herramientas para recuperacin de datos


Estas nos permiten poner a funcionar nuevamente el sistema cuando se ha producido una
violacin o ataque y se ha vencido el permetro de la seguridad. Con ellas, se busca
recuperar los datos daados o perdidos para volver operativa la red.

5.3.1 Copias de seguridad de archivos


El resguardo de archivo se realiza con el objetivo de
poder recuperar la informacin que se procesa en las
computadoras si se produjera algn incidente que
dejara fuera de operaciones al sistema.
Ante cualquier tipo de catstrofe o ataquedaino, aunque implicara una prdida total
de las computadoras, se podra volver a operar si se cuenta con una Copia de
Seguridad actualizada.
La frecuencia y el tipo de copia es determinado de acuerdo a las caractersticas de la
organizacin, pero como norma de seguridad adicional deber tenerse una o ms
copia de la versin ms actualizada en un lugar fsicamente alejado del sistema
principal que se protege.

5.3.2 RAID ( Redundant Array of


Independent Disk )
Es tambin una tcnica de grabacin de discos en simultneo y
paralelo, que distribuye los datos en bloques entre diferentes
discos fsicos. Esta tcnica puede tener varios niveles, segn la
cantidad de discos entre los cuales se distribuyan los bloques
de datos.

28

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

6. Recomendaciones
bsicas
de seguridad
Despus de haber analizado todos los aspectos de la seguridad,
es conveniente para el administrador determinar los aspectos fundamentales que deber tener en
cuenta al crear el protocolo y las polticas generales en el lineamiento de la seguridad.
Si bien cada red tiene sus propias particularidades, algunos aspectos forman parte del fundamento
de cualquier poltica de seguridad y sin lugar a dudas, deben ser tenidos en cuenta en todo
momento, ms all de los riesgos particulares de cada entorno.
Siempre el administrador deber tener en cuenta los siguientes aspectos:

Definir una poltica rigurosa en cuanto a la creacin, proteccin y utilizacin de


contraseas siguiendo los criterios analizados: mas de 6 caracteres, que no sea obvia,
que mezcle caracteres alfabticos y numricos, que mezcle maysculas y minsculas,
no letras repetidas, no nombres personales, no siglas, no iniciales, no nombres de
personas cercanas, no fechas de cumpleaos ni aniversarios, no dejarlas escritas, no
tirar a la basura, cambiarla peridicamente, no compartirla, no usar las mismas claves
para todo, etc.

Cambiar los parmetros de seguridad por defecto que estn configurados en los
equipos.

Inhabilitar la configuracin remota del equipo.

En los segmentos Wifi, activar el cifrado WPA si es posible y como mnimo el WEP.

Inhabilitar el envo de las seales broadcast SSID de los puntos de acceso.

Desabilitar el servicio DHCP si es posible. Si no es posible, programar el servicio


DHCP con rangos de nmeros no habituales (tratar de evitar en la red los nmeros
192.168.0.x o 192.168.1.x y asignar otros dentro de la clase C).

Compartir slo los recursos necesarios. Dentro de lo posible, evitar compartir ms de


una carpeta por cada equipo y evitar el uso compartido de discos enteros. De ser
posible cifrarlos con claves.

Tener un antivirus actualizado. En lo personal, recomiendo tambin tener un firewall


personal para cada equipo de la red adems del firewall del router. En el tema del virus
los especialistas recomiendan no slo tener actualizados los antivirus sino correr
peridicamente el proceso de escaneo completo del disco y mantener activa la
deteccin heurstica de virus informticos.

Algunos especialistas recomiendan en el caso de que se use Windows, instalar las


actualizaciones crticas de seguridad.

Hacer uso de navegadores web que cuenten con proteccin adicional mediante la
deteccin de webs atacantes que intentan correr scripts Ajax o de otras tecnologas
(ASP, etc).

29

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Programar la mayor cantidad de filtros posibles dentro de las reglas del firewall.

Implementar un protocolo de seguridad que sea seguido por el administrador de la red


e incluya revisiones peridicas de equipos, evaluacin de la seguridad, renovacin de
claves, informacin permanente a los usarios usuarios de la red y control de las
actividades de los usuarios (principalmente control de las pginas visitadas, uso
correcto de programas, control estricto de instalacin de software, drivers, etc).

7. Conclusiones

Se podra discutir durante mucho tiempo hasta qu


punto elevar la seguridad perimetral de nuestra red.
Para ello se podran analizar diversos puntos de
vista, posibilidades y estrategias, pero en cualquier caso, siempre resultar interesante ser
conscientes de la importancia que tiene la seguridad en nuestra red y cules son nuestras
debilidades ms evidentes.
Es conveniente para todos los administradores analizar los siguientes puntos:

Qu aspecto tiene nuestra red desde el punto de vista del pirata?

Cul es la aplicacin, el sistema o la informacin ms importante de la que dispone la red


y cules seran las consecuencias si accede a ella un intruso?

Cules seran las consecuencias si deja de funcionar el sistema o la informacin ms


importante se torna inaccesible ?

Existen otras redes inalmbricas que operen por la zona y puedan enlazar mis punto de
acceso?

Cmo podra un intruso acceder a mi red?

Qu podra hacer un hacker si consigue tener acceso? Cul sera el riesgo?

De qu forma podra detectar si algn intruso ha logrado entrar en la red?

Cmo puedo estar seguro de que mi firewall est haciendo bien su trabajo?

Cmo puedo comprobar mi seguridad?

En definitiva la auditora en seguridad trata de determinar las debilidades de una red y valorar el
riesgo de que nuestros datos estn expuestos a terceras personas. Esto ltimo es una tarea, hasta
cierto punto subjetiva, que depende de la actividad a la que nos dediquemos.
Sin embargo, para analizar las debilidades de nuestra red, contamos con herramientas

30

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

interesantes. Ahora bien, de la misma forma que estas herramientas ayudan a analizar y mejorar la
seguridad de una red de cable e inalmbrica y ayudan a los intrusos a averiguar por dnde poder
atacamos. Por tanto, es importante sacar ventaja del conocimiento de estas herramientas.
Algunos de estos productos son los siguientes:

InternetScanner. Es una muy buena herramienta que ayuda a detectar las vulnerabilidades
del sistema.

Black Ice. Herramienta para proteger al ordenador de ataques externos.

Netwatcher 2000. Registra los datos (fecha, hora, direccin IP y nmero de puerto) de
todos los que intentan acceder a la red.

NetSpyHunter. Herramienta para detectar ataques al disco duro.

Airsnare. Explora la red en busca de intrusos y muestra su actividad. Con la utilidad Airhom
se le pueden enviar mensajes al intruso.

Airopeek. Este software ayuda a identificar usuarios no autorizados, as como a comprobar


el nivel de seguridad de la red

Qcheck o Ipe. Informa de la velocidad real de la conexin, as como de su rendimiento.

Ntop. Ofrece estadsticas en tiempo real de la utilizacin de la red.

Tambin existen herramientas profesionales que permiten gestionar la seguridad de las redes de
una forma centralizada. Estos programas informan de posibles incidencias, realizan informes y
permiten administrar cada uno de los puntos de acceso de forma centralizada.

Ricardo Ponce (2013)


http://hepika.blogspot.com

31

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Bibliografa

Control de Accesos. Manuel Pons Martorel. Depto Telecomunicaciones. Escuela


Universitaria Politcnica de Matar
Criptografa, Maple y RSA. Carlos B. Escuela Tcnica Superior de Ingenieros de Telecomunicacin.
Universidad Politcnica de Madrid.

Criptografa Para Principiantes. Jos de Jess Angel Angel


Formao de Suporte Tcnico. Luiz Carlos Lobato Lobo de Medeiros- Wendel Soares. Rio de
Janeiro.2010
Redes Cisco. Autores Varios. Buenos Aires. Arg. 2010
Seguridad Informtica. Sebastin Firtman. Buenos Aires. Arg. 2005
Seguridad Informtica. Gustavo Aldegani. Buenos Aires. Arg. 1997
Seguridad Informtica y Critografa.Jos Rami Aguirre. Madrid. Espaa. 2006
Seguridad en Unix y Redes. Antonio Villaln Huerta
Seguridad por niveles. Alejandro Corletti Estrada. Madrid. 2011

32

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

33