SEGURIDAD EN UNA INTRANET

E. G. de León Chamam
2017-0001 Universidad San Carlos de Guatemala
092504 Intranet y Aplicaciones
erwingeo.cunor@gmail.com

Resumen

El crecimiento de Internet ha cambiado dramáticamente la forma en que las organizaciones y las

personas se comunican y realizan transacciones de negocios. Las organizaciones para amplificar el
efecto del cambio, han comenzado a desarrollar tecnologías que les permitan mantener la
confidencialidad de su información. La creación de tecnologías que sustenten redes privadas de
comunicación con sus proveedores de servicio, aplicaciones de comercio electrónico, redes internas
utilizando tecnología compatible con Internet (Intranet), redes privadas virtuales (VPN),
comunicaciones seguras y firma digital de documentación. La implementación de diferentes métodos y
procesos de seguridad, utilizando tecnologías como una infraestructura de Clave Pública (PKI), le
permite a una organización contar con sistemas de autenticación, controles de acceso, confidencialidad
y no repudio para aplicaciones de Intranet. Firmas digitales, criptografía y certificados digitales, se
combinan para proveer a la organización de métodos y vías de comunicación por red de computadoras
de manera privada, con el fin de asegurar el elemento intangible más importante, su información.

Palabras clave:
Seguridad, políticas, intranet, cifrado, PKI

Seguridad en una Intranet

Las organizaciones individualmente poseen su propio estilo y pertenencia. El estilo y gestión hacen que
la organización, alcance un grado de funcionamiento en aspectos como: clima laboral, procedimientos
administrativos, estructura organizacional, protocolos y reglamento; y recientemente, en los últimos
años, la gestión de recursos informáticos. Sin embargo para garantizar el elemento intangible más
valioso de una organización, como lo es la información; se deben identificar los aspectos y elementos
de mayor riesgo y vulnerables que atenten contra el funcionamiento normal de los sistemas de
información y la información almacenada en diversos medios de almacenamiento y bases de datos. De
forma general entendemos que mantener un sistema seguro o fiable consiste básicamente en garantizar
cuatro aspectos: confidencialidad, integridad, disponibilidad y no repudio. El uso creciente de los
sistemas informáticos ha incrementado el problema de los accesos no autorizados y la manipulación de
datos. El alto nivel de conectividad que una organización proporciona a los usuarios de sus sistemas, no
solo proporciona acceso a gran cantidad y variedad de fuentes de datos de forma cada vez más rápida,
sino que origina un aumento de las intrusiones de red.

La mayoría de las organizaciones actuales están expuestas a una serie de riesgos derivados de una
protección inadecuada o inapropiada de la información o de sus sistemas de tratamiento. Ciertamente la
relación entre riesgo y protección adecuada de sistemas, no es tratada con su debida importancia por
parte de las organizaciones, y su exposición a temas en problemas de seguridad es alta. Es por ello que
una organización debe avanzar hacia un Gobierno de Datos o Gobierno de la Información, término
adjudicado a los procedimientos organizacionales que se están realizando para poder implementar de
manera interna, políticas de seguridad, normativas de información, restricciones y autorizaciones a los
diversos sistemas informáticos internos, hardware e instalaciones físicas. Con el objetivo de proteger y
minimizar los riesgos de accesos no autorizados, robo de información, suplantación de identidad,
acceso físico a las instalaciones de IT, y una serie de elementos que como organización, son de alto
riesgo y deben preservarse bajo procedimientos de control minuciosas. Sin embargo, orientar un
conglomerado de personas hacia el Gobierno de Datos es una tarea que debe prepararse y diseñarse,
para que su adopción sea gradual. Para tal tarea, es posible utilizar metodologías actuales como lo es
COBIT, el cual provee de un marco de trabajo de mejores prácticas, orientando a los departamentos de
TI para que puedan implementar reglamentos, acuerdos contractuales y políticas, así como la gestión de
las tecnologías de información a nivel organizacional.

COBIT es mantenido por la Asociación de Auditoría y Control de Sistemas de Información ISACA; el

marco de trabajo también orienta a la gestión de sistemas informáticos con un enfoque en tres aspectos
críticos, como lo son: confidencialidad, integridad y disponibilidad de la información presente en los
sistemas bajo la infraestructura que los soportan.

Transmisión segura de información en una Intranet

Cuando se crearon las tecnologías que pudieran sustentar las redes de computadoras, la prioridad era
poder realizar comunicación entre computadoras, la infraestructura de red creció hasta masificarse
alrededor del mundo y convertirse entonces en Internet, siendo un riesgo potencial para la seguridad de
la información. A mediados de los años 80s, comunidades de investigadores en temas de seguridad,
encontraron debilidades en la infraestructura, métodos y protocolos de comunicación los cuales
explotaron y dieron los primeros avisos para la invención de formas de comunicación segura en redes
de computadora. Una red de computadoras basada en TCP/IP, es insegura, los paquetes que viajan en la
misma red pueden ser interceptados y replicados; de tal forma que terceros pueden estar “escuchando”
o “copiando”, la comunicación que puede estar entablando dos o más computadoras. De esta gran
inquietud de asegurar mediante métodos y procedimientos, se implementó la criptografía para poder
enviar mensajes en redes de computadoras con contenido secreto; aunque un tercero intercepte un
mensaje, este último no podrá visualizar el contenido original del mensaje sino posee una “clave” para
poder leerlo. Al proceso de convertir un mensaje de manera que sea ilegible se le conoce como cifrado;
el proceso inverso, es decir retornar el mensaje cifrado al mensaje original, se le conoce como
descifrado.

Del anterior análisis podemos entonces suponer que una Intranet debe implementarse diversos
mecanismos de seguridad para salvaguardar la información que en ella transite. La criptografía podrá
implementarse en diferentes niveles de abstracción (según los protocolos en distintos niveles del
modelo TCP/IP).

Capa de Aplicación: se extiende la capacidad de cifrado a través de protocolos sin depender del sistema
operativo, algunos protocolos que funcionan en la capa de aplicación y permiten utilizar mecanismos
de cifrado son: kerberos, PGP el cual puede implementarse para la transferencia entre agentes MTA de
correos electrónicos cifrados, SSH, SET, IPSec y Radius.

Capa de Transporte: el cifrado se realiza a nivel de paquetes, las cabeceras de los paquetes se
mantienen intactos, sin embargo el contenido del mensaje se transfiere de manera cifrada. Protocolos
que funcionan en esta capa son: SSL y TLS.

Capa de Red: la implementación de cifrado a nivel de capa de red, disminuye la negociación excesiva
de claves entre nodos, las aplicaciones web no sufren de modificaciones dado que es totalmente
transparente. A nivel de capa de red se pueden crear Redes Privadas Virtuales. Los protocolos que
funcionan a nivel de capa de red son: IPSec (AH, ESP), NLSP (ISO), Protocolos de tunneling como
PPTP y L2TP.

Capa de Enlace de Datos: los protocolos de cifrado a nivel de enlaces de datos son más rápidos, sin
embargo funcionan bien solo para enlaces dedicados de redes. Los protocolos presentes son: ATMs,
CHAP, PAP.

Infraestructura de llave pública (PKI)

En una Intranet se debe plantear la implementación de una infraestructura de llave pública. La PKI es
un protocolo que trata de describir los procesos organizativos necesarios para la gestión de certificados
digitales de claves públicas para el intercambio seguro de información, que permite firmar digitalmente
un documento electrónico (un email, el código de un programa, una transacción bancaria, unos análisis
médicos, etc.), o permite identificar a una persona o empresa en Internet, o permite acceder a un recinto
o servicio restringido. Los usos son muchos. Las PKIs, son sistemas mixtos hardware/software,
basados en diferentes agentes que permiten dotar a máquinas y usuarios de Certificados Digitales de
Identidad (certificados X509v3).

La PKI se basa en el cifrado de clave pública y está formada por:

 Certificados Digitales, por ejemplo X509.

 Una estructura jerárquica para la generación y verificado de estos certificados formada por las
Agencias de Certificación (CA) y las Autoridades de Registro (RA) (que cumplen la función de
sucursales de las primeras). Donde la CA es una organización independiente y confiable.
 Directorios de certificados, que son el soporte software adecuado (bases de datos) para el
almacenamiento de los certificados. Por ejemplo directorios X.500 o LDAP (simplificación del
primero). Aunque no tienen por qué estar localizados en un servidor central (modelo de Tercera
Parte Confiable) y estar distribuidos entre los usuarios como hace PGP (modelo de Confianza
Directa).
 Un sistema de administración de certificados, que es el programa que utiliza la Agencia de
Certificación o la empresa donde se ha instalado la PKI para que realice la comprobación, la
generación, la revocación de certificados, etc.
 Control de acceso como la implementación de “Listas de Control de Acceso”.

La seguridad informática se divide en tres segmentos conocidos como 3A. Es un mundo que engloba
las herramientas de autentificación, autorización y administración. La autentificación engloba las
soluciones PKI y en menor medida los token, dispositivos de hardware que generan claves de un solo
uso; en el segmento de autorización figuran los cortafuegos, redes privadas virtuales, detección de
intrusos, filtros de contenido, mecanismos de control para acceder a una sede web, tarjetas inteligentes
(smartcards) y dispositivos biométricos. Por último la administración abarca los sistemas de gestión de
perfiles y aplicaciones de control centralizado.

En el entorno empresarial es mucho más común, en la actualidad, que las diversas aplicaciones de la
misma empresa estén desarrolladas para un entorno web. La orientación de infraestructura PKI permite
muchas ventajas a la organización, desde el punto de vista de seguridad, control y seguimiento de
accesos a los diferentes sistemas internos y accesos desde el exterior.
Comentarios y recomendaciones

La implementación de arquitecturas de llave pública, pueden suponer ventajas muy amplias a las
empresas con Intranets muy amplias, portándolas de métodos y controles de seguridad a través de
cifrado de mensajes y también seguridad perimetral.

El uso de Listas de Control de Acceso permite que los niveles jerárquicos de una organización, se
reflejen en una Intranet. De esa forma la información queda disponibles y accesible para los que se
encuentren autorizados.

Conclusiones

El aseguramiento de los sistemas informáticos presentes en una Intranet; debe ser una prioridad muy
alta para las organizaciones. Dado que en los sistemas se trabaja con información crítica y
salvaguardarla debe de ser un objetivo de alto interés.

Las infraestructuras de llave pública, permiten el uso de cifrado y distintos protocolos de comunicación
por redes de computadoras en diferentes capas de red; haciendo transparente para aplicaciones de
Intranet el cifrado de la comunicación entre los usuarios.

Mientras más alto sea el nivel de seguridad, traerá consigo más molestias para los usuarios legítimos.
La estrategia de la protección de la red ideal debe combinar procedimientos de la seguridad múltiples
para protección de los datos sin crear resistencia en los usuarios de la intranet.

Bibliografía

Berta, S. (2013). Web hacking - Claves para desarrolladores y administradores de sitios. Buenos
Aires: Dalaga.

ISACA. (2012). COBIT 5 - Un marco de negocio para el Gobierno y la Gestión de las TI de la

empresa. Algonquin, EE.UU.: ISACA.

Jara, H. (2012). Ethical Hacking 2.0 - Implementación de un sistema para la gestión de la seguridad.
Buenos Aires: Dalaga.

Razo, C. M. (2002). Auditoría en Sistemas Computacionales. Naucalpan de Juárez, México: Pearson

Educación.

Tanenbaum, A. S. (2003). Redes de Computadoras. México: Pearson Educación.