Principios
fundamentales
de la seguridad
de las redes
Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin la autorización de cada autor.
Resumen ejecutivo
Los incidentes relativos a la seguridad aumentan a una tasa alarmante año a año. A medida
que crece la complejidad de las amenazas, se incrementan las medidas de seguridad
necesarias para proteger las redes. En la actualidad, los operadores de centros de datos, los
administradores de redes y otros profesionales relacionados con los centros de datos
deben comprender los fundamentos de la seguridad para poder implementar y administrar
las redes sin riesgos. Este informe explica los fundamentos de los sistemas de redes
seguros, entre los que se incluyen los firewalls, la topología de las redes y los protocolos
seguros. También se detallan las mejores prácticas relacionadas con algunos de los
aspectos más críticos de la seguridad de las redes.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 2
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
Introducción
La seguridad de la red corporativa y la infraestructura informática modernas requiere un enfoque integral y
conocimientos sólidos sobre las vulnerabilidades y las medidas de protección asociadas a ellas. Tales
conocimientos no impedirán todos los intentos de ingreso a la red o ataques al sistema, pero permitirán que
los ingenieros de redes eliminen algunos problemas generales, disminuyan los posibles daños en gran
medida y detecten violaciones a la seguridad rápidamente. Dado el aumento incesante en el número y la
complejidad de los ataques, es imprescindible implementar enfoques que permitan vigilar el aspecto de la
seguridad, tanto en empresas grandes como pequeñas. La Figura 1 muestra el marcado incremento de los
incidentes de seguridad por año, según lo denunciado ante el Centro de Coordinación CERT® (centro
especializado en la seguridad en Internet).
95.000
90.000
85.000
Número de incidentes denunciados
82.094
80.000
75.000
70.000
65.000
60.000
55.100
55.000
50.000
45.000
40.000
35.000
30.000
25.000
21.756
20.000
15.000
9.859
10.000
5.000 3.734
2.412 2.573 2.134
2.340
0
1995 1996 1997 1998 1999 2000 2001 2002 2003
Año
© 1998 -2003 por la Carnegie Mellon University
Este informe presenta los aspectos fundamentales de la seguridad, así como algunas mejores prácticas en
lo referente a la red, los hosts y los elementos de infraestructura integrados en red. Dado que no existe una
“única forma de encarar el tema de la seguridad”, el lector o implementador deberá evaluar qué medidas
considera apropiadas.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 3
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
elementos son la base de la mayoría de los sistemas seguros. Todos los sistemas de seguridad se basan en
una serie de medidas que se toman para controlar el acceso, verificar identidades y evitar que se divulgue
información importante. Por lo general, para que estas medidas sean eficaces, es necesario guardar uno o
más "secretos". Si se revelara o robara un secreto, los sistemas que esos secretos protegen podrían verse
en riesgo. Puede parecer una afirmación absolutamente obvia, pero los riesgos que afectan a la mayoría de
los sistemas son provocados por causas muy básicas. Quizá parezca una tontería dejar una nota con la
contraseña de acceso al sistema pegada en el costado del monitor, pero de hecho, muchas personas lo
hacen. Otro ejemplo, apenas menos obvio que el anterior, es la tendencia a dejar las contraseñas
predeterminadas en algunos dispositivos de la red. Uno de esos dispositivos podría ser una interfaz de
gestión de redes conectada a un sistema UPS. En un esquema de seguridad, muchas veces se pasan por
alto los sistemas UPS, ya sean pequeños o lo suficientemente grandes para abastecer a 100 servidores. Si
se dejan los nombres de usuario y las contraseñas predeterminados en esos dispositivos, es solo cuestión
de tiempo que alguien acceda al equipo con solo conocer el tipo de dispositivo y los datos de identificación
predeterminados publicados para el producto. ¡Imagínese el colapso de un banco de servidores con
protocolos de seguridad infranqueables en cada servidor Web y de correo electrónico debido a un simple
ciclo de potencia de un sistema UPS desprotegido!
La realidad indica que los verdaderos programas de seguridad son difíciles de lograr. Por lo general, se debe
elegir un esquema que incluya una parte de “costo” y una parte de cobertura de seguridad contemplada de
antemano. (Esto casi nunca llega a ser “integral y de extremo a extremo”.) Aquí lo más importante es tomar
decisiones informadas para cada aspecto de un sistema general y utilizar los recursos de forma más o
menos planificada. Si se conocen las áreas menos protegidas, por lo menos se las puede monitorear para
identificar problemas o violaciones a la seguridad.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 4
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
dispositivo de la red, como impresoras, sistemas UPS y sistemas HVAC. Otros aspectos importantes de esta
tarea incluyen la documentación de la ubicación de los equipos y notas sobre el establecimiento. Por
ejemplo, la mayoría de las computadoras utilizan sistemas de energía de respaldo como UPS que, si se los
administra, pueden formar parte de la red. También se pueden encontrar equipos de monitoreo ambiental,
como unidades HVAC o purificadores de aire.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 5
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
certificados y todo otro tipo de datos. Por suerte, existen todo tipo de dispositivos para el control de accesos
y gabinetes seguros que pueden ayudar a resolver este problema. Para obtener más información sobre la
seguridad física de los centros de datos y salas de redes, consulte el Informe interno Nº 82 de APC:
“Seguridad física en infraestructuras de misión crítica”.
Un firewall es un mecanismo mediante el cual una barrera controlada regula el tráfico de red hacia y desde
la intranet de una organización. Básicamente, los firewalls son routers de aplicación específica. Funcionan
en sistemas dedicados incorporados tales como un dispositivo para Internet, o pueden ser programas de
software que funcionen en una plataforma de servidor general. En la mayoría de los casos, estos sistemas
tienen dos interfaces de red, una para la red externa, como Internet, y otra para la intranet interna. El
proceso del firewall puede controlar estrictamente qué se autoriza a pasar de un lado al otro. La gama de
firewalls va desde los bastante sencillos a los muy complejos. Como ocurre con la mayoría de los aspectos
de la seguridad, la elección del tipo de firewall que se utilizará dependerá de ciertos factores, como los
niveles de tráfico, los servicios que requieran protección y la complejidad de las reglas que se necesita
implementar. Cuantos más servicios deban poder atravesar el firewall, más complejos son los requisitos. El
problema relacionado con los firewalls es la distinción entre el tráfico legítimo y el ilegítimo.
¿Qué clases de protección ofrecen los firewalls y qué situaciones quedan excluidas? Los firewalls son como
muchas otras cosas; si se los configura correctamente, pueden ser una buena forma de protección contra
amenazas externas, incluso contra algunos ataques de negación de servicio (DOS). Si no se los configura
correctamente, pueden convertirse en grandes huecos en la seguridad de la empresa. La protección más
elemental que brinda un firewall es la posibilidad de bloquear el tráfico de red dirigido a ciertos destinos. Se
incluyen tanto las direcciones IP como puertos de servicio específicos de la red. Un establecimiento que
desee brindar acceso externo a su servidor Web puede restringir todo el tráfico al puerto 80 (el puerto HTTP
estándar). Por lo general, esta restricción solo se aplica al tráfico que se origina en el lado no confiable. No
se restringe el tráfico que se origina en el lado confiable. Se impide que otros tipos de tráfico, como el de
correo electrónico, FTP, SNMP, etc., atraviesen el firewall e ingresen en la intranet. En la Figura 2 se puede
ver un ejemplo de un firewall sencillo.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 6
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
Figura 2 – Firewall sencillo en una red
Red privada
(corporativa )
Internet
Firewall
Un caso todavía más sencillo es el del firewall que comúnmente se utiliza en los hogares o pequeñas
empresas con routers para conexiones DSL o cable módem. Por lo general, estos firewalls están
configurados para limitar TODO el acceso externo y permitir que funcionen solo los servicios que se originan
en el interior. Un lector cuidadoso podría advertir que en ninguno de estos casos el firewall bloquea
realmente todo el tráfico del exterior. Si así fuera, ¿cómo se podría navegar por la Web y “recibir” páginas
Web? Lo que el firewall hace es restringir los pedidos de conexión provenientes del exterior. En el primer
caso, todos los pedidos de conexión del interior y la posterior transferencia de datos con esa conexión pasan
al exterior. Desde el exterior, solo se permite que un pedido de conexión con el servidor Web se complete y
pase datos. Todos los demás se bloquean. El segundo caso es más estricto, ya que solo se pueden realizar
conexiones del interior al exterior.
Otras reglas de firewall más complejas pueden utilizar lo que se conoce como técnicas de Stateful Inspection
(filtrado dinámico de paquetes). Este enfoque agrega al enfoque básico de bloqueo de puertos el análisis de
las secuencias y el comportamiento del tráfico para detectar ataques por enmascaramiento y ataques de
negación de servicio. Cuanto más complejas sean las reglas, mayor deberá ser la potencia informática del
firewall.
Un problema que la mayoría de las organizaciones enfrenta es cómo permitir el acceso legítimo a los
servicios "públicos", como la Web, el FTP y el correo electrónico y, a la vez, mantener una seguridad
rigurosa en la intranet. El enfoque más común para resolver este problema es lo que se conoce como DMZ
(zona desmilitarizada), un eufemismo de la Guerra Fría aplicado a las redes. En este tipo de arquitectura se
utilizan dos firewalls: uno entre la red externa y la DMZ, y otro entre la DMZ y la red interna. Todos los
servidores públicos se encuentran en la DMZ. Este tipo de configuración hace posible aplicar reglas para el
firewall que permitan el acceso público a los servidores públicos. A la vez, el firewall interno puede restringir
todas las conexiones entrantes. Si se tiene una DMZ, los servidores públicos están más protegidos que si
estuvieran ubicados fuera de un único firewall. La Figura 3 muestra el uso de una DMZ.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 7
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
Figura 3 – Firewalls duales con DMZ
Red privada
(corporativa)
DMZ
Firewall Firewall
Internet interno
Servidor FTP
El uso de firewalls internos en varios límites de la intranet también puede ayudar a acotar los daños
causados por amenazas internas y otros elementos como gusanos que hayan logrado transponer los
firewalls de frontera. Incluso se los puede ejecutar en modo standby para no bloquear los patrones de tráfico
normales y permitir la activación de reglas estrictas si surge algún problema.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 8
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
Seguridad básica para los hosts de la red
Cómo bloquear puertos y reducir la cantidad de servicios en funcionamiento
Muchos hosts y dispositivos de red ponen en marcha servicios de red en forma predeterminada. Cada uno
de estos servicios puede ser una oportunidad para un ataque o el ingreso de gusanos y troyanos. Muchas
veces, estos servicios predeterminados no son necesarios. Esta exposición a las amenazas se reduce al
bloquear puertos por medio de la desactivación de servicios. Como se mencionó en la sección sobre
firewalls, al igual que las redes, las computadoras de escritorio y los servidores pueden poseer un programa
de firewall sencillo para bloquear el acceso a puertos IP innecesarios en el host o para restringir el acceso
desde ciertos hosts. Esta práctica es importante para la protección interna si se han vulnerado las defensas
exteriores y para la protección de otras amenazas internas. Existen muchos paquetes de software con
firewalls para computadoras de escritorio que funcionan muy bien a la hora de proteger hosts. Por ejemplo, a
partir de Windows XP Service Pack 2, Microsoft también ofrece como parte del paquete un firewall sencillo.
Salvo que las computadoras o los equipos posean políticas integradas que hagan respetar los conceptos
aquí mencionados, estas son reglas que cada uno debe ocuparse de cumplir. El cumplimiento de la regla 4
puede evaluarse si se tienen programas en la red que se ocupen de detectar dispositivos con datos de
identificación predeterminados.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 9
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
Acceso seguro a dispositivos y sistemas
Dado que no siempre se puede suponer que las redes de datos están protegidas del ingreso de intrusos o
del espionaje de datos, se crearon protocolos que incrementan la seguridad de los dispositivos conectados a
la red. En general, hay dos conceptos distintos que tener en cuenta: la autenticación y la no divulgación
(cifrado). Existen diversos esquemas y protocolos que se ocupan de estos dos requisitos en los sistemas y
comunicaciones seguros. Primero veremos los fundamentos de la autenticación y luego pasaremos al
cifrado.
Uno de los aspectos más importantes de la seguridad de una red es la restricción del acceso a los
dispositivos. Dado que los dispositivos de la infraestructura brindan soporte tanto a la red como a los
equipos informáticos ipso facto, cualquier riesgo que corran puede causar el colapso de toda la red y sus
recursos. Paradójicamente, muchos departamentos informáticos se esfuerzan por proteger los servidores e
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 10
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
instalar firewalls y mecanismos de acceso seguros, pero conservan medidas de seguridad rudimentarias en
algunos dispositivos elementales.
Como mínimo, todos los dispositivos deberían contar con autenticación de nombre de usuario y contraseña.
Estos campos no deberían ser de formación sencilla (10 caracteres que mezclen letras, números y
símbolos). Se deben establecer restricciones tanto en cuanto al número de usuarios como a los tipos de
autorización que se confieren a estos. Se debe tener cuidado cuando se utilizan métodos de acceso remoto
que no son seguros, por ejemplo, cuando se transmiten por la red nombres de usuario y contraseñas sin
cifrar. También deberían cambiarse las contraseñas con una frecuencia razonable, por ejemplo, cada tres
meses y cada vez que un empleado deja de trabajar para la empresa, si se utilizan contraseñas grupales.
Los sistemas de autenticación centralizada, como RADIUS o Kerberos, resuelven este inconveniente al
utilizar información centralizada de las cuentas de usuario a la que las unidades RAS, u otros tipos de
equipos, pueden acceder en forma segura. Estos esquemas centralizados permiten que la información se
almacene en un solo lugar y no en varios. En vez de tener que administrar usuarios en varios dispositivos,
se los puede administrar desde un solo lugar. En caso de ser necesario, una sencilla tarea permite modificar
información del usuario, por ejemplo, introducir una nueva contraseña. Si un usuario deja la empresa, se
elimina la cuenta del usuario y se impide su acceso a todos los equipos mediante la autenticación
centralizada. Un inconveniente que surge con frecuencia en las redes grandes que no utilizan autenticación
centralizada es recordar que se deben eliminar las cuentas en todos los equipos. Por lo general, los
sistemas de autenticación centralizada, como RADIUS, se pueden integrar sin problemas a otros esquemas
de administración de cuentas de usuario, como Active Directory de Microsoft o los directorios LDAP. Estos
dos sistemas de directorios no son sistemas de autenticación en sí mismos, pero se los utiliza como
mecanismos centralizados de almacenamiento de cuentas. La mayoría de los servidores RADIUS pueden
comunicarse con unidades RAS y otros dispositivos de la red por medio del protocolo RADIUS para luego
acceder en forma segura a la información de las cuentas almacenada en los directorios. Esto es
exactamente lo que hace el servidor IAS de Microsoft para integrar RADIUS y Active Directory. Este enfoque
indica que no solo se brinda autenticación centralizada para los usuarios del servicio de acceso remoto y los
dispositivos, sino que la información de las cuentas también se unifica con las cuentas de dominio de
Microsoft. La Figura 4 muestra un controlador de dominio Windows que funciona como servidor Active
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 11
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
Directory y como servidor RADIUS para elementos de la red que se autentican en un dominio Active
Directory.
CD
Base de datos
Usuario cliente de
Radius Respuesta de
autenticación IAS /
Respuesta Radius
de acceso
Dispositivo Pedido de
CUPS / autenticación
Pedido Placa de gestión Radius
de acceso
Cómo asegurar los datos de la red por medio del cifrado y la autenticación
En algunos casos, se debe tener en cuenta el tema de la divulgación de la información que se intercambia
entre elementos de la red, computadoras o sistemas. Sin duda, no conviene que alguien ingrese a una
cuenta bancaria que no le pertenece u obtenga información personal que se transmite por una red. Cuando
se quiere evitar que se divulguen datos por una red, deben utilizarse métodos de cifrado para que quien
obtuvo esos datos de algún modo a medida que transitaban la red no pueda leerlos. Existen muchos
métodos para “cifrar” datos. Explicaremos los más importantes. En lo que se refiere a algunos dispositivos
de la red como los sistemas UPS, la mayor preocupación no suele ser la importancia de proteger datos
como las tensiones del sistema UPS y las corrientes de los bloques de tomacorrientes. Sin embargo, se
debe tener en cuenta el control del acceso a dichos elementos.
La no divulgación de datos de identificación para autenticación, como los nombres de usuario y las
contraseñas, es clave en los sistemas a los cuales se accede por redes no seguras, como Internet. Se
considera mejor práctica proteger estos datos de identificación incluso dentro de las redes privadas de las
empresas. Aunque es menos frecuente, muchas empresas comenzaron a implementar políticas para que
TODO el tráfico administrativo, no solo los datos de identificación para autenticación, sea seguro (cifrado).
En cualquier caso, se debe utilizar algún tipo de método criptográfico.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 12
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
Por lo general, el cifrado de datos se logra mediante la combinación de datos en texto plano (la entrada) y
una clave secreta que utiliza un algoritmo de cifrado específico (por ejemplo, 3DES, AES, etc.). El resultado
(la salida) es un texto cifrado. Salvo que una persona (o computadora) conozca la clave secreta, no podrá
reconvertir el texto cifrado en el texto plano original. Esta metodología elemental es la base de cualquiera de
los protocolos seguros (que describiremos más adelante). Otro de los ladrillos que construyen el sistema
criptográfico es el hashing. Luego de que se ingresa cierto texto plano, y en algunos casos también una
clave, los métodos de hashing calculan un número grande que se denomina hash. Dicho número tiene un
tamaño (número de bits) fijo, independientemente del tamaño de la entrada. A diferencia de los métodos de
cifrado reversibles, en los que se puede volver al texto plano por medio de la clave, los métodos de hashing
funcionan en un único sentido. Matemáticamente, no se puede volver de un hash al texto plano. Los hashes
se utilizan como identificaciones especiales en varios sistemas de protocolos porque brindan un mecanismo
de control de datos similar al CRC (control por redundancia cíclico) que permite analizar archivos en un
disco para detectar posibles alteraciones en los datos. Los hashes se utilizan como métodos de
autenticación de datos (que difiere de la autenticación de usuarios). Si alguien intenta alterar en forma
secreta los datos que circulan por una red, cambiará los valores del hash y, de esa forma, podrá ser
detectado. La Tabla 3 muestra una comparación básica de los algoritmos criptográficos y sus usos.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 13
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
El protocolo SSH
El protocolo SSH (Secure Shell) para clientes y servidores se desarrolló a mediados de los años 90 con el fin
de brindar un mecanismo seguro para acceder a las consolas informáticas o interfaces de usuario de
manera remota por redes desprotegidas o "no seguras". Este protocolo brinda métodos “seguros” para
abordar el tema de la autenticación de usuarios y servidores y el cifrado absoluto de todo el tráfico entre el
cliente y el servidor. El protocolo SSH tiene dos versiones, V1y V2, que difieren mínimamente en los
mecanismos criptográficos que emplea cada una. Además, la versión V2 es superior a la hora de ofrecer
protección contra ciertos tipos de “ataques”. (Se considera ataque cualquier intento de interceptar, falsificar o
alterar de algún modo la información transmitida realizado por un tercero que no participe en la interacción
en cuestión.)
SSH se utiliza como protocolo de acceso seguro a consolas informáticas desde hace años. Sin embargo,
tradicionalmente se lo ha usado menos en dispositivos de carácter secundario en la infraestructura de la red,
como los sistemas UPS y HVAC. De todas formas, dado que las redes y la infraestructura de redes que les
brindan soporte son cada vez más importantes en las prácticas de negocios de las empresas, el uso de este
método de acceso seguro para todo tipo de equipos se está volviendo más común.
El protocolo SSL\TLS
El protocolo SSH es el protocolo seguro que normalmente se utiliza para el acceso a consolas informáticas
para tareas de administración del tipo de las de líneas de comando, pero el protocolo SSL (Secure Socket
Layer), y luego el protocolo TLS (Transport Layer Security), se convirtieron en el método estándar para
asegurar el tráfico Web y otros protocolos como el SMTP (para correo electrónico). El protocolo TLS es la
versión más reciente del protocolo SSL. Hoy en día, es común que todavía se usen ambos términos de
manera intercambiable. El SSL y el SSH difieren principalmente en lo que concierne a los mecanismos de
autenticación de clientes y servidores incorporados a cada protocolo. El protocolo TLS también fue aceptado
como estándar por el IETF (Grupo de Trabajo en Ingeniería de Internet), mientras que dicha organización
nunca aceptó completamente el SSH como estándar definitivo, a pesar de que se lo implementa mucho
como estándar preliminar. El SSL es el protocolo seguro que protege el tráfico Web HTTP, también conocido
como HTTPS ("HTTP Seguro"). Tanto Netscape como Internet Explorer son compatibles con los protocolos
SSL y TLS. Cuando se utilizan estos protocolos, se realiza una autenticación formal del servidor para el
cliente por medio de un certificado de servidor. A continuación, desarrollaremos el tema de los certificados.
También se puede autenticar al cliente por medio de certificados, aunque más comúnmente se utilizan
nombres de usuarios y contraseñas. Dado que las “sesiones” SSL siempre están cifradas, la información de
la autenticación y cualquier tipo de datos de las páginas Web son seguros. El protocolo SSL siempre se
utiliza en sitios Web que desean ser seguros para la realización de transacciones bancarias y para otros
fines comerciales, ya que los clientes generalmente acceden a ellos desde Internet, la red pública.
Como la administración a través de la Web de los dispositivos de la red (servidores Web incorporados) es
hoy en día la forma más común de configuración básica y determinación de puntos de acceso de usuarios,
es muy importante protegerla. Las empresas que desean que toda su red se administre en forma segura,
pero a la vez quieren aprovechar las ventajas de las interfaces gráficas como el HTTP, deberían utilizar
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 14
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
sistemas que funcionen con el protocolo SSL. Como mencionábamos anteriormente, el SSL también puede
proteger comunicaciones no basadas en HTTP. Si se utilizan clientes que no se comunican por HTTP,
también debe emplearse el SSL para que sus protocolos de acceso garanticen la seguridad. La otra ventaja
de utilizar el SSL en todos estos casos es que se pueden utilizar protocolos estándar con esquemas de
autenticación y cifrado comunes.
La lista anterior muestra los puntos clave que debe contemplar la política de seguridad. También podrían
incluirse en las políticas otros puntos de gran alcance. Obviamente, siempre es importante evaluar algunos
factores, como el tamaño de la empresa, el análisis de riesgos, el costo y el impacto para los negocios antes
de definir el tipo de política y su alcance. Como mencionábamos anteriormente, el análisis del sistema suele
ser un buen punto de partida, seguido del análisis de los negocios. Aunque no parezca obvio, incluso las
empresas muy pequeñas deben tener algún tipo de política de seguridad, ya que todas las redes,
independientemente de su tamaño, pueden ser blanco de ataques.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 15
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0
Conclusiones
Dado el aumento en la cantidad de amenazas a las redes, como los gusanos, los virus y los hackers
inteligentes, la seguridad ya no puede ser considerada una opción, incluso en las redes “privadas”. Es clave
proteger todos los equipos, incluso los que conforman la infraestructura física, como los sistemas UPS y
HVAC, para mantener el tiempo productivo y el acceso sin dificultades a los servicios. En general, brindar y
mantener la seguridad en toda la empresa requiere un incremento en las tareas de administración.
Históricamente, este ha sido el mayor obstáculo para la implementación de medidas de seguridad a gran
escala. Hoy en día, el tiempo que lleva reparar una red por un solo ataque de un gusano o virus suele ser
mayor que el tiempo inicial que lleva proteger una empresa más adecuadamente. Por suerte, existen
muchas opciones en lo que se refiere a sistemas y software para aumentar la seguridad de la red y reducir el
gasto fijo que representa administrar esos sistemas. Hasta las prácticas más elementales, como la
actualización periódica del software, la desactivación de todos los dispositivos y el uso de autenticación
centralizada y métodos de acceso seguro pueden reducir los riesgos de manera considerable. La
implementación de políticas de seguridad adecuadas y auditorías de redes frecuentes aumentan aun más la
protección global de la red.
2005 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilización, reproducción, fotocopiado, transmisión o 16
almacenamiento en cualquier sistema de recuperación de cualquier tipo de esta publicación, en todo o en parte, sin el consentimiento escrito
del titular del derecho de autor. www.apc.com Rev 2005-0