SEGURIDAD EN INTRANET

Elaborado por VICTOR HUGO BORJAS TRUJILLO.

 

INFOGRAFÍA:

 

1.- Brechas de seguridad y controles en las empresas Venezolanas:  Se presenta una encuesta donde se evaluó el grado de exposición de las organizaciones a las brechas de seguridad en los diversos ambientes tecnológicos, en términos de: Incidencias de seguridad, ataque interno y externo, infección por virus, uso inadecuado de sistemas de información y accesos no autorizados.

http://www.pc-news.com/detalle.asp?sid=&id=11&ida=2288

 

2.-  ¿Qué se necesita para desarrollar una intranet corporativa?:  Se muestra una presentación, donde se trata de Servidores Web, mensajería, seguridad, transacciones comerciales, bases de datos y recursos humanos.

http://www.cecalc.ula.ve/documentacion/presentaciones/congresos/TECWEB/PRESENTACIONES/Cheo/intranet.ppt

 

3.-  Crear aplicaciones ASP .NET seguras, Capítulo 5 - Seguridad de intranet:

En este artículo, se explica cómo proteger varios escenarios de aplicaciones de intranet habituales.

http://www.microsoft.com/spanish/msdn/arquitectura/BuildSecNetApps/html/SecurityGuide_Chapter05.asp

 

4.-  Aspecto clave: La Seguridad: Se habla de la seguridad como uno de los aspectos más importantes para establecer una intranet; así como, de la confidencialidad, integridad, autenticación, verificación y disponibilidad.

http://ciberconta.unizar.es/LECCION/INTRANET/140.HTM

 

5.-  ¿Cómo proteger la intranet de mi empresa?: Trata de las normativas sobre protección de datos de carácter personal, además de recomendaciones para garantizar la integridad de una intranet.

http://www.baquia.com/imprimir.php?id=8968

 

6.-  Seguridad en la Intranet: El artículo trata del diseño de los servicios Intranet el cual incorpora nuevas tecnologías y procedimientos de seguridad.

http://www.unican.es/WebUC/Unidades/SdeI/servicios/soporte/guias/seguridad/conexion_segura.htm

 

7.- Intranet: El artículo nos presenta una visión global de una Intranet. Cómo funciona TCP/IP e IPX en las Intranets. Cómo funcionan los servidores de sistemas de nombres de dominio en las Intranets. Subdividir una Intranet. Seguridad de las Intranets. Cómo funcionan los enrutadores para filtrar. Cómo funcionan los firewalls. Cómo funciona la encriptación. Cómo funcionan las contraseñas y los sistemas de autenticación. Cómo funciona el software para examinar virus en una Intranet. Bloquear sitios indeseables desde una Intranet. http://www.ilustrados.com/publicaciones/EpyVZEuAlEOWFWNPWt.php#SEGURIDAD

8.-  Seguridad en una Intranet: El artículo nos muestra la metodología de desarrollo, ejemplos de aplicación de políticas, otros métodos de autenticación y seguridad de los módems de acceso telefónico.

http://www.monografias.com/trabajos6/sein/sein.shtml

 

9.-  Servicios de certificación digital Go Secure!: El artículo habla acerca de Go Secure para redes privadas virtuales, beneficios del administrador de redes y para el usuario final, así como sus características.

http://www.telefonica.com.pe/empresas/pki/gs_vpn.html

10.- Seguridad en servicios web. Autenticación y autorización. Interoperabilidad: Discusión de aspectos sobre la seguridad de los servicios web en la plataforma .NET. Autenticación, autorización e interoperatibilidad.

http://www.desarrolloweb.com/articulos/1640.php?manual=54

11.- La masiva ciencia de la seguridad: Claves públicas, métodos criptográficos y la firma digital.

http://www.cientec.com/analisis/MasivaCienciaSeg.asp

 

12.- ¿Qué es encriptación?: Descripción de encriptación, como funciona y su importancia.

http://www.osmosislatina.com/aplicaciones/seguridad.htm

 

13.- Intranet: Diferencia entre Internet e intranet, seguridad, ventajas de su implementación e importancia de su uso.

http://www.gestiopolis.com/recursos4/docs/ger/intranet.htm

 

14.- El back office de una intranet corporativa: ¿Cómo funciona?, Bases de datos y seguridad en la intranet.

http://www.cientec.com/analisis/elback.asp

 

15.- Check Point: Líder mundial en seguridad de redes empresariales presenta su línea de productos. Seguridad De Acceso y Redes Privadas Virtuales (VPN). Stateful Inspection. User-To-Address Mapping

http://www.cybertechprojects.com/checkpoint.html

RESUMEN DEL SUB-TEMA:

 

Antes que nada, comenzaremos  por reconocer que indudablemente uno de los aspectos más importantes a la hora de establecer una Intranet, es el de la seguridad, debido a que los miembros de la organización y solo ellos, puedan acceder a la información; por lo que cualquier conexión que no tenga una autorización, debe ser automáticamente bloqueada, para evitar accesos indeseados. En tal sentido se deben considerar algunos aspectos importantes tales como:

1.- La Confidencialidad, para garantizar que los datos no sean comunicados incorrectamente.

2.- La Integridad, para proteger los datos para evitar cambios no autorizados.

3.- La  Autentificación, para tener confianza en la identidad de usuarios.

4.- La Verificación, para poder comprobar que los mecanismos de seguridad están correctamente implementados.

5.     La Disponibilidad, para garantizar que los recursos estén disponibles cuando se necesiten.

Cualquier Intranet es vulnerable a los ataques de personas que tengan el propósito de destruir o robar datos. La naturaleza sin límites tanto de  Internet, como de una intranet y los protocolos TCP/IP exponen a una organización a este tipo de ataques. Las Intranets requieren varias medidas de seguridad, incluyendo las combinaciones de hardware y software que proporcionan el control del tráfico; la encripción y las contraseñas para convalidar usuarios y las herramientas del software para evitar y curar de virus, bloquear sitios indeseables y controlar el tráfico.

El término genérico usado para denominar a una línea de defensa contra intrusos es firewall. Un firewall es una combinación de hardware / software que controla el tipo de servicios permitidos hacia o desde la Intranet.

Los servidores sustitutos son otra herramienta común utilizada para construir un firewall. Un servidor sustituto permite a los administradores de sistemas, seguir la pista de todo el tráfico que entra y sale de una Intranet.

Un firewall de un servidor bastión se configura, para oponerse y evitar el acceso a los servicios no autorizados. Normalmente está aislado del resto de la Intranet en su propia sub – red de perímetro. De este modo si el servidor es "allanado", el resto de la Intranet no estará en peligro. Los sistemas de autenticación son una parte importante en el diseño de la seguridad de cualquier Intranet. Los sistemas de autenticación se emplean para asegurar que cualquiera de sus recursos, es la persona que dice ser. Los sistemas de autenticación normalmente utilizan nombres de usuario, contraseñas y sistemas de encriptación.

El software para el bloqueo de sitios basado en el servidor puede prohibir a los usuarios de una Intranet la obtención de material indeseable. EL software de control rastrea dónde ha ido la gente y qué servicios han usado, como HTTP para el acceso a la Web. El software para detectar virus basado en el servidor puede comprobar cualquier archivo que entra en la Intranet para asegurarse que está libre de virus.

Una manera de asegurarse de que las personas impropias o los datos erróneos no pueden acceder a la Intranet, es usar un enrutador para filtrar. Este es un tipo especial de enrutador que examina la dirección IP y la información de cabecera de cada paquete que entra en la Intranet y sólo permite el acceso, a aquellos paquetes que tengan direcciones u otros datos, como e-mail, que el administrador del sistema ha decidido previamente que pueden acceder a la Intranet.

         Entonces, ¿qué se necesita?:

Servidores de seguridad

         Proxy Server.

         Cortafuegos (firewall).

         Servidores de certificados.

 

Proxy Servers

         Detectan información de direcciones y aplicaciones.

         Pueden filtrar direcciones fuentes y direcciones de destino.

         Caché.

         Enmascarar direcciones IP.

         Restringe o permite el acceso a específicos sitios, documentos y servicios (ftp, telnet,etc). 

 

Cortafuegos

         Protegen contra intrusos (hackers, espías, vándalos, etc).

         Son de diversos tipos:

       Filtros de paquetes.

       Gateways” de aplicaciones.

       Gateways”a nivel de circuitos.

       Inspección de estado.

         Pueden ser difíciles de instalar, configurar y manejar.

         La inversión se maneja valorando la posibilidad de “ataques” y el daño potencial

         Experiencia en TCP/IP, seguridad y SO ayuda

         Si el producto tiene una buena interfase un administrador de red motivado aprende

         Algunos pueden ser:

         CheckPoint Software

       http://www.checkpoint.com

         Cisco Systems

       http://www.cisco.com

         Livermore Software Laboratories International

       http://www.lsli.com

         Netguard Inc

       http://www.netguard.com

         Network-1 Software and Tecnology

       http://www.network-1.com

         Raptor Systems

       http://www.raptor.com

 

Servidores de certificados

         Un paso más allá de la seguridad basada en password.

         Clientes y servidores se registran en la autoridad de certificados.

         Cuando un cliente se conecta a un servidor intercambian certificados para probar su identidad.

         SSL (Secure Socket Layer): autenticación y encriptamiento punto a punto.

         Autoridades de certificación cobran por cada certificado. Cuando hay muchos es mejor colocar un servidor, sumando una cierta complejidad de administración.

 

Por otra parte debemos considerar el funcionamiento de distintos mecanismos de seguridad para poder establecer una intranet segura.

Enrutadores para filtrar

Los enrutadores para filtrar, algunas veces denominados enrutadores de selección, son la primera línea de defensa contra ataques a la Intranet. Los enrutadores para filtrar examinan cada paquete que se mueve entre redes en una Intranet. Un administrador de Intranets, establece las reglas que utilizan los enrutadores, para tomar decisiones sobre qué paquetes deberían admitir o denegar.

Las distintas reglas se pueden establecer para paquetes que entran y que salen de modo que los usuarios de Intranets puedan acceder a los servicios de Internet, mientras que cualquiera en Internet tendría prohibido el acceso a ciertos servicios y datos de la Intranet. Los enrutadores para filtrar pueden llevar el registro sobre la actividad de filtración. Comúnmente, siguen la pista a los paquetes sin permiso para pasar entre Internet y la Intranet, que indicarían que una Intranet ha estado expuesta al ataque.

¿Cómo funcionan los firewalls?

Los firewalls protegen a las Intranets de los ataques iniciados contra ellas desde Internet. Están diseñados para proteger a una Intranet del acceso no autorizado a la información de la empresa y del daño o rechazo de los recursos y servicios informáticos. También están diseñados para impedir que los usuarios internos accedan a los servicios de Internet que puedan ser peligrosos, como FTP.

Las computadoras de las Intranets sólo tienen permiso para acceder a Internet después de atravesar un firewall. Las peticiones tienen que atravesar un enrutador interno de selección, llamado también enrutador interno para filtrar o enrutador de obstrucción. Este enrutador evita que el trafico de paquetes sea "husmeado" remotamente.

Servidores sustitutos.

Una parte integral de muchos de los sistemas de seguridad, es el servidor sustituto. Un servidor sustituto software y un servidor que se coloca en un firewall y actúa como intermediario entre computadoras en una Intranet e Internet. Los servidores sustitutos a menudo se ejecutan en anfitriones bastión. Solo el servidor sustituto en vez de las muchas computadoras individuales en la Intranet, interactúan con Internet, de este modo la seguridad se puede mantener porque el servidor puede estar más seguro que los cientos de computadoras individuales en la Intranet. Los administradores de Intranets pueden configurar servidores sustitutos que puedan utilizarse para muchos servicios, como FTP, la Web y Telnet. Los administradores de Intranets deciden que servicios de Internet deben atravesar un servidor sustituto, y cuales no. Se necesita software específico del servidor sustituto para cada tipo diferente de servicio Internet.

Cuando una computadora en la Intranet realiza una petición a Internet, como recuperar una página Web desde un servidor Web, la computadora interna se pone en contacto con el servidor Internet, El servidor Interner envía la página Web al servidor sustituto, que después la mandará a la computadora de la Intranet.

Anfitriones bastión.

Un anfitrión bastión (llamado también servidor bastón), es una de las defensas principales en el firewall de una Intranet. Es un servidor fuertemente fortificado que se coloca dentro del firewall y es el punto de contacto principal de la Intranet e Internet. Al tener como punto de contacto principal un servidor aislado duramente defendido, el resto de los recursos de la Intranet pueden proteger de los ataques que se inician en Internet.

Los anfitriones bastión se construyen para que cada servicio posible de la red quede inutilizado una vez dentro de ellos, lo único que hace el servidor es permitir el acceso especifico de Internet. Así que, por ejemplo, no debería haber ninguna cuenta de usuarios en un servidor bastión, para que nadie pudiera entrar, tomar el control y después obtener acceso a la Internet. Incluso el Sistema de Archivos de Red (NFS) que permite a un sistema el acceso a archivos a través de una red en un sistema remoto, debería inhabilitarse para que los intrusos no pudieran acceder al servidor bastión es instalarlo en su propia sub – red como parte del firewall de una Intranet. Al colocarlos en su propia red, si son atacados; ningún recurso de la Intranet se pone en peligro.

Encriptación.

Un medio de asegurar una Intranet, es usar la encriptación: alterar datos para que sólo alguien con acceso a códigos específicos para descifrar pueda comprender la información. La encriptación se utiliza para almacenar y enviar contraseña para asegurarse de que ningún fisgón pueda entenderla. La encriptación se emplea también cuando se envían datos entre Intranets en Redes Privadas Muy Seguras (VSPN); además la encriptación se usa para dirigir el comercio en Internet y proteger la información de la tarjeta de crédito durante la transmisión.

Las claves son el centro de la encriptación. Las claves son fórmulas matemáticas complejas (algoritmos), que se utilizan para cifrar y descifrar mensajes. Si alguien cifra un mensaje sólo otra persona con la clave exacta será capaz de descifrarlo. Hay dos sistemas de claves básicos: criptografía de claves secretas y de claves públicas. Se emplea un algoritmo para realizar una función de rehecho. Este proceso produce un resumen del mensaje único al mensaje. El resumen del mensaje se cifra con la clave privada del emisor que da lugar a una "huella digital".

El estándar de Encriptación de Datos (DES), es un sistema de claves secretas (simétrico), no hay componente de clave privada. El emisor y el receptor conocen la palabra secreta del código. Este método no es factible para dirigir negocios por Internet. RSA es un sistema de claves públicas (asimétrico), que utiliza pares de claves para cifrar y descifrar mensajes. Cada persona tiene una clave pública, disponible para cualquiera en un anillo de claves públicas y una clave privada, guardada sólo en la computadora. Los datos cifrados con la clave privada de alguien sólo pueden descifrarse con su clave pública y los datos cifrados con su clave pública sólo pueden descifrarse con su clave privada. Por tanto, RSA necesita un intercambio de claves públicas, esto se puede realizar sin necesidad de secretos ya que la clave pública es inútil sin la clave privada.

PGP, un programa inventado por Philip Zimmermann, es un método popular empleado para cifrar datos. Utiliza MD5 (resumen del mensaje 5) y los sistemas cifrados de RSA para generar los pares de claves. Es un programa muy extendido que se puede ejecutar en plataformas UNÍX, DOS y Macintosh. Ofrece algunas variaciones de funcionalidad, como la comprensión que otros sistemas cifrados no brindan. Los pares de claves múltiples se pueden generar y ubicar en anillos de claves públicas y privadas.

Contraseñas y sistemas de autenticación.

Una de las primeras líneas de defensa de una Intranet es usar la protección de las contraseñas. Varias técnicas de seguridad, incluyendo la encriptación, ayudan a asegurarse de que las contraseñas se mantienen a salvo. También es necesario exigir que las contraseñas se cambien frecuentemente, que no sean adivinadas fácilmente o palabras comunes del diccionario y que no se revelen simplemente. La autenticación es el paso adicional para verificar que la persona que ofrece la contraseña es la persona autorizada para hacerlo.

¿Cómo funciona el software para examinar virus en una intranet?

Los virus son el mayor riesgo en la seguridad de las Intranets. Pueden dañar datos, ocupar y consumir recursos e interrumpir operaciones. Los archivos de programas eran la principal fuente de problemas en el pasado, pero los nuevos virus de "macro" se pueden esconder en archivos de datos e iniciarse por ejemplo; cuando se ejecutan una macro en un programa de procesamiento de texto. El software para examinar virus basado en el servidor y el basado en el cliente poseen dispositivos que ayudan a proteger a la Intranet.

Bloqueo de sitios indeseables desde una intranet.

El software para el bloqueo de sitios examina el URL de cada petición que sale de la Intranet. Los URL más propensos a no ser aceptados accederán a la Web (http); grupos de noticias (ntp), ftp (ftp); gopher  y las conversaciones de Internet (irc). EL software toma cada uno de estos cinco tipos de URL y los pone en sus propias "cajas" separadas. El resto de la información de la Intranet que sale tiene permiso para pasar.

Cada URL en cada caja se comprueba en una base de datos de los URL de los sitios censurables. Si el software de bloqueo encuentra que algunos de los URL provienen de sitios desagradables, no permitirá que la información pase a la Intranet. Los productos como SurfWatch prueban miles de sitios y enumeran varios miles en sus bases de datos que se han encontrado molestos.

Software de supervisión de intranets.

El software utiliza filtrado de paquetes muy parecidos a lo que hacen los enrutadores para filtrar. Ambos observan los datos en la cabecera de cada paquete IP que entra y sale de la Intranet. Sin embargo, se diferencian en que los enrutadores para filtrar, deciden si admiten o no a los paquetes. El software de supervisión simplemente deja pasar a los paquetes y sigue la pista a la información de los paquetes, además de los datos como la dirección del emisor y destino, el tamaño del paquete, el tipo de servicio de Internet implicado (como la WEB o FTP) y la hora del día en la que se recogen en una base de datos.

Redes virtuales seguras.

Una Red Privada Virtual Segura (VSPN) o Red Privada Virtual (VPN) permite a las organizaciones, siempre y cuando cada uno posea una Intranet, enviarse comunicaciones seguras por Internet y saber que nadie más será capaz de leer los datos. Esencialmente, crea un canal privado y seguro entre sus respectivas Intranets e incluso aunque los datos enviados entre ellas viajen por la Internet pública. Esto significa que las organizaciones no tienen que alquilar líneas caras entre ellas para mandar datos a través de un enlace seguro. Esta tecnología también se puede emplear para permitir a una institución enlazar sucursales sin tener que alquilar líneas caras y saber que los datos se pueden leer solo por la gente de la VSPN.

PREGUNTAS DE DESARROLLO:

1.-     ¿Por qué es necesario contar con sistemas de seguridad en una intranet?

 

2.-     ¿Cuáles son los aspectos que hay que considerar para una intranet, en cuento a seguridad?

 

3.-     ¿Qué es un cortafuego?

 

4.-     ¿Cuál es el empleo de los sistemas de autenticación?

 

5.-     ¿Cuáles son las funciones de un enrutador para filtrar?

 

6.-     ¿Qué se necesita para tener buena seguridad en una intranet?

 

7.-     ¿Qué función cumple un anfitrión bastión?

 

8.-     ¿Para qué se utiliza la encriptación?

 

9.-     ¿Qué hace un  Software de supervisión de intranet?