SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS

PROF. ARMAS FISI - UNMSM

INTRODUCCIÓN.

La seguridad ha sido el principal concerniente a tratar cuando una organización

desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios,
se ha incrementado el numero de usuarios de redes privadas por la demanda del
acceso a los servicios de Internet tal es el caso del World Wide Web (WWW),
Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los
corporativos buscan las ventajas que ofrecen las paginas en el WWW y los
servidores FTP de acceso publico en el Internet.

Los administradores de red tienen que incrementar todo lo concerniente a la

seguridad de sus sistemas, debido a que se expone la organización privada de sus
datos así como la infraestructura de sus red a los Expertos de Internet (Internet
Crakers). Para superar estos temores y proveer el nivel de protección requerida, la
organización necesita seguir una política de seguridad para prevenir el acceso no-
autorizado de usuarios a los recursos propios de la red privada, y protegerse contra
la exportación privada de información. Todavía, aun si una organización no esta
conectada al Internet, esta debería establecer una política de seguridad interna para
administrar el acceso de usuarios a porciones de red y proteger sensitivamente la
información secreta.

1
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

1. SEGURIDAD PERIMETRAL EN REDES IP (FIREWALLS Y DISPOSITIVOS L3

Y L4)

1.1. SEGURIDAD INFORMÁTICA

La seguridad informática consiste en asegurar que los recursos del sistema de

información (material informático o programas) de una organización sean utilizados
de la manera que se decidió y que el acceso a la información allí contenida, así
como su modificación, sólo sea posible a las personas que se encuentren
acreditadas y dentro de los límites de su autorización.

La mayoría de las empresas sufren la problemática de seguridad debido a sus

necesidades de acceso y conectividad con:

• Internet.
• Conectividad mundial.
• Red corporativa.
• Acceso Remoto.
• Proveedores.

Objetivos de la seguridad informática

Generalmente, los sistemas de información incluyen todos los datos de una

compañía y también en el material y los recursos de software que permiten a una
compañía almacenar y hacer circular estos datos. Los sistemas de información son
fundamentales para las compañías y deben ser protegidos.

Generalmente, la seguridad informática consiste en garantizar que el material y los

recursos de software de una organización se usen únicamente para los propósitos
para los que fueron creados y dentro del marco previsto.

La seguridad informática se resume, por lo general, en cinco objetivos principales:

• Integridad: garantizar que los datos sean los que se supone que son
• Confidencialidad: asegurar que sólo los individuos autorizados tengan
acceso a los recursos que se intercambian
• Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información
• Evitar el rechazo: garantizar de que no pueda negar una operación
realizada.
• Autenticación: asegurar que sólo los individuos autorizados tengan acceso a
los recursos

Integridad

2
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

La verificación de la integridad de los datos consiste en determinar si se han alterado

los datos durante la transmisión (accidental o intencionalmente).

Confidencialidad

La confidencialidad consiste en hacer que la información sea ininteligible para

aquellos individuos que no estén involucrados en la operación.

Disponibilidad

El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.

No repudio

Evitar el repudio de información constituye la garantía de que ninguna de las partes

involucradas pueda negar en el futuro una operación realizada.

Autenticación

La autenticación consiste en la confirmación de la identidad de un usuario; es decir,

la garantía para cada una de las partes de que su interlocutor es realmente quien
dice ser. Un control de acceso permite (por ejemplo gracias a una contraseña
codificada) garantizar el acceso a recursos únicamente a las personas autorizadas.

CÓMO IMPLEMENTAR UNA POLÍTICA DE SEGURIDAD

Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar

el derecho a acceder a datos y recursos del sistema configurando los mecanismos
de autentificación y control que aseguran que los usuarios de estos recursos sólo
posean los derechos que se les han otorgado.

Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los

usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez más
complicadas a medida que la red crece. Por consiguiente, la seguridad informática
debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios
y así puedan utilizar los sistemas de información en forma segura.

Por esta razón, uno de los primeros pasos que debe dar una compañía es definir
una política de seguridad que pueda implementar en función a las siguientes
cuatro etapas:

• Identificar las necesidades de seguridad y los riesgos informáticos que

enfrenta la compañía así como sus posibles consecuencias

3
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

• Proporcionar una perspectiva general de las reglas y los procedimientos que

deben implementarse para afrontar los riesgos identificados en los diferentes
departamentos de la organización
• Controlar y detectar las vulnerabilidades del sistema de información, y
mantenerse informado acerca de las falencias en las aplicaciones y en los
materiales que se usan
• Definir las acciones a realizar y las personas a contactar en caso de detectar
una amenaza

La política de seguridad comprende todas las reglas de seguridad que sigue una
organización (en el sentido general de la palabra). Por lo tanto, la administración de
la organización en cuestión debe encargarse de definirla, ya que afecta a todos los
usuarios del sistema.

La seguridad informática de una compañía depende de que los empleados

(usuarios) aprendan las reglas a través de sesiones de capacitación y de
concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de los
empleados y cubrir las siguientes áreas:

• Un mecanismo de seguridad física y lógica que se adapte a las necesidades

de la compañía y al uso de los empleados
• Un procedimiento para administrar las actualizaciones
• Una estrategia de realización de copias de seguridad (backup) planificada
adecuadamente
• Un plan de recuperación luego de un incidente

Un sistema documentado actualizado

1.2. SEGURIDAD PERIMETRAL

4
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

Al conectar la red de la empresa a Internet, los recursos internos de IT podrían ser

accesibles desde cualquier parte del mundo. Como consecuencia de lo anterior, la
empresa puede ser el blanco de piratas informáticos que aprovechan los puntos
vulnerables de las redes, de códigos maliciosos y de infección involuntaria por parte
de empleados que se desplazan con frecuencia.

La seguridad perimetral la componen los equipos que regulan los accesos a la red
desde redes externas, y que básicamente deben satisfacer tres necesidades
fundamentales.

La seguridad perimetral es la correcta implementación de los equipos de seguridad

que controlan y protegen todo el tráfico y contenido de entrada y salida entre todos
los puntos de conexión o el perímetro de la red a través de una correcta definición
de las políticas de seguridad y una robusta configuración de los dispositivos de
protección, no limitándose sólo al filtrado de tráfico a bajo nivel, sino también a nivel
de aplicación, como a través de pasarelas de correo o proxis web.

La seguridad perimetral basa su filosofía en la protección de todo el sistema

informático de una empresa desde "fuera", es decir, establecer una coraza que
proteja todos los elementos sensibles frente amenazas diversas como virus,
gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos,
hackeo de páginas web corporativas, etcétera.

Toda esta tipología de amenazas posibles ha fomentado una división de la

protección perimetral en dos vertientes: a nivel de red, en el que podemos encontrar
los riesgos que representan los ataques de hackers, las intrusiones o el robo de
información en las conexiones remotas; y a nivel de contenidos, en donde se
engloban las amenazas que constituyen los virus, gusanos, troyanos, spyware,
phishing y demás clases de malware, el spam o correo basura y los contenidos web
no apropiados para las compañías. Esta clara división unida al modo de evolución
de las amenazas en los últimos años ha propiciado que el mercado de seguridad
perimetral se centrase en la creación de dispositivos dedicados a uno u otro fin

2. SEGURIDAD PERIMETRAL EN REDES EXTERNAS

Agregado de hardware, software y políticas para proteger una red en la que se

tiene confianza (intranet) de otras redes en las que no se tiene
confianza(extranet, internet)

Su objetivo es centralizar el control de acceso para mantener a los intrusos fuera,

permitiendo que la gente de dentro trabaje normalmente.
5
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

La seguridad perimetral:

• No es un componente aislado : es una estrategia para poder proteger los

recursos de una organización conectada a la red

• Es la realizacin practica de la política de seguridad de una organización. Sin

una política de seguridad, la seguridad perimetral no sirve de nada.

2.1. Condiciona la credibilidad de una organización en internet

2.2. FILTRADO DE PAQUETES(FIREWALLS, PROXYS, PASARELAS)

Cualquier router IP utiliza reglas de filtrado para reducir la carga de la red; por
ejemplo, se descartan paquetes cuyo TTL ha llegado a cero, paquetes con un
control de errores erróneos, o simplemente tramas de broadcast. Además de estas
aplicaciones, el filtrado de paquetes se puede utilizar para implementar diferentes
políticas de seguridad en una red; el objetivo principal de todas ellas suele ser
evitar el acceso no autorizado entre dos redes, pero manteniendo intactos los
accesos autorizados. Su funcionamiento es habitualmente muy simple: se analiza
la cabecera de cada paquete, y en función de una serie de reglas establecidas de
antemano la trama es bloqueada o se le permite seguir su camino; estas reglas
suelen contemplar campos como el protocolo utilizado (TCP, UDP, ICMP...), las
direcciones fuente y destino, y el puerto destino, lo cual ya nos dice que el firewall
ha de ser capaz de trabajar en los niveles de red (para discriminar en función de las
direcciones origen y destino) y de transporte (para hacerlo en función de los
puertos usados). Además de la información de cabecera de las tramas, algunas
implementaciones de filtrado permiten especificar reglas basadas en la interfaz del
router por donde se ha de reenviar el paquete, y también en la interfaz por donde
ha llegado hasta nosotros

Cómo se especifican tales reglas: Generalmente se expresan como una simple

tabla de condiciones y acciones que se consulta en orden hasta encontrar una
regla que permita tomar una decisión sobre el bloqueo o el reenvío de la trama;

6
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

adicionalmente, ciertas implementaciones permiten indicar si el bloqueo de un

paquete se notificará a la máquina origen mediante un mensaje ICMP
Siempre hemos de tener presente el orden de análisis de las tablas para poder
implementar la política de seguridad de una forma correcta; cuanto más complejas
sean las reglas y su orden de análisis, más difícil será para el administrador
comprenderlas. Independientemente del formato, la forma de generar las tablas
dependerá obviamente del sistema sobre el que trabajemos, por lo que es
indispensable consultar su documentación

Por ejemplo, imaginemos una hipotética tabla de reglas de filtrado de la siguiente

forma:

Origen Destino Tipo Puerto Accion

----------------------------------------------------------------------
158.43.0.0 * * * Deny
* 195.53.22.0 * * Deny
158.42.0.0 * * * Allow
* 193.22.34.0 * * Deny

Si al cortafuegos donde está definida la política anterior llegara un paquete

proveniente de una máquina de la red 158.43.0.0 se bloquearía su paso, sin
importar el destino de la trama; de la misma forma, todo el tráfico hacia la red
195.53.22.0 también se detendría. Pero, >qué sucedería si llega un paquete de un
sistema de la red 158.42.0.0 hacia 193.22.34.0? Una de las reglas nos indica que
dejemos pasar todo el tráfico proveniente de 158.42.0.0, pero la siguiente nos dice
que si el destino es 193.22.34.0 lo bloqueemos sin importar el origen. En este caso
depende de nuestra implementación particular y el orden de análisis que siga: si se
comprueban las reglas desde el principio, el paquete atravesaría el cortafuegos, ya
que al analizar la tercera entrada se finalizarían las comprobaciones; si operamos
al revés, el paquete se bloquearía porque leemos antes la última regla. Como
podemos ver, ni siquiera en nuestra tabla - muy simple - las cosas son obvias, por
lo que si extendemos el ejemplo a un firewall real podemos hacernos una idea de
hasta que punto hemos de ser cuidadosos con el orden de las entradas de nuestra
tabla.
Qué sucedería si, con la tabla del ejemplo anterior, llega un paquete que no cumple
ninguna de nuestras reglas? El sentido común nos dice que por seguridad se
debería bloquear, pero esto no siempre sucede así; diferentes implementaciones
ejecutan diferentes acciones en este caso. Algunas deniegan el paso por defecto,
otras aplican el contario de la última regla especificada (es decir, si la última
entrada era un Allow se niega el paso de la trama, y si era un Deny se permite),
otras dejan pasar este tipo de tramas...De cualquier forma, para evitar problemas
cuando uno de estos datagramas llega al cortafuegos, lo mejor es insertar siempre
una regla por defecto al final de nuestra lista - recordemos una vez más la cuestión
7
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

del orden - con la acción que deseemos realizar por defecto; si por ejemplo
deseamos bloquear el resto del tráfico que llega al firewall con la tabla anterior, y
suponiendo que las entradas se analizan en el orden habitual, podríamos añadir a
nuestra tabla la siguiente regla:

Origen Destino Tipo Puerto Accion

----------------------------------------------------------------------
* * * * Deny

La especificación incorrecta de estas reglas constituye uno de los problemas de

seguridad habituales en los cortafuegos de filtrado de paquetes; no obstante, el
mayor problema es que un sistema de filtrado de paquetes es incapaz de analizar
(y por tanto verificar) datos situados por encima del nivel de red OSI. A esto se le
añade el hecho de que si utilizamos un simple router como filtro, las capacidades
de registro de información del mismo suelen ser bastante limitadas, por lo que en
ocasiones es difícil la detección de un ataque; se puede considerar un mecanismo
de prevención más que de detección. Para intentar solucionar estas - y otras
vulnerabilidades - es recomendable utilizar aplicaciones software capaces de filtrar
las conexiones a servicios; a dichas aplicaciones se les denomina proxies de
aplicación, y las vamos a comentar en el punto siguiente.

2.2.1. FIREWALLS

Un Firewall en Internet es un sistema o grupo de sistemas que

impone una política de seguridad entre la organización de red
privada y el Internet. El firewall determina cual de los servicios
de red pueden ser accesados dentro de esta por los que están
fuera, es decir quien puede entrar para utilizar los recursos de
red pertenecientes a la organización. Para que un firewall sea
efectivo, todo trafico de información a través del Internet deberá pasar a través
del mismo donde podrá ser inspeccionada la información. El firewall podrá
únicamente autorizar el paso del trafico, y el mismo podrá ser inmune a la
penetracióndesafortunadamente, este sistema no puede ofrecer protección
alguna una vez que el agresor lo traspasa o permanece entorno a este.

8
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

Un cortafuegos (o firewall en inglés) es una parte de un sistema o una red que

está diseñado para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de
dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una

combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar
que los usuarios de Internet no autorizados tengan acceso a redes privadas
conectadas a Internet, especialmente intranets. Todos los mensajes que entren o
salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje
y bloquea aquellos que no cumplen los criterios de seguridad especificados.
También es frecuente conectar al cortafuegos a una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organización que
deben permanecer accesibles desde la red exterior. Un cortafuegos
correctamente configurado añade una protección necesaria a la red, pero que en
ningún caso debe considerarse suficiente. La seguridad informática abarca más
ámbitos y más niveles de trabajo y protección.

Beneficios de un firewall en Internet

Los firewalls en Internet administran los accesos posibles del Internet a la red
privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen
al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red
privada depende de la "Dureza" con que cada uno de los servidores cuenta y es
únicamente seguro tanto como la seguridad en la fragilidad posible del sistema.

El firewall permite al administrador de la red definir un "choke point" (envudo),

manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers,
vándalos, y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al
vulnerar los servicios de la red, y proporcionar la protección para varios tipos de
ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda
a simplificar los trabajos de administración, una vez que se consolida la seguridad en

9
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

el sistema firewall, es mejor que distribuirla en cada uno de los servidores que
integran nuestra red privada.

El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece

alguna actividad sospechosa , este generara una alarma ante la posibilidad de que
ocurra un ataque, o suceda algún problema en el transito de los datos. Esto se podrá
notar al acceder la organización al Internet, la pregunta general es "si" pero "cuando"
ocurrirá el ataque. Esto es extremadamente importante para que el administrador
audite y lleve una bitácora del trafico significativo a través del firewall. También, si el
administrador de la red toma el tiempo para responder una alarma y examina
regularmente los registros de base. Esto es innecesario para el firewall, desde que el
administrador de red desconoce si ha sido exitosamente atacado

Concentra la seguridad

Centraliza los accesos

Genera alarmas de seguridad

Traduce direcciones (NAT)

Monitorea y registra el uso de Servicios de WWW y FTP.

Internet.

Limitaciones de un firewall

Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su

punto de operación.

Por ejemplo, si existe una coneccion dial-out sin restricciones que permita entrar a
nuestra red protegida, el usuario puede hacer una coneccion SLIP o PPP al Internet.
Los usuarios con sentido común suelen "irritarse" cuando se requiere una
autenticación adicional requerida por un Firewall Proxy server (FPS) lo cual se
puede ser provocado por un sistema de seguridad circunvecino que esta incluido en
una conexión directa SLIP o PPP del ISP.

Este tipo de conexiones derivan la seguridad provista por firewall construido

cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar
consientes de que este tipo de conexiones no son permitidas como parte de integral
de la arquitectura de la seguridad en la organización.

10
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

Ilustración -3 Conexión Circunvecina Al Firewall De Internet.

El firewall no puede protegerse de las amenazas a que esta sometido por traidores o
usuarios inconscientes. El firewall no puede prohibir que los traidores o espías
corporativos copien datos sensitivos en disquettes o tarjetas PCMCIA y substraigan
estas del edificio.

El firewall no puede proteger contra los ataques de la "Ingeniería Social", por

ejemplo un Hacker que pretende ser un supervisor o un nuevo empleado despistado,
persuade al menos sofisticado de los usuarios a que le permita usar su contraseña
al servidor del corporativo o que le permita el acceso "temporal" a la red.

Para controlar estas situaciones, los empleados deberían ser educados acerca de
los varios tipos de ataque social que pueden suceder, y a cambiar sus contraseñas
si es necesario periódicamente.

El firewall no puede protegerse contra los ataques posibles a la red interna por virus
informativos a través de archivos y software. Obtenidos del Internet por sistemas
operativos al momento de comprimir o descomprimir archivos binarios, el firewall de
Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus
que se puedan presentar en los archivos que pasan a través de el.

La solución real esta en que la organización debe ser consciente en instalar software
anti-viral en cada despacho para protegerse de los virus que llegan por medio de
disquettes o cualquier otra fuente.

Finalmente, el firewall de Internet no puede protegerse contra los ataques posibles

en la transferencia de datos, estos ocurren cuando aparéntente datos inocuos son
enviados o copiados a un servidor interno y son ejecutados despachando un ataque.

2.2.2. PROXYS

11
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

En el contexto de las redes informáticas, el término proxy hace

referencia a un programa o dispositivo que realiza una acción en
representación de otro. Su finalidad más habitual es la de servidor
proxy, que sirve para permitir el acceso a Internet a todos los
equipos de una organización cuando sólo se puede disponer de un
único equipo conectado, esto es, una única dirección IP.

Un proxy permite a otros equipos conectarse a una red de forma indirecta a través
de él. Cuando un equipo de la red desea acceder a una información o recurso, es
realmente el proxy quien realiza la comunicación y a continuación traslada el
resultado al equipo inicial. En unos casos esto se hace así porque no es posible la
comunicación directa y en otros casos porque el proxy añade una funcionalidad
adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una página
web) en una caché que permita acelerar sucesivas consultas coincidentes. Con esta
denominación general de proxy se agrupan diversas técnicas.

Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en

lugar de otro ordenador. Un proxy es un punto intermedio entre un ordenador
conectado a Internet y el servidor que está accediendo. Cuando navegamos a través
de un proxy, nosotros en realidad no estamos accediendo directamente al servidor,
sino que realizamos una solicitud sobre el proxy y es éste quien se conecta con el
servidor que queremos acceder y nos devuelve el resultado de la solicitud.

Cuando nos conectamos con un proxy, el servidor al que accedemos en realidad

recibe la solicitud del proxy, en vez de recibirla directamente desde nuestro
ordenador. Puede haber sistemas proxy que interceptan diversos servicios de
Internet. Lo más habitual es el proxy web, que sirve para interceptar las conexiones
con la web y puede ser útil para incrementar la seguridad, rapidez de navegación o
anonimato.

El proxy web es un dispositivo que suele estar más cerca de nuestro ordenador que
el servidor al que estamos accediendo. Este suele tener lo que denominamos una
caché, con una copia de las páginas web que se van visitando. Entonces, si varias
personas que acceden a Internet a través del mismo proxy acceden al primer sitio
web, el proxy la primera vez accede físicamente al servidor destino, solicita la página
y la guarda en la caché, además de enviarla al usuario que la ha solicitado.

En sucesivos accesos a la misma información por distintos usuarios, el proxy sólo

comprueba si la página solicitada se encuentra en la caché y no ha sido modificada
desde la última solicitud. En ese caso, en lugar de solicitar de nuevo la página al
servidor, envía al usuario la copia que tiene en la caché. Esto mejora el rendimiento
o velocidad de la conexión a Internet de los equipos que están detrás del proxy.

12
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

Otro caso típico de uso de un proxy es para navegar anónimamente. Al ser el proxy
el que accede al servidor web, el proxy puede o no decir quién es el usuario que lo
está utilizando. El servidor web puede entonces tener constancia de que lo están
accediendo, pero puede que piense que el usuario que lo accede es el propio proxy,
en lugar del usuario real que hay detrás del proxy. Hay proxies anónimos y los hay
que sí informan del usuario real que está conectado a través del él.

Utilizar un proxy también tiene sus desventajas, como posibilidad de recibir

contenidos que no están actualizados, tener que gestionar muchas conexiones y
resultar un cuello de botella, o el abuso por personas que deseen navegar
anónimamente. También el proxy puede ser un limitador, por no dejar acceder a
través suyo a ciertos protocolos o puertos.

2.2.3. PASARELAS

Una pasarela de aplicación (gateway) es un sistema de

hardware/software para conectar dos redes entre sí y para que
funcionen como una interfaz entre diferentes protocolos de red.

Cuando un usuario remoto contacta la pasarela, ésta examina su

solicitud. Si dicha solicitud coincide con las reglas que el
administrador de red ha configurado, la pasarela crea una conexión entre las dos
redes. Por lo tanto, la información no se transmite directamente, sino que se traduce
para garantizar una continuidad entre los dos protocolos.

El sistema ofrece (además de una interfaz entre dos tipos de redes diferentes),
seguridad adicional, dado que toda la información se inspecciona minuciosamente
(lo cual puede generar demora) y en ocasiones se guarda en un registro de eventos.

Estos dispositivos están pensados para facilitar el acceso entre sistemas o entornos
soportando diferentes protocolos. Operan en los niveles más altos del modelo de
referencia OSI (Nivel de Transporte, Sesión, Presentación y Aplicación) y realizan
conversión de protocolos para la interconexión de redes con protocolos de alto nivel
diferentes.

Los gateways incluyen los 7 niveles del modelo de referencia OSI, y aunque son
más caros que un bridge o un router, se pueden utilizar como dispositivos
universales en una red corporativa compuesta por un gran número de redes de
diferentes tipos.

Los gateways tienen mayores capacidades que los routers y los bridges porque no
sólo conectan redes de diferentes tipos, sino que también aseguran que los datos de
una red que transportan son compatibles con los de la otra red. Conectan redes de
diferentes arquitecturas procesando sus protocolos y permitiendo que los

13
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

dispositivos de un tipo de red puedan comunicarse con otros dispositivos de otro tipo
de red.

A continuación se describen algunos tipos de gateways:

• Gateway asíncrono Sistema que permite a los usuarios de ordenadores

personales acceder a grandes ordenadores (mainframes) asíncronos a través
de un servidor de comunicaciones, utilizando líneas telefónicas conmutadas o
punto a punto. Generalmente están diseñados para una infraestructura de
transporte muy concreta, por lo que son dependientes de la red.

• Gateway SNA Permite la conexión a grandes ordenadores con arquitectura

de comunicaciones SNA (System Network Architecture, Arquitectura de
Sistemas de Red), actuando como terminales y pudiendo transferir ficheros o
listados de impresión.

• Gateway TCP/IP Estos gateways proporcionan servicios de comunicaciones

con el exterior vía RAL o WAN y también funcionan como interfaz de cliente
proporcionando los servicios de aplicación estándares de TCP/IP.

• Gateway PAD X.25 Son similares a los asíncronos; la diferencia está en que
se accede a los servicios a través de redes de conmutación de paquetes
X.25.

• Gateway FAX Los servidores de Fax proporcionan la posibilidad de enviar y

recibir documentos de fax.

Ventajas:

• Simplifican la gestión de red.

• Permiten la conversión de protocolos.

Desventajas:

• Su gran capacidad se traduce en un alto precio de los equipos.

• La función de conversión de protocolos impone una sustancial sobrecarga en
el gateway, la cual se traduce en un relativo bajo rendimiento. Debido a esto,
un gateway puede ser un cuello de botella potencial si la red no está
optimizada para mitigar esta posibilidad.

2.3. SISTEMA DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES

Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que ejerce el

control de acceso en una red informática para proteger a los sistemas
computacionales de ataques y abusos. La tecnología de Prevención de Intrusos
14
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

es considerada por algunos como una extensión de los Sistemas de Detección

de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más
cercano a las tecnologías cortafuegos.

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon
para resolver ambigüedades en el monitoreo pasivo de redes de computadoras,
al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una
mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar
decisiones de control de acceso basados en los contenidos del tráfico, en lugar
de direcciones IP o puertos. Tiempo después, algunos IPS fueron
comercializados por la empresa One Secure, la cual fue finalmente adquirida por
NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en
2004. Dado que los IPS fueron extensiones literales de los sistemas IDS,
continúan en relación.

También es importante destacar que los IPS pueden actuar al nivel de equipo,
para combatir actividades potencialmente maliciosas.

El término IDS (Sistema de detección de intrusiones) hace referencia a un

mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades
anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.

Existen dos claras familias importantes de IDS:

• El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la

seguridad dentro de la red.
• El grupo H-IDS (Sistema de detección de intrusiones en el host), que
garantiza la seguridad en el host.

Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede

verificar paquetes de información que viajan por una o más líneas de la red para
descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone
uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo.
Éste es una especie de modo "invisible" en el que no tienen dirección IP. Tampoco
tienen una serie de protocolos asignados. Es común encontrar diversos IDS en
diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para
estudiar los posibles ataques, así como también se colocan sondas internas para
analizar solicitudes que hayan pasado a través del firewall o que se han realizado
desde dentro.

15
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una

amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.

El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.

Tradicionalmente, el H-IDS analiza la información particular almacenada en registros
(como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes
de la red que se introducen/salen del host para poder verificar las señales de
intrusión (como ataques por denegación de servicio, puertas traseras, troyanos,
intentos de acceso no autorizado, ejecución de códigos malignos o ataques de
desbordamiento de búfer).

Técnicas de detección

El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por
datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través
de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP
que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las
siguientes técnicas para detectar intrusiones:

1. Verificación de la lista de protocolos: Algunas formas de intrusión, como

"Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los
protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple
verificación del protocolo puede revelar paquetes no válidos e indicar esta
táctica comúnmente utilizada.
2. Verificación de los protocolos de la capa de aplicación: Algunas formas
de intrusión emplean comportamientos de protocolos no válidos, como
"WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la
banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber
implementado una amplia variedad de protocolos de la capa de aplicación,
como NetBIOS, TCP/IP, etc.

Esta técnica es rápida (el N-IDS no necesita examinar la base de datos de

firmas en su totalidad para secuencias de bytes particulares) y es también
más eficiente, ya que elimina algunas falsas alarmas. Por ejemplo, al analizar

16
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

protocolos, N-IDS puede diferenciar un "Back Orifice PING" (bajo peligro) de

un "Back Orifice COMPROMISE" (alto peligro).

3. Reconocimiento de ataques de "comparación de patrones": Esta técnica

de reconocimiento de intrusión es el método más antiguo de análisis N-IDS y
todavía es de uso frecuente.

Consiste en la identificación de una intrusión al examinar un paquete y

reconocer, dentro de una serie de bytes, la secuencia que corresponde a una
firma específica. Por ejemplo, al buscar la cadena de caracteres "cgi-bin/phf",
se muestra un intento de sacar provecho de un defecto del script CGI "phf".
Este método también se utiliza como complemento de los filtros en
direcciones IP, en destinatarios utilizados por conexiones y puertos de origen
y/o destino. Este método de reconocimiento también se puede refinar si se
combina con una sucesión o combinación de indicadores TCP.

Esta táctica está difundida por los grupos N-IDS "Network Grep", que se
basan en la captura de paquetes originales dentro de una conexión
supervisada y en su posterior comparación al utilizar un analizador de
"expresiones regulares". Éste intentará hacer coincidir las secuencias en la
base de firmas byte por byte con el contenido del paquete capturado.

2.4. REDES PRIVADAS VIRTUALES

Es una red privada que se extiende, mediante un proceso de encapsulación y en su

caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante
el uso de unas infraestructuras públicas de transporte.
Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la
red pública. (ver figura siguiente)

17
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

En la figura anterior (figura 2) se muestra como viajan los datos a traves de una VPN
ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace
la función de una pared para engañar a los intrusos a la red, despues los datos
llegan a nube de internet donde se genera un túnel dedicado unicamente para
nuestros datos para que estos con una velocidad garantizada, con un ancho de
banda tambien garantizado y lleguen a su vez al firewall remoto y terminen en el
servidor remoto.
Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios
móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec,
Frame Relay, ATM como lo muestra la figura siguiente.

Tecnología de túnel

Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para
transferir datos a esto se le conoce como encapsulación además los paquetes van
encriptados de forma que los datos son ilegibles para los extraños.

El servidor busca mediante un ruteador la dirección IP del cliente VPN y en la red de

transito se envian los datos sin problemas.

18
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

5. Requerimientos básicos de una VPN

Por lo general cuando se desea implantar una VPN hay que asegurarse que esta
proporcione:
Identificación de usuario Administración de direcciones Codificación de datos
Administración de claves Soporte a protocolos múltiples Identificación de usuario
La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso
a la VPN a aquellos usuarios que no estén autorizados. Así mismo, debe
proporcionar registros estadísticos que muestren quien acceso, que información y
cuando.

Administración de direcciones La VPN debe establecer una dirección del cliente en

la red privada y debe cerciorarse que las direcciones privadas se conserven así.

Codificación de datos Los datos que se van a transmitir a traves de la red pública
deben ser previamente encriptados para que no puedan ser leídos por clientes no
autorizados de la red.

Administración de claves La VPN debe generar y renovar las claves de codificación

para el cliente y el servidor.

Soporte a protocolos múltiples La VPN debe ser capaz de manejar los protocolos
comunes que se utilizan en la red pública. Estos incluyen el protocolo de internet(IP),
el intercambio de paquete de internet(IPX) entre otros.

7. Ventajas de una VPN

Dentro de las ventajas más significativas podremos mencionar la integridad,

confidencialidad y seguridad de los datos. Reducción de costos.
Sencilla de usar. Sencilla instalación del cliente en cualquier PC Windows.
Control de Acceso basado en políticas de la organización Herramientas de
diagnostico remoto. Los algoritmos de compresión optimizan el tráfico del cliente.
Evita el alto costo de las actualizaciones y mantenimiento a las PC´s remotas.

3. RED INTERNA

3.1. CORTAFUEGOS PERSONALES

"Se usa un cortafuegos personal para sellar canales de comunicación no usados y

reducir el acceso concedido a los programas sólo para lo estrictamente necesario,
como el envío y la recepción de mensajes y la navegación por Internet", explica el
profesor Norbert Pohlmann, director del Instituto alemán de Seguridad en Internet,
con sede en Gelsenkirchen. "Una computadora no asegurada es como un puñado

19
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

de monedas sobre una mesa en medio de una pradera. Un firewall personal es

como una casa construida en torno a esa mesa", continúa.

Los Cortafuegos personales son programas que se instalan de forma residente en

nuestra computadora y que permiten filtrar y controlar la conexión a la red. En
general necesitan un conocimiento adecuado de nuestra computadora, pues en la
actualidad son muchos los programas que realizan conexiones a la red y que son
necesarios. Es por ello que no son recomendables para usuarios inexpertos ya que
podrían bloquear programas necesarios (incluso hasta la propia posibilidad de
navegación por Internet), aunque siempre se tenga a mano la posibilidad de
desactivarlos.

La instalación de un Cortafuegos requiere además un proceso de "entrenamiento

para usarlo" ya que al principio deberemos ir elaborando las reglas de acceso en
función del empleo que le damos a la red. Así lo normal es que nuestro FIREWALL
Personal nos pregunte que si queremos dar permiso a distintos programas de red a
medida que los usamos. Esto al principio puede resultar un poco complicado o
incluso hasta molesto.

Un FIREWALL Personal no impide por sí solo que entren troyanos, virus y gusanos
a nuestro sistema. Lo ideal es que también tengamos instalado un buen antivirus
residente en memoria, actualizado y bien configurado. Adicionalmente es deseable
tener al día todas las actualizaciones de Seguridad de Microsoft que se requieran.
Ahora bien, no necesariamente nos servirá para evitar que ingresen a nuestro
sistema contenidos no deseados.

En general, junto con un antivirus lo que debe esperar de un buen FIREWALL

Personal son las siguientes características:

1.- Que proteja su sistema de acceso no autorizado a través de Internet.

2.- Capacidad de alertar de intentos de intrusión y mantener un registro para seguir

sus pistas. Cierto grado de protección frente a virus a través del correo electrónico.

3.- Bloqueo de contenido peligroso en Internet: applets de Java, controles ActiveX,

cookies, etc. Filtrado al nivel de aplicación para conexiones hacia el exterior (usadas
por caballos de Troya). Cierta facilidad de instalación, configuración y uso.

ANTIVIRUS
20
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e

Internet, los antivirus han evolucionado hacia programas más avanzados que no
sólo buscan detectar un Virus informáticos, sino bloquearlo, desinfectar y prevenir
una infección de los mismos, así como actualmente ya son capaces de reconocer
otros tipos de malware, como spyware, rootkits, etc.

El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento

normal se basa en contar con una lista de virus conocidos y su formas de
reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos
almacenados o transmitidos desde y hacia un ordenador.

Adicionalmente, muchos de los antivirus actuales han incorporado funciones de

detección proactiva, que no se basan en una lista de malware conocido, sino que
analizan el comportamiento de los archivos o comunicaciones para detectar cuáles
son potencialmente dañinas para el ordenador, con técnicas como Heurística, HIPS,
etc.

Usualmente, un antivirus tiene un (o varios) componente residente en memoria que

se encarga de analizar y verificar todos los archivos abiertos, creados, modificados,
ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador está en
uso.

Asimismo, cuentan con un componente de análisis bajo demando (los conocidos

scanners, exploradores, etc), y módulos de protección de correo electrónico,
Internet, etc.

El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de

amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que
la misma pueda infectar un equipo, o poder eliminarla tras la infección.

Actualmente hay una gran mayoria de antivirus pero no todos se asemejan al

pretendido por todos, un antivirus eficaz en todos los sentidos.

Seguridad métodos de protección

Tener en cuenta este reto, es el primer paso para obtener seguridad. Existen
múltiples medios de intentar combatir el problema. Sin embargo debemos ser
realistas. Conforme nuevos programas y sistemas operativos se introduzcan en el
mercado más difícil va a ser tener controlados a todos y más sencillo va a ser que a
alguien se le ocurran nuevas formas de infectar el sistema.

Ante este tipo de problemas están los softwares llamados antivirus. Estos antivirus
tratan de descubrir las trazas que ha dejado un software malicioso, para eliminarlo o
detectarlo, y en algunos casos contener o parar la contaminación.

21
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

Los métodos para contener o reducir los riesgos asociados a los virus pueden ser
los denominados activos o pasivos.

Antivirus (activo)

Estos programas como se ha mencionado tratan de encontrar la traza de los

programas maliciosos mientras el sistema este funcionando.

Tratan de tener controlado el sistema mientras funciona parando las vías conocidas
de infección y notificando al usuario de posibles incidencias de seguridad.

Como programa que esté continuamente funcionando, el antivirus tiene un efecto

adverso sobre el sistema en funcionamiento. Una parte importante de los recursos
se destinan al funcionamiento del mismo. Además dado que están continuamente
comprobando la memoria de la maquina, dar más memoria al sistema no mejora las
prestaciones del mismo.

Otro efecto adverso son los falsos positivos, es decir al notificar al usuario de
posibles incidencias en la seguridad, éste que normalmente no es un experto de
seguridad se acostumbra a dar al botón de autorizar a todas las acciones que le
notifica el sistema. De esta forma el antivirus funcionando da una sensación de falsa
seguridad.

Tipos de vacunas

• CA:Sólo detección: Son vacunas que solo detectan archivos infectados sin
embargo no pueden eliminarlos o desinfectarlos.

• CA:Detección y desinfección: son vacunas que detectan archivos

infectados y que pueden desinfectarlos.

• CA:Detección y aborto de la acción: son vacunas que detectan archivos

infectados y detienen las acciones que causa el virus

• CB:Comparación por firmas: son vacunas que comparan las firmas de

archivos sospechosos para saber si están infectados.

• CB:Comparación de signature de archivo: son vacunas que comparan las

signaturas de los atributos guardados en tu equipo.

• CB:Por métodos heurísticos: son vacunas que usan métodos heurísticos

para comparar archivos.

• CC:Invocado por el usuario: son vacunas que se activan instantáneamente

con el usuario.
22
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

• CC:Invocado por la actividad del sistema: son vacunas que se activan

instantáneamente por la actividad del sistema windows xp/vista

3.2. SISTEMA OPERATIVO Y GESTIÓN DE CONFIGURACIÓN

Todo el mundo desea que los Sistemas Operativos sean "seguros", pero en todos
los sistemas operativos hay agujeros de seguridad, otra cosa es que no se
conozcan. Aquí no voy a exponer una lista de algunos de estos agujeros, ya que
para eso ya están las páginas de hacker o de seguimiento de fallos.

Cómo se consiguen evitar los agujeros de seguridad:

Evitando el contacto directo con la máquina: Ya que cuando se puede tener

acceso a ésta, se puede modificar su configuración, tanto por programas (virus,
programas servidores, craqueadores, desensambladores, buscadores de claves...),
como por mecanismos físicos (destrozando la bios, cortocircuitando, creando
sectores defectuosos...).

Si se accede por telnet o por otro servicio de red: Tener un buen sistema de
claves, y que al fichero de claves no se pueda tener acceso de ninguna forma.
Excepto claro el administrador o superusuario. Además si los usuarios son invitados
o anónimos, restringirle al máximo sus derechos, y como caso extremo hasta la
escritura. Aparte de que no puedan ejecutar los programas que ellos quieran en
nuestro sistema. E incluso evitando que usen los compiladores que pueda haber en
el sistema (virus, formateos, scripts...). Y es más, no poder entrar nadie ni cambiarse
a superususario o administrador, para no tener acceso a toda la máquina jamás.
Cerrar los servicios de red que no se necesiten o evitar el acceso a alguno de ellos a
horas que no está el administrador del sistema.
No olvidarse de un buen firewall.

Sistema de archivos: Hay que tener un buen sistema de archivos, que controle a
través del sistema operativo, el acceso a un fichero. Nada de claves independientes
de fichero, por que lo único que se consigue es olvidar las claves o poner la misma
en todas, con lo cual es un gran fallo.

Criptografía: Es un método más para proteger partes de ficheros, o el fichero

entero. En principio no lo veo necesario a menos que se traten de datos muy
importantes. Ya que se puede perder la clave y no se podrá recuperar, como se
puede recuperar las de los usuarios del sistema operativo.

Copias del sistema periodicas: Es necesario que se efectuen copias de seguridad

periodicas, para que ante un posible ataque, y caida del sistema se pueda restaurar

23
SEGURIDAD PERIMETRAL REDES DE COMPUTADORAS
PROF. ARMAS FISI - UNMSM

el sistema en un corto espacio de tiempo, no sin antes mirar los "logs", para intentar
corregir el fallo, y atrapar a el/los culpable/s.

3.3. AUDITORIA

Una auditoría de seguridad consiste en apoyarse en un tercero de confianza

(generalmente una compañía que se especializada en la seguridad
informática) para validar las medidas de protección que se llevan a cabo,
sobre la base de la política de seguridad.

El objetivo de la auditoría es verificar que cada regla de la política de seguridad se

aplique correctamente y que todas las medidas tomadas conformen un todo
coherente.

Una auditoría de seguridad garantiza que el conjunto de disposiciones tomadas por

la empresa se consideren seguras.

Desafortunadamente para muchas empresas la cuestión de la auditoría y seguridad

informática es un asunto no prioritario. Por tratarse de "algo que no se ve" las
empresas no destinan presupuesto para mantener niveles mínimos de seguridad en
sus instalaciones informáticas. Para qué gastar dinero en algo que "no urge" . . .

Algunas empresas hacen "algo" sólo cuándo tienen el problema encima y hay que
entregar ¡ya! resultados. Se dan cuenta que "algo" no funcionó o funcionó mal, que
no lo previnieron. Actúan cuando supieron que alguien violó sus instalaciones y con
ello la confidencialidad de su información por no hablar de la seguridad e integridad
de la misma. No supieron prevenir el hecho que en ocasiones puede ser tan
lamentable al resultar dañada su imagen y su información.

Evalúe sus sistemas periódicamente, revise qué tan eficiente y efectivo son los
controles informáticos que tiene implantados, haga auditoría de sistemas y de la
seguridad informática.

No espere a tener sorpresas que le ocasionen más gasto del que "cree" que implica
la prevención que significa el invertir en una auditoría de sistemas y de la seguridad
de su información.

24