Edicion 26 PDF

DIRECTOR
- Dr. Carlos Osvaldo Rodriguez
PROPIETARIOS
- Editorial Poulbert S.R.L. Nota del Editor
COORDINADOR EDITORIAL
- Carlos Rodríguez Bontempi
M
RESPONSABLE DE CONTENIDOS Mantener nuestra empresa protegida de las muchas amenazas existentes
- Dr. Carlos Osvaldo Rodríguez
parecería ser una batalla en la que tenemos pocas chances de ganar. Pero,
DIRECTOR COMERCIAL es posible ganarla. Para ello debemos estar muy preparados. Debemos
- Ulises Román Mauro anticiparnos con estrategias, herramientas y técnicas correctas.
umauro@nexweb.com.ar
SENIOR SECURITY EDITOR Hay muchos flancos en la batalla para asegurar nuestras redes. Por ejem-
- Carlos Vaughn O'Connor plo, tan sólo la seguridad relacionada con el correo electrónico nos trae un
EDITOR TÉCNICO abanico de temas en los que debemos ser expertos. Debemos conocer
- Alejandro Cynowicz como combatir el spam, detener los virus hasta detener los ataques DDoS
redaccion@nexweb.com.ar (Distributed Denial of Service). Y las soluciones por supuesto, no son las
DISEÑO Y COMUNICACIÓN VISUAL mismas si somos un usuario final, el administrador del servidor de correo
- DCV Esteban Báez en una PYME o a cargo de la infraestructura de red de un ISP (Internet
- Carlos Rodríguez Bontempi Service Provider).
DISTRIBUCIÓN
distribucion@nexweb.com.ar Nuevamente dedicamos un ejemplar de NEX IT Specialist a seguridad
informática. La razón es muy simple y está reflejada en los dos primeros
SUSCRIPCIONES
- Maximiliano Sala párrafos de esta Editorial. La seguridad informática sigue siendo de
- Andrés Vázquez mucho interés y para quien trabaja en IT, networking o como programa-
- Martín Guaglianone dor (desarrollador) un rubro en el que debe capacitarse en forma constan-
suscripciones@nexweb.com.ar
te y estar al día. Más aún, siendo ésta una disciplina donde la salida labo-
PREIMPRESIÓN E IMPRESIÓN ral es amplia, con buenos sueldos y las oportunidades abundan.
IPESA Magallanes 1315. Cap. Fed.
Tel 4303-2305/10
En los diferentes ejemplares de NEX hemos barrido desde temáticas bási-
DISTRIBUCIÓN
Distribución en Capital Federal y Gran cas, dando los fundamentos hasta la descripción de productos con artícu-
Buenos Aires: Vaccaro, Sánchez y Cia. S. C. los realizados por los expertos de los vendors. Cada vez que debemos pro-
Moreno 794, Piso 9. C1091AAP- Capital
Federal Argentina. gramar NEX nos resulta a veces difícil decidir que tipo de artículos incluir,
Distribuidora en Interior: DGP Distribuidora y por eso tratamos de hacer un balance entre los productos y las tecnolo-
General de Publicaciones S.A. Alvarado
2118/56 1290 Capital Federal - Argentina gías bases sobre las que éstos están construidos.
NEX IT Revista de Networking y Programación
Registro de la propiedad Intelectual
en trámite leg número Creemos que ambos tipos de artículos deben estar presentes ya que es
3038 ISSN 1668-5423 fundamental para el IT PRO/networker/desarrollador/CIO (es decir nues-
Dirección: Av. Corrientes 531 P 1
C1043AAF - Capital Federal tros lectores) conocer las tecnologías como así también la oferta de los
Tel: +54 (11) 5031-2287 vendors y las tendencias del mercado si desea estar en la vanguardia en
Queda prohibida la reproducción no autori- su expertise (preparación).
zada total o parcial de los textos publicados,
mapas, ilustraciones y gráficos incluidos en
esta edición. La Dirección de esta publicación Quien es lector de NEX y posee toda nuestra colección, encontrará que casi
no se hace responsable de las opiniones en los todos los aspectos de la seguridad informática han sido cubiertos. Por ejem-
artículos firmados, los mismos son respon-
sabilidad de sus propios autores. Las notas plo, quienes estudien la certificación más prestigiosa de seguridad informá-
publicadas en este medio no reemplazan la tica, CISSP del ISC2 (www.isc2.org), hallarán prácticamente todos los domi-
debida instrucción por parte de personas
idóneas. La editorial no asume responsabilidad nios del CBK (Common Base Knowledge) descriptos y discutidos, descrip-
alguna por cualquier consecuencia, derivada ción de la certificación, de su examen, los mejores libros disponibles. Aún,
de la fabricación, funcionamiento y/o utilización
de los servicios y productos que se describen, preguntas ejemplo para conocer qué es CISSP más profundamente.
analizan o publican.
Si desea escribir para nosotros, Tal como nos definimos cuando comenzamos a planificar los objetivos y
enviar un e-mail a: perfil de NEX, NEX es un libro en cuotas. A ésto le agregaría que a diferen-
articulos@nexweb.com.ar
cia de un libro, NEX nos permite una actualización continua.
Se que disfrutarán de este ejemplar y como siempre, no dejen de contac-

tarnos a redaccion@nexweb.com.ar
NEX IT SPECIALIST |3|

SUMARIO
34 12
Google como Arquitectura
herramienta
de ataque de red
“Las fuentes de información públicas,
como los buscadores, permiten a quie- orientada
a servicios
nes lo deseen, acceder al menos al
80% de la información de nuestras
redes, sin la necesidad de exponer su
identidad”
Seguridad en 03 Nota del Editor 44 Cómo estamos con eso
Linux Nota 4. 09 Eventos

de la Seguridad
46 Desafíos y Soluciones
El ojo del 11 Especial Cisco Systems
12 Arquitectura de Red
50 Protección Anti-spyware
Dueño
Orientada a Servicios 52 No es bueno que el hombre
esté solo
18 Liberando las Redes
de los Ataques DDoS 56 TippingPoint
24 Gusanos y Virus 58 Seguridad en Linux Nota 4
54 26 Ataque a los Datos

en Argentina
30 Soluciones de
64 Imposible no conocer
Foundstone
66 Information Systems
IMAGEN DE TAPA: Esteban Báez (c) - 2006
Seguridad en Redes Security Assessment
34 Google como Herramienta 72 Modelado y Diseño

de Ataque
78 Service Oriented
42 Detección de Malware Architecture
82 Breves / Humor
|8| NEX IT SPECIALIST www.nexweb.com.ar

EVENTOS
Gira Internacional de INETA AVAYA CONNECT 2006

World Cup Edition
Latam Cono Sur 2006 Más de 1000 personas participaron
en el principal evento de comunica-
ciones Inteligentes del año
INETA Latam, en conjunto con los grupos de usuarios
El martes 23 de Mayo se llevó a cabo el AVAYA CON-
de tecnologías .Net de Latinoamérica y MSDN, organi- NECT 2006 World Cup Edition, el mayor evento que
zó un nuevo encuentro Latinoamericano. organiza año a año Avaya Inc., uno de los principales
proveedores mundiales de aplicaciones, sistemas y
servicios de comunicaciones para empresas.
INETA - International .NET Association, es una organi- Segura con SQL Server 2005” Durante la jornada se hicieron presentes más de 1000
zación independiente y sin fines de lucro, dirigida por La última presentación técnica estuvo a cargo de Seara ejecutivos de la industria IT, incluyendo clientes, pros-
una junta de líderes de grupos de usuarios elegidos Daniel, MVP Visual Basic.NET, quien habló de pectos calificados y BusinessPartners de la región
por sus pares y respaldados por Microsoft Corporation “Seguridad para desarrolladores en SQL Server 2005”. Cono Sur, que pudieron conocer en detalle la tecnolo-
y otros patrocinantes. Su misión es proporcionar asis- El evento fue posible gracias a la colaboración de gía que Avaya implementará en la Copa Mundial
tencia, recursos y soporte a los grupos de usuarios de MSDN, Programa Académico Microsoft y los grupos de FIFA(tm) 2006 además de las nuevas soluciones de
todo el mundo interesados en la plataforma .NET de usuarios Desarrollador@s y msJovenes miembros de Avaya para empresas medianas.
Microsoft. Alberga a todos los miembros de la comuni- INETA en Argentina. También ayudaron el Grupo de A su vez, el marco del lanzamiento mundial, especia-
dad de usuarios .NET, desde desarrolladores y arquitec- Usuarios Microsoft (MUG), y numerosos auspiciantes, listas reconocidos a nivel internacional y regional pre-
tos hasta gerentes de proyecto y profesionales de IT. entre ellos Nex IT, que regaló revistas a los asistentes y sentaron nuevas versiones de soluciones de comuni-
Desde hace tres años INETA Latam, su filial CentralTECH que entregó obsequios para sortear entre caciones de Telefonía IP, Contact Centers y Movilidad
Latinoamericana, organiza una gira anual por varios el publico. Eventos como este fortalecen los lazos entre para empresas medianas.
países de la región. El pasado 2 de Junio, en las instala- los miembros de la comunidad y construye un espacio Por su parte, clientes de Avaya entre los que se encon-
ciones de la Universidad Católica Argentina, tuvo lugar de comunicación e intercambio de información. traron Swiss Medical, La Anónima, Arvato, DHL, entre
el encuentro correspondiente a Buenos Aires. Para descargar las presentaciones de este evento visite otros, junto con BusinessPartners, compartieron sus
En esta oportunidad expertos regionales e internacio- los siguientes vínculos: experiencias, desde el origen del desafío, hasta los
nales presentaron las últimas novedades en “seguri- http://www.mugcordoba.net.ar/Default.aspx?Item=Eve beneficios que han obtenido mediante la implemen-
dad en el desarrollo de Software”. ntos.htm tación de soluciones Avaya.
La apertura del evento estuvo a cargo de Nilda Díaz, http://www.desarrolladoras.org.ar/novedades.htm Como todos los años, AVAYA CONNECT 2006 World
Gerente de Proyectos INETA-LATAM y miembro res- Cup Edition, fue una experiencia 100% interactiva,
ponsable del Comité de Contenido Web de INETA incluyendo demostraciones en vivo de las innovacio-
LATAM. Nilda habló sobre la misión de Ineta y de los nes en tecnología de Avaya.
grupos de usuarios. En las presentaciones técnicas
disertaron gurúes de la talla de Pierre Jacomet, Wiernik
Adolfo, Seara Daniel y Serrano Eugenio. Pierre
Jacomet, Coordinador de Programa Windows - Grupo
de virtualización de sistemas de Microsoft Corp, habló
de “Seguridad basada en roles para aplicaciones
corriendo sobre Windows. Lo nuevo en Windows Vista”.
Mas tarde, Serrano Eugenio, MVP ASP.NET, nos contó
como “Desarrollar Aplicaciones ASP.Net 2.0 Seguras” A
continuación, Wiernik Adolfo, Microsoft Regional
Director de Costa Rica, profundizó sobre “Interacción
CALENDARIO DE EVENTOS IT EN ARGENTINA PARA EL 2006

Fecha Informes Check Point Security Tour 2006
JUNIO
22 1er Jornada Nacional de Calidad en Software - Sheraton Libertador. www.worktec.com.ar - info@worktec.com.ar El 16 de Mayo se llevó a cabo el Check Point
AGOSTO
Security Tour 2006. Los temas que se aborda-
ron durante el transcurso del mismo, se refi-
- Seguridad en Redes Wireless - Buenos Aires Sheraton Hotel. www.worktec.com.ar - info@worktec.com.ar
rieron principalmente a la seguridad en: la
SEPTIEMBRE conectividad de aplicaciones en dispositivos
19 y 20 Consecri-Consetic 2006 - Sheraton Libertador. www.worktec.com.ar - info@worktec.com.ar móviles, la expansión de redes remotas, la
- Soluciones de Seguridad Open Source - Buenos Aires Sheraton Hotel http://www.cybsec.com/capacitacion accesibilidad segura a redes, el aprovecha-
miento de VoIP, entre otros.
OCTUBRE
Tuvo una asistencia de más de 300 expertos,
3 al 6 EXPO COMM - La Rural, Predio Ferial de Buenos Aires. www.expocomm.com.ar
y contó con la participación de Websense,
6y7 2do Congreso Nacional de Estudiantes de Sistemas y Tecnología www.worktec.com.ar - info@worktec.com.ar Nokia, Aladdin, radware y Crossbeam
de la Información. - Lugar a confirmar.
Business Continuity Planning - Buenos Aires Sheraton Hotel
Systems.
- http://www.cybsec.com/capacitacion
NOVIEMBRE
2 Jornadas Trabajo IT 2 - Sheraton Libertador. www.worktec.com.ar - info@worktec.com.ar
2 al 5 AES - Argentina Electronic Show - La Rural, Predio Ferial de Buenos Aires. www.aeshow.com.ar/es_services_contact_us
Si desea ver su evento IT publicado en esta sección, por favor háganos llegar la información respectiva a: eventos@nexweb.com.ar
www.nexweb.com.ar NEX IT SPECIALIST |9|

FOTO: http://resources.cisco.com
SEGURIDAD
Arquitectura
Por Janet Kreiling
de red
L
La implementación de la seguridad como otros
procesos de negocio de las empresas será más
sencillo y con menores costos si pensamos los
procesos como sentados sobre una arquitectura
orientada
muy amplia: una arquitectura de arquitecturas.
Probablemente al menos uno de sus objetivos de
negocios más inmediatos está en esta lista:
• Activar toda la cadena de abastecimiento antes
de que el stock sea inexistente.
• Mejorar la seguridad o movilidad.
• Permitirles a ubicaciones en cualquier parte del
a servicios
mundo, trabajar fluidamente con las sedes princi-
pales y entre sí.
• Hacer que sus sucursales sean eficientes al ofre-
cer soporte a clientes o empleados remotos.
• Ofrecer entrenamiento eficientemente.
• Asegurar la rápida recuperación de los datos y
operaciones luego de una interrupción
• Consolidar aplicaciones, operaciones de datos y
almacenamiento lejos de silos verticales.
• Simplificar las operaciones IT; ahorrar capital y
gastos operativos.
Lograr cada una de las metas, y cientos más será
más fácil y menos costoso si Ud. aprovecha a
máximo su red y también vuelve a pensar cuál es
su visión sobre ésta.
Desde el data center corporativo hasta una oficina
al otro lado del mundo, su red puede mejorar la
manera en que le sirve a sus clientes; la manera en
que crea e implementa nuevos servicios o produc-
tos; la forma en que potencia a los empleados; y el
valor que obtiene de cualquier tipo de datos, sus
procesos de producción, administración de inven-
tarios y cadena de abastecimiento, sistemas finan-
cieros, y toda otra actividad en la que su empresa
esté involucrada.
¿Irrealizable? En realidad, no. Pero primero, debe
adoptar una nueva perspectiva en su red. Piense
en todos sus procesos corriendo sobre una sola y
amplia arquitectura (una arquitectura de arqui-
tecturas, por así decirlo), por lo que hacen uso de
los mismos recursos de red.
La Universidad Nacional de Singapur (NUS)
comenzó a cambiar su perspectiva hace cinco
años cuando decidió crear una red integrada y
crear un portal online para estudiantes, profeso-
res, y su personal para organizar sus actividades
diarias. NUS quería crear un ambiente donde las
oportunidades de aprendizaje rodearan a los
alumnos las 24 horas del día, todos los días.
IMAGEN: Esteban Báez - 2006
También quiso flexibilidad para el futuro. Para que

su portal de enseñanza en línea soportara una
vasta cantidad de capacidades que pudieran ser
expandidas a medida que se presentaran nuevas
necesidades, NUS reemplazó la totalidad de su red

Cisco Service-Oriented Network Architecture (SONA, Arquitectura
de red Cisco orientada a servicios) delinea cómo las empresas
pueden evolucionar sus redes para incrementar su eficiencia,
recudir sus costos, y fortalecer la agilidad de los negocios.
Conozca cómo la Universidad de Singapur ya lo implementó.
por una infraestructura Cisco integrada. (Ver la un usuario en las oficinas centrales de la compa- puede tener 5000 comercios y emplear a 5000
pastilla adjunta) ñía en Europa o Norteamérica personas. La gente o aplicaciones en la tienda, en
Por debajo de la capa de aplicaciones y servicios, las oficinas principales, y toda la cadena de abas-
SONA yace el concepto de virtualización, el cual va más tecimiento, donde sea que estén ubicados, les
Cisco ha desarrollado un framework llamado allá del mero acceso hasta la disponibilidad. Para puede ser posible ver la información cuando una
Service-Oriented Network Architecture (SONA) en cualquier usuario, las aplicaciones y servicios de red tienda en Los Gatos, California, vende algún pro-
el que toma forma el pensamiento adelantado están disponibles como si hubieran sido generados ducto”, explica. “Esa comunicación, especialmente
que la Universidad Nacional de Singapur tiene en los equipos de la sucursal más cercana, ya sea con todos los eslabones de la cadena de abasteci-
sobre su red. que el usuario se encuentre en las oficinas principa- miento, se está transformando en algo crucial a
SONA marca cómo las empresas pueden evolucio- les, o al otro lado del mundo. Dado que del 50 al 80 medida que las compañías tienen que mantener
nar su infraestructura IT hacia una red inteligente por ciento de los empleados no suelen estar en las un estricto seguimiento del inventario y un efecti-
de información que acelera las aplicaciones y maxi- oficinas principales, la virtualización debe intuitiva- vo control de los gastos. La tarea por realizar, agre-
miza los procesos y recursos de los negocios. El fra- mente mejorar la productividad, remarca Paul ga, “ya no se trata de administrar el producto, sino
mework muestra cómo sistemas integrados a lo McNab, vicepresidente de marketing en el los datos acerca del producto”.
largo de una red totalmente convergida, permite Integrated Networks Systems Engineering de Cisco.
flexibilidad, mientras la estandarización y virtuali- La virtualización soporta la tendencia hacia la con- Haciendo Obsoletos los Silos
zación de los recursos incrementa la eficiencia. vergencia de voz y redes de datos, de servicios, y Las aplicaciones y el almacenamiento de datos
SONA tiene tres capas (ver figura 1 en la siguiente hasta de datos en sí mismos; los cuales deben ser necesitaban estar cerca de sus usuarios, por lo que
página). La capa de infraestructura de red es donde protegidos a través de una red end-to-end integra- la latencia de la red no se convertía en un proble-
todos los recursos IT están interconectados usando da, con servicios de seguridad embebidos en ésta. ma. Simplemente no había el vasto volumen de
una red segura y convergente. Esta capa abarca Al tener sólo una instalación de un CRM, enterprise aplicaciones que hay hoy.
todos los lugares de la red: campus, sucursales, data resource planning (ERP), o de un programa de Ahora, dice Grez Mayfield, Senior Manager en el
centers, WAN/MAN, y trabajadores a distancia. administración de almacenaje, ahorra todo el tra- grupo Enterprise Solutions Marketing de Cisco,
La capa interactiva de servicios le permite a las bajo de replicar y actualizar los datos en copias en es común que una empresa tenga cientos de
aplicaciones y procesos de negocios, recibir efi- diferentes ubicaciones. Cuando los datos se actuali- aplicaciones y bases de datos en silos separados,
cientemente los recursos, entregados a través de zan a cada milisegundo, pueden ser usados por una con un montón de espacio libre en sus servido-
la infraestructura de red. Aquí residen servicios aplicación tras otra, y la red puede asegurar que res, y hasta mil aplicaciones a la espera de ser
tales como seguridad, movilidad, almacenamien- fluya de una aplicación hacia otras. instaladas y ejecutadas.
to, virtualización, y segmentación. Es más, los datos y las aplicaciones pueden estar Cisco introdujo varios productos nuevos que opti-
Lo que los define como servicios, en lugar de apli- almacenados en cualquier servidor o dispositivo de mizan la performance de las aplicaciones. Por
caciones, es que los sistemas que los proveen almacenamiento que tenga capacidad disponible. ejemplo, la latencia puede ser curada por
dotan la red con varios componentes residentes Lo que brinda la virtualización de los datos en Application Velocity System (AVS) de Cisco, el cual
en diferentes sistemas, y están disponibles a todos cualquier empresa, dice McNab, es visibilidad a minimiza tanto el número de transmisiones a lo
los usuarios, según Bridget Bisnette, Directora cualquiera dentro de ésta o aquellos que los nece- largo de la WAN para usar una aplicación como su
Global para Enterprise Solution Partners de Cisco. siten más allá de la misma. contenido. Wide Area Application Services, de
La seguridad, por ejemplo, requiere de firewalls, “Una cadena grande de distribución minorista, Cisco, el cual almacena en cache información esta-
Network Admisión Control (NAC), detección y pre-
vención de intrusiones y mucho más. Algunas fun-
Una Arquitectura De Arquitecturas marketing para Enterprise Routing y Switching
ciones tienen base en el router; otras en los
en Cisco. “Pero la mayoría de las sucursales no
appliances de la red, pero todas son usadas colec-
Un solo talle, por supuesto, rara vez les calza a tiene soporte IT residente, y sus redes son planifi-
tivamente para brindar seguridad a los usuarios,
todos. El framework SONA de Cisco debe abarcar cadas y enviadas desde las oficinas principales.
aplicaciones y sistemas en toda la empresa.
todos los lugares de la empresa. Por eso, Cisco ha Cisco ha tratado lograr la mayor integración
“Los servicios de cómputo, voz, identidad, y alma-
creado “sub-arquitecturas” del modelo SONA posible de los servicios que puedan ser necesa-
cenamiento son otros que comenzaron como
para cada uno de esos lugares. La arquitectura rios. La arquitectura de sucursales de SONA les
aplicaciones pero evolucionaron hacia servicios
de un campus, por ejemplo, está subdividida en muestra a los clientes el modo de implementar
que serían incluídos en la red, y ser administrados
áreas de acceso, distribución, y de áreas básicas. esas oficinas de modo de incluir, seguridad, con-
por ésta”, dice Bisnette.
Guías de diseño para cada arquitectura asegu- fiabilidad, convergencia de servicios, telefonía IP,
La capa de aplicaciones contiene las aplicaciones
ran que los sistemas instalados desempeñen las video, compartir archivos en áreas amplias, net-
de negocios y de colaboración que impulsa la efi-
funciones necesarias en cada parte del total de la working de contenidos, QoS, velocidad de aplica-
ciencia de los servicios interactivos.
red y también que trabajen juntos en la totalidad ciones, networking orientado a aplicaciones, o lo
Estas aplicaciones están disponibles también para
de la misma. Tomemos por ejemplo las posibles que sea que necesiten.” Agrega Beliveau-Dunn,
toda la empresa. Alguien en un call center en India
variantes para las sucursales. “Hay varios tipos “Eso es de lo que se trata una gran parte del
puede acceder a los mismos datos del cliente en
de sucursales. Un call center es una oficina sucur- SONA: mostrar mejores prácticas para diseñar
su computadora, de la misma copia de la aplica-
sal,” dice Jeanne Beliveau-Dunn, directora de cualquier parte de una red.”
ción CRM en el mismo data center, como si fuera

Colaboración
Capa de Aplicación Mensajería Mensajería Lugar de
PLM CRM ERP
Capa de
Instantanea Unificada Encuentro
Entrega
HCM Procurement SCM IPCC Teléfono IP
de Video
Plataformas de Aplicaciones y Middleware
Entrega de Aplicaciones Redes Orientadas a Aplicaciones

Capa de Servicios
Administración
Servicios de Voz
Virtualization
Servicios de Seguridad
Servicios de
Adaptativos
Interactivos
y Colaboración
Services
Servicios Móviles Servicios de Servicios de Cómputos

Infrastructura
Servicios de Servicios de Identidad
almacenamiento
Virtualización de la Estructura de Red
Administración de Infraestructura
infraestructura
Centro Trabajador
Empresa
Capa de
Campus Sucursal WAN/MAN

de red
de Datos a distancia
Servidor Almacenamiento Clientes
Arquitectura de red Cisco orientada a servicios
ble localmente, también minimiza el tráfico WAN, flujo de trabajo son tareas que les corresponden a Figura 1 - En la visión que Cisco tiene para SONA de uno
al igual que el Cisco Content Services Switch y partners Cisco, dice Bisnette. De hecho, SONA a tres años en adelante, todos los recursos están interco-
Cisco Content Services Module, el cual equilibra recae en partners de Cisco para lo siguiente: nectados en forma segura a través de una red convergen-
las cargas de peticiones a lo largo de múltiples • Entregar los productos Cisco asociados con te. En esta nueva visión de infraestructura de servicios, la
red mejora las aplicaciones de forma significativa, con su
servidores de aplicaciones de acuerdo a las políti- SONA, proveer el servicio de soporte y la adminis- habilidad de entregar servicios a usuarios finales de
cas que asegura que las peticiones vayan al servi- tración general de los sistemas IT, requerido para forma segura, optimizada, y adaptable.
dor correcto. brindar una solución completa, desde aplicacio-
Un inconveniente recurrente al automatizar los nes de negocio separadas hasta el diseño del ciclo
gente con SONA se realiza en fases:
procesos del flujo de trabajo, ha sido la imposibili- vital de la red e implementación.
Convergencia y estandarización de las redes a lo
dad de las aplicaciones para compartir datos • Consultoría y reingeniería de los negocios, mien-
largo de toda la empresa. Las mejores empresas IT
entre sí porque emplean muchos lenguajes y pro- tras que las compañías preparan sus redes para
en su clase, están diseñando redes de
tocolos distintos. SONA, y proveer servicios administrados. En el
voz/datos/video para manejar todas las comuni-
Los productos de, Application-Oriented Networ- futuro, las redes de próxima generación imple-
caciones de los negocios y estandarizando los
king (AON), de Cisco, se ocupan de quitar ese obstá- mentadas por proveedores de servicio se interco-
componentes de las redes, escritorios, y servidores
culo del camino. Un router blade AON funciona nectarán firmemente con las arquitecturas SONA
para optimizar y simplificar su infraestructura.
como un traductor universal para varias aplicacio- de sus clientes, por lo que las aplicaciones y los
Consolidación de los recursos IT como servidores,
nes empresariales, lo que le permite a los datos servicios hosteados pasarán de forma transparen-
cuyo uso es notoriamente bajo cuando se ubican en
moverse de una a otra sin interrupciones. El módu- te de una a otra.
silos desparramados alrededor del mundo. Muchos
lo AON habla en muchos lenguajes y protocolos;
son usados a sólo su 20% o 25% de su capacidad.
puede leer mensajes para ver que contienen y Cómo comenzar
Virtualización de los recursos IT, como ser cluste-
dónde debería ir la información. AON puede tam- Evolucionar hacia una red integrada y más inteli-
ring de servidores, donde una aplicación dada o el
bién aplicar políticas y prioridades a los mensajes.
almacenamiento de datos residen en unos pocos
o un solo lugar central, en vez de docenas o cien-
El Rol de los Partners Almacenamiento tos de ubicaciones. O networking virtual, el cual
Los productos AON mencionados anteriormente,
Multiplicado de Red
permite segmentar la red de forma segura para

demuestran el rol de Cisco en la capa de aplicacio- 3.8x
implementar sistemas de redes escalables, mane-
nes de SONA: facilitar su uso. Pero las aplicaciones
Servidores jados y facturados separadamente, para soportar
en sí mismas y su integración en los procesos del
3.2x múltiples negocios. En ambos casos, la virtualiza-
ción permite agrupar sistemas o asignaciones de
Figura 2 - La virtualización aumenta el porcentaje de
tareas para maximizar los recursos y reducir cos-
bienes de red utilizados, a su vez mejorando la efectividad
de lo gastado en tecnología. Este cuadro representa la tos y excesivos recursos administrativos.
experiencia del departamento IT de Cisco con la capaci- 0 Automatización, o implementar servicios basados
Con Con
dad de los servidores: el uso de servidores fue 3,2 veces SONA SONA en redes como ser seguridad e identificación a lo
más efectivo con SONA que sin ésta; el uso de sistemas de largo de la red para que todas las aplicaciones
Multiplicador de Red
almacenamiento fue 3,8 veces más efectivo. puedan y logren llamarlos. Las empresas también

invocan a la optimización de las aplicaciones en dad, o presencia de usuarios. La diferencia es que oportunidades de negocios, cambios inesperados
este nivel, agregando capacidades como AON, con ahora buscarían cómo crear un servicio de identi- en los mercados, y demandas de los clientes. Eso
sus servicios de traducción entre aplicaciones y dad que trabaje en toda su empresa, en lugar de es exactamente lo que Roland Yeo, administrador
administración inteligente de datos. tan solo un departamento” de redes en NUS, cree haber logrado. “Nuestra
La clave de una migración efectiva, dice Mayfield, infraestructura Cisco satisfizo nuestras necesida-
es pensar primero sobre el problema de los nego- La Red Adaptable des inmediatas, y ahora cinco años más tarde,
cios, en lugar de la tecnología. ¿Cuál es el proble- Los productos de Cisco ya tienen un alto grado de podemos agregar servicios de seguridad, imple-
ma de su negocio que quiere resolver? ¿Cómo interoperabilidad. Ud. puede crear una red inte- mentación de voz y aplicaciones de video, simple-
puede dirigirse mejor a este problema? Y luego, grada basada en SONA para todas las sub-arqui- mente habilitando características QoS en la red.”
¿Qué solución satisface las necedades inmediatas tecturas de su empresa a partir de los productos La red basada en SONA ha cambiado la manera en
y crea una base para manejar futuras necesida- disponibles. En los años venideros, dice McNab, que la NUS hace negocio, la forma en que educa a
des? Hay varias maneras de comenzar a migrar a Cisco trabajará para asegurar que todas las arqui- estudiantes y cómo los empleados interactúan
una arquitectura SONA. agrega McNab, “la mayo- tecturas y productos individuales operen entre sí unos con otros. Es realmente adaptable. Además, y
ría de la gente empieza con la red que tienen, en desde la perspectiva de las aplicaciones para pro- la universidad también está ahorrándose U$S 1
lugar de realizar una actualización de raíz. Podrían veer servicios de red. En síntesis, SONA es una red millón tan sólo en costos de telefonía de voz.
comenzar con un servicio o aplicación, tales como adaptable, una que puede brindar a una empresa Traducción realizada por NEX IT Specialist, reimpreso con permiso de
administración de archivos, verificación de identi- la habilidad de reaccionar en tiempo real a nuevas Packet Magazine (Vol. 18 N°1), Copyright ©2006 por Cisco Systems Inc.
La Universidad Nacional de Singapur: SONA en Práctica

La Universidad Nacional de Singapur (NUS) tiene 13 examen en línea a través de una VPN segura pero seguridad, en lugar de intentos ad hoc para prevenir
facultades, 12 institutos de investigación de nivel mientras tanto, no puede acceder a ningún otro una amplia gama de amenazas a la seguridad.” La
universitario, 32000 estudiantes, y más de 3000 recurso dentro o fuera del campus. Las tarjetas de flexibilidad se ha vuelto crucial, agrega, dado que la
miembros e investigadores. NUS se propuso varias acceso con código, requerías para abrir todas las red está preparada para defenderse de amenazas,
metas cuando decidió construir una red para sopor- puertas en el campus, pueden rastrear los movimien- tales como ataques DoS (Denial of service), que eran
tar incontables aplicaciones multimedia incluyendo tos de los individuos en el campus en momentos de desconocidos cuando la esta arquitectura fue insta-
e-learning, transmisión de cátedras en vivo, telefo- emergencias, lo que fue útil durante la crisis del SARS lada cinco años atrás.
nía IP, biblioteca digital y archivo de medios, admi- cuando la universidad necesitó saber quién pudo Mientras que la universidad ha tomados pasos
nistración del alumnado, admisiones a la universi- haber sido expuesto. La red también ha permitido importantes hacia establecer un ambiente “e-ena-
dad, registro de cursos, y GRID computing. Su red nuevas aplicaciones críticas como Centralized Online bled” (con acceso a las tecnologías) extensivo,
tenía que ser escalable, robusta, confiable, y alcan-
zar una alta performance para adaptarse dinámi-
camente a todas las demandas de tráfico asincróni-
co o sincrónico, ya sea en tiempo real o no.
NUS recurrió a Cisco para obtener una red convergen-
te e integrada y durante los cinco años que han pasa-
do evolucionaron su infraestructura IT hacia una red
inteligente y altamente disponible basada en el fra-
mework SONA de Cisco. La red distribuye servicios de
seguridad, identidad, anexión inalámbrica, y storage
por toda la organización. Les permite a los estudian-
tes y miembros de la facultad obtener cátedras vía
Webcast, resultados de exámenes, tareas, materiales
de la biblioteca, un sistema de mensajería, yo otros
recursos a través del Integrated Virtual Learning
Environment (IVLE). Con un servicio de conexión
inalámbrica en toda la extensión del campus, les per- Registration Systems (CORS) para selección y ubica- Tommy Hor, director del centro de computadoras en
mite a los estudiantes acceder a materiales de sus ción de módulos.“A medida que la universidad avan- NUS, ve las siguientes áreas como importantes para
cursos en cualquier momento y cualquier lugar usanza hacia una educación de base más amplia, a los las futuras capacidades IT del NUS: un entorno sin-
do notebooks. Con SONA, la experiencia de la cone- estudiantes se les requerirá que se enrolen en módu- gle-source, donde los reportes de la universidad
xión inalámbrica y cableada son iguales, comenzan- los a través de las facultades, y se debe establecer un provendrían de una herramienta central, creando
do por la seguridad. Los servicios de autenticación y sistema para facilitar una justa, equitativa y respon- una visión unificada a través de múltiples funciones
autorización son consistentes entre ambas redes. sable selección de los módulos y al mismo tiempo, departamentales; Integración de la voz, datos, y
“Las aplicaciones como IVLE deben ser implementa- permitirles a los departamentos de enseñanza admi- video, con más interfaces integradas para el audio,
das sin saber exactamente cual será la demanda o nistrar sus recursos óptimamente.”, explica Kwee- video, y llamadas Web con acceso simultaneo en
cuanta gente la usara simultáneamente,” dice Roland Nam Thio, administrador de los sistemas informa- tiempo real a bases de datos y aplicaciones que per-
Yeo, Administrador de la red en NUS. “La tienes que ción académicos en NUS. CORS ha asignado exitosa- miten la toma de decisiones de manera inteligente e
basar en una red escalable y asegurarse que los servi- mente 1.200 módulos cada semestre a los más de informada; sistemas y dispositivos con tecnología
cios de red que corren por debajo de ésta entregarán 20.000 estudiantes registrándose en línea desde inalámbrica para un acceso permanente a los recur-
la aplicación cuando sea necesaria.” cualquier lado, dentro y fuera del campus. sos; portales personalizados para distribuir infor-
La red puede administrar políticas muy granulares “Nuestro reto más importante es balancear seguri- mación en vez de diseminación de puros e-mails.
para todos sus usuarios finales. Por ejemplo, un estu- dad con apertura,” dice Yeo. “La arquitectura Cisco La arquitectura SONA de Cisco facilitará en gran
diante se puede loguear en el IVLE para rendir un SONA provee un framework para garantizar la medida en este viaje, dice Hor.

SEGURIDAD
Liberando
las Redes
de los Ataques DDoS
Una solución integral les permite a los proveedores
de servicios ofrecer nuevos servicios a aquellos
clientes con especial interés en la seguridad.
Por Edmund Lam
FOTO: Purdue News Service photo/Dave Umberger

Q
Que un ataque distribuido de negación de servicio típico sistema de signature pattern matching, real- los datos, el control y administración de la
(DDoS, Distribuited Denial of Service) haga caer izado por el sistema de detección de intrusos (IDS), infraestructura de un proveedor contra amenazas a
una red corporativa, es más fácil de lo que Ud. cree. no funciona. Algunas de las más populares técnicas su seguridad y permite un mejor posicionamiento
Los ataques DDoS son creados usualmente por bot- para lidiar con los ataques DDoS, como el blackhol- para la entrega del servicio. Mientras, los elementos
nets, redes de computadoras individuales (bots) ing y el filtrador de routers, también se quedan cor- funcionales del Cisco DDoS Protection Solution —
comprometidas, que pueden ser dirigidas por un tos en términos de mitigarlos y asegurar la con- detección y mitigación (incluye distracción, limpieza,
atacante para que lancen una oleada de varios tinuidad de los negocios. Estrategias como el sobre e inyección)— trabajan en conjunto para proteger a
tipos de paquetes hacia el objetivo. Un botnet rela- aprovisionamiento, no dan una adecuada protec- los proveedores de servicio y sus redes para clientes
tivamente pequeño puede contar con unas 1000 ción contra ataques más grandes, y son soluciones de los ataques DDoS.
máquinas. Si estimamos una velocidad de subida de prevención de DDoS demasiado costosas de
de 128 Kbit/s por máquina, el botnet puede gener- administrar. Detección
ar más de 100 Mbit/s de datos entrantes, más Históricamente, la detección de DDoS ha sido
grande que muchas de las conexiones entre los “Cañerías Limpias” complicada, porque los paquetes ilegítimos
proveedores de servicio y grandes empresas. La respuesta a los ataques DDoS es un sistema de tienen el mismo contenido y encabezado que los
Peor aun, los ataques DDoS a redes relacionadas protección que detecte ataques cuando comien- legítimos. Más aun muchos ataques usan direc-
con negocios están creciendo a un ritmo furioso. zan, desvíe y “limpie” el flujo de tráfico contamina- ciones de origen falsas. La defensa, por lo tanto,
El número de bots se está disparando, en gran do, o tubería, y luego devuelva el tráfico legítimo debe basarse en una habilidad de diferenciar
parte a causa del incremento de las PCs hoga- a la red. Cisco ofrece ahora un sistema semejante entre flujo de tráfico bueno y malo.
reñas con conexiones a Internet permanentes las llamado el Cisco DDoS Protection Solution que La solución de DDoS emplea dos sistemas que
24 hs., que frecuentemente están pobremente realiza todas estas tareas (ver figura 1). Puede ser dinámicamente crea modelos de tráfico base y los
aseguradas y disponibles para los hackers. implementado en proveedores de servicio para: compara con el flujo en tiempo real. Alguna difer-
Muchos ataques son operaciones criminales • Administrar la protección DDoS para sus clientes, encia por sobre un cierto límite dispara una alar-
serias, que amenazan con tener lugar durante en la última milla y dentro de la parte pública de ma. Los dos sistemas están implementados en
importantes eventos corporativos. su infraestructura. diferentes lugares en la red, dependiendo de la
Los ataques DDoS pueden saturar el ancho de • Proteger los servicios Web y aplicaciones de ubicación que mejor se ajusta a las necesidades
banda disponible para las comunicaciones comercio electrónico en data centers de hosting del usuario: el dispositivo Cisco Traffic Anomaly
entrantes, salientes, e intranetwork; sobrepasan la administrados. Detector XT o el Arbor Peakflow SP de Arbor
capacidad de los routers, servidores, e incluso fire- • Proteger los enlaces a los ISP (Internet Service Networks, un partner del Technology Developer
walls, volviéndolos, incapaces de atender al tráfico Providers) de bajada, para evitar su saturación con Program de Cisco. Arbor Peakflow SP funciona en
legítimo; previenen el acceso a aplicaciones o tráfico DDoS. conjunto con la funcionalidad NetFlow en el soft-
hosts específicos; atacan otros recursos de red Además, la solución le permite a los proveedores ware IOS de Cisco para realizar la detección.
como los soft switches, routers core, y servidores de servicio defender los elementos de su propia El Cisco Traffic Anomaly Detector XT ofrece la
de Domain Name System (DNS), y causan daños infraestructura de red crítica como routers y mayor capacidad de detección porque se sienta
colaterales a partes de la red que no fue atacada switches agregados, de límite y core, servidores en el lado del cliente de la red, examinando cada
directamente. No es sorpresa, que un estudio del DNS, y enlaces transoceánicos, casi en el mismo flujo de tráfico mientras es entregado al cliente.
Grupo Gartner encontró que para la mayoría de instante que el ataque es detectado. Monitorea tráfico espejado desde el cableado. El
las empresas, la seguridad de sus redes había Cisco DDoS Protection ofrece una solución abar- tráfico es copiado por una característica basada
escalado del décimo puesto de su lista de gastos cadora para brindar la capacidad de tener en puertos, como el Switched Port Analyzer
en 2003, al primero en 2004. “cañerías limpias”. Pero a los proveedores de servi- (SPAN), Virtual LAN (VLAN), o VPN Access Control
Otro factor que influye en este problema cre- cios se les recomienda fuertemente que imple- List (VACL), o por división óptica, y el dispositivo
ciente, es el hecho de que los ataques DDoS son menten medidas de seguridad conocidas como de detección es alimentado con un stream.
difíciles de detectar, porque los paquetes ilegíti- Cisco Network Foundation Protection (Ver El Cisco Traffic Anomaly Detector XT usa los últi-
mos no son fáciles de distinguir de los legítimos. El Pastilla). Estas medidas fortalecen la seguridad de mos adelantos en análisis de comportamiento y

Premisas del Cliente Acceso/Agregado Core Centro de Limpieza Carrier Peering
PROTECCIÓN
INTEGRADA
Guardias
La solución de protección de Provider Arbor
DDoS de Cisco, provee funcio- Edge Peakflow SP
Routers Capa 2
nes de detección y mitigación
Agregado
(desvío, limpieza e inyección).
Detector
La detección tiene lugar en el P
P
extremo del cliente y/o dentro Cisco ISR
ASBR
de la red, y la mitigación cerca Peering
del límite del peer. Edge/
Alt ISP
Provider
Cisco ISR P Arbor

P Peakflow SP
Detector
Arbor Arbor Hosting

Peakflow SP Peakflow SP IDC
administración de redes
Detección Desvío/Inyección Mitigación

Aprovisionamiento y
Identificar y Clasificar Ataques Desvío de tráfico “malicioso” Inspección de Paquetes y Limpieza

Basados en sus características al Centro de Limpieza para ser del Tráfico Malicioso.
Limpiado; Inyectado del Tráfico
Limpio de Vuelta al Cliente
Corporativo
Network Foundation Protection
Arquitectura de la Solución de Protección de DDoS - Cisco
tecnología de reconocimiento de ataques para patrones del tráfico cambian a lo largo del tiempo, pañía haciendo negocios usando Internet, un ISP,
proactivamente detectar e identificar todo tipo de incorporan componentes temporales y topológi- o cualquier combinación o variante de éstas.
ataques DDoS. Si el detector capta un flujo anó- cos para crear sofisticados modelos de compor-
malo, tal como un enorme y repentino tráfico tamientos de red. Si alguna anomalía excede los Protección DDoS
hacia una dirección específica o un gran aumento límites de severidad y duración establecidos por Una vez derivado a la zona de protección, el Guard
de cierto tipo de tráfico, inmediata y dinámica- el usuario, el dispositivo alerta al personal de la comienza a recibir el tráfico desviado y a aplicar
mente genera un evento en el log del sistema, o red, quienes pueden decidir si activar el Cisco sus políticas. Las políticas hacen referencia e
activa un Cisco Guard remoto sobre una conexión Guard para detener el ataque. instruyen al sistema de protección del Guard para
Secure Shell (SSH) segura. que lleve a cabo una acción, la cual podría variar
El dispositivo Arbor Peakflow SP reside en una red Mitigación: Distracción, desde notificar al usuario de tráfico sospechoso, a
out-of-band, recibiendo las estadísticas del Cisco Limpieza, e Inyección direccionar el tráfico a varios mecanismos de anti-
NetFlow recopiladas de varios routers en la red del La función de mitigación del Cisco DDoS spoofing o anti-zombie del Guard o descartar
proveedor de servicios. Cisco NetFlow es la tec- Protection Solution apunta a distinguir, con la dicho tráfico. Las políticas de zombis reaccionan
nología de identificación de DDoS y análisis del mayor precisión posible, el tráfico legítimo de cuando el tráfico medido excede sus límites.
flujo del tráfico de red para redes IP más amplia- aquél malicioso destinado a hosts críticos (por ej.: Para realizar su rol protector, el Guard tiene una
mente implementada hoy en día. Clasifica los servidores DNS, Web Servers, y softswitches de serie de filtros con diferentes características que
paquetes buscando el seven-tuple en el enca- voz sobre IP), descartar el tráfico malicioso, y per- son sensiblemente ajustables. Estos filtros le per-
bezado, la información en interfaz entrante, el tipo mitir el paso al tráfico legítimo. La mitigación se miten al Guard y al usuario filtrar tráfico sospe-
de protocolo IP, indicador de tipo de servicio, logra ya sea con un appliance Cisco Guard XT, o el choso y malicioso, y permitirle al tráfico legítimo
direcciones IP de origen y destino, y puertos de Cisco Anomaly Guard Service Module, el cual pasar la zona. El Guard también tiene módulos de
origen y destino. Esta información describe un reside en los switches Cisco Catalyst 6500 Series o protección que siguen al tráfico, limpiándolo con
perfil del tráfico normal a lo largo de toda la red, routers Cisco 7600 Series. sus mecanismos anti-spoofing. El módulo de
permitiéndole a los administradores de red, ver Al recibir una petición del Cisco Traffic Anomaly análisis le permite al tráfico, durante la protección
flujos anormales mientras y donde sea que éstos Detector XT, el dispositivo Arbor Peakflow SP, o vía fluir monitoreado pero sin obstaculizarlo mientras
ocurran. Su recopilación de datos no afecta la per- activación manual por el personal de operaciones que no se detecten anormalidades; el módulo
formance de la red o su disponibilidad, y los datos de la red, el Cisco Guard XT envía un mensaje de básico tiene mecanismos anti-spoofing y anti-
viajan fuera de la banda hacia el dispositivo Arbor Border Gateway Protocol (BGP) al router de subi- zombi que autentifican el tráfico; el módulo
Peakflow SP, para que la cobertura pueda fácil- da, para hacer el próximo hop. El router de subida strong tiene mecanismos anti-spoofing más
mente ser escalada en tamaño. desvía el tráfico sucio (legítimo y malicioso) desti- severos; el módulo de descarte, se deshace del trá-
Haciendo uso de los datos del NetFlow, el disposi- nado la zona objetivo, al Cisco Guard para su fico malicioso; el módulo de limitación de volu-
tivo Arbor Peakflow SP identifica anomalías usan- limpieza. La zona es un elemento de la red prote- men, limita el volumen del flujo de un tráfico
do tanto análisis de firmas como dynamic profil- gido por el Cisco Guard contra ataques DDoS; ésta deseado o el tráfico de una zona en general; y el
ing, los dos métodos más efectivos que hayan puede ser un servidor de red, un cliente o un módulo de reconocimiento (recognition module),
sido implementados. Los perfiles, que son contin- router, un enlace de red o sub-net o una red el cual coordina las políticas del Cisco Guard, el sis-
uamente reconstruidos a medida que los entera, un usuario individual de Internet o com- tema de filtrado, y muestrea el tráfico saliente

Protección Cisco Network Foundation
En el clima de los negocios competitivos de hoy, conec- un objetivo claramente identificable. El plano de de tráfico anómalo y respuesta a ataques en tiempo
tarse a la Internet es imperativo; sin embargo, esto tam- datos permite la habilidad de reenviar (forward) real. Algunas de las nuevas herramientas asociadas
bién expone elementos de red y su infraestructura a un paquetes de datos; el plano de control permite la con el aseguramiento del plano de datos son NetFlow,
sinnúmero de riesgos y amenazas. Para afrontar la cre- habilidad de rutear dados datos correctamente; y el IP Source Tracker, access control list (ACL) Unicast
ciente complejidad de los ataques en este ambiente de plano administrativo permita la habilidad de mane- Reverse Path Forwarding (uRPF), Remotely Triggered
alta seguridad, Cisco ha mejorado las características del jar elementos de red. Blackhore (RTBH) Filtering, y herramientas de QoS.
Cisco IOS Software (Ver NEX #19, Pág. 12) y su capaci- Para resguardar las bases, Cisco recomienda que los El plano de control requiere protección defensiva en
dadfuncionalidades para elementos de redes así como proveedores de servicio tomen el enfoque de “secu- profundidad para control de ruteo. Algunas de las
la infraestructura, ayudando a asegurar su disponibili- rity toolkit”, eligiendo herramientas y técnicas basa- herramientas para resguardar el plano de control son
dad bajo cualquier circunstancia. das en medir e identificar riesgos y amenazas a la Receive ACL (rACL) y Control Plan Policing (CoPP).
Cisco Network Foundation Protection (NFP) provee infraestructura de la red. Esta caja de herramientas El plano de administración permite administrar la
las herramientas, tecnologías, y servicios que le per- de seguridad debería también ser lo suficientemente infraestructura de red de Cisco IOS de forma segura y
miten a las organizaciones, asegurar las bases de sus flexible para que nuevas herramientas y técnicas continua. Entre las herramientas para asegurar el
redes. Ésto, a su vez, permite controlar el flujo de puedan ser agregadas cuando un enfoque reaccio- plano de administración están el Umbral de CPU y
paquetes y proteger el núcleo core de la red de un nario de reacción es aplicado para defenderse contra memoria y syslog de exportación dual.
proveedor servidor de servicios de amenazas de una amenaza de seguridad. Cuando se refiere a asegurar las bases de la red, Cisco
seguridad como DDoS. Con cuidadosa consideración para cumplir con los NFP debería ser considerada una medida de seguri-
Una infraestructura segura también forma las bases objetivos de cada plano del router, los proveedores dad proactiva. Además, la segmentación metódica
de la entrega de servicios. La entrega continua de de servicio pueden elegir la herramienta correcta de los planos del router combinados con el enfoque
servicio requiere un enfoque metódico para proteger para el trabajo adecuado cuando enfrentan inciden- de security toolkit, flexibilizarán y fortalecerán de
los diferentes planos de los router. El router está típi- tes de seguridad. gran manera y la habilidad de proveer ayuda táctica
camente segmentado en tres planos, cada uno con La protección del plano de datos permite la detección en asuntos de seguridad.
para si análisis. Guard y continuarán su ruta de datos normal. proveedores defender su propia infraestructura
El de sistema de filtro Guard y los módulos de pro- Para iniciar una zona para mitigación de DDoS, el de red de ataques DDoS. Este modelo reduce los
tección operan en un modo cíclico sobre el flujo Cisco Guard XT, al igual que el Traffic Anomaly ataques directos en lugares vitales en la red, y pro-
de tráfico de la zona. Detector XY y el Arbor Peakflow SP, necesitan ser tege servidores críticos en el data center del
Luego que el tráfico destinado a la zona atacada puestos en el modo “aprendizaje” durante tiem- proveedor, incluyendo DNS, http, y servidores de
ha sido limpiado, el Ciso Guard permite en forma pos sin ataques. En este modo, el dispositivo mon- Simple Mail Transfer Protocol (SMTP).
transparente que el tráfico de la zona sea inyecta- itorea pasivamente los patrones del tráfico y sus Además de crear nuevas ganancias, los modelos
do nuevamente en ésta. Este estado continúa volúmenes y límites destinados a recursos dentro de implementación de de servicios administrados
hasta que el usuario decida terminar la protección de la zona, para comprender el comportamiento benefician a los proveedores en varios frentes.
de la zona. El método de inyección depende del si normal y establecer un parámetro en base al cual Entre ellos: mejora la visión del cliente hacia su
la red usa un a topología core del tipo Layer 2 o comparar el tráfico de la zona y ubicar anormali- proveedor, como un socio de confianza que
Layer 3. Estos métodos, como el Policy Based dades que pueda, eventualmente, convertirse en entiende las necesidades de seguridad de sus
Routing (PBR), Virtual Routing/Forwarding (VRF), maliciosas cuando ocurra un ataque DDoS. negocios, potencia las capacidades de la
y Generic Routing Encapsulation (GRE), son con- infraestructura de red existente (por ej.: activos
figurados en el router de bajada inmediato y en el Modelos de Implementación clave) para ofrecer el servicio con mínima inver-
Cisco Guard, o sólo en el Guard. Éstos se aseguran El objetivo de Cisco con su DDoS Protection sión de capital en el costo del desarrollo.
de que el tráfico limpio no regrese al Cisco Guard. Solution es permitir a los proveedores de servicio Los beneficios a los clientes incluyen proactividad,
El proceso de mitigación del Cisco Guard finaliza integrar los dispositivos y sus capacidades en la efectividad, mitigación en tiempo real de los
cuando se alcanza el límite de tiempo config- forma que más beneficie en costos al proveedor y ataques antes de que la última milla y los recursos
urable, desde que el último filtro dinámico creado a sus clientes. Hay tres modelos de imple- de los centros de datos (data centers) se vean
para descartar tráfico DDoS haya sido quitado. mentación de servicio: abrumados, evitar la costosa actualización del
Luego, el flujo del tráfico destinado a las zonas • Managed Network DDoS Protection: Los provee- ancho de banda de última milla debida la con-
atacadas previamente ya no serán desviadas al dores ofrecen a sus clientes protección contra gestión o pérdida del tráfico causada por los
ataques DDoS en sus conexiones de última milla ataques DDoS; y un uptime de la red mejorado
Acerca de Edmund Lamm e infraestructura de sus redes. Este modelo brin- para permitir la continuidad de los negocios y una
da una capa adicional que asegura la con- satisfacción mayor del cliente.
Líder técnico en el Grupo tinuidad de los negocios.
• Managed Hosting DDoS Protection: Los provee- Traducción realizada por NEX IT Specialist, reimpreso con permiso de
Ingeniería de Sistemas Packet Magazine (Vol. 17 N°3), Copyright ©2005 por Cisco Systems Inc.
para Proveedores de dores de hosting ayudan a proteger de los
Servicio en Cisco, se enfo- ataques DDoS a servidores administrados de apli-

ca en el diseño de siste- caciones y web. La detección se lleva a cabo más Lecturas adicionales
mas de seguridad admi- cerca de los activos bajo ataque. • CISCO DDoS Protection Solution
nistrados. • Managed Peering Point DDoS Protection: Permite a Cisco.com/go/cleanpipes
Previamente a su trabajo los proveedores brindar conexiones libres de DDoS • Cisco DDoS Protection Solution White Paper
al por mayor a sus clientes, maximizando el ancho Cisco.com/packet/173_8b2
actual, era ingeniero de marketing técnico espe-
• Cisco Anomaly Detection
cializado en diseño de sistemas para VoIP y MPLS de banda para el tráfico legítimo.
and Mitigation Portfolio
VPN para proveedores de servicio. Otra opción de implementación, es Infraestruc- Cisco.com/packet/173_8b3
ture DDoS Protection, que les permite a los

SEGURIDAD
Por Gastón Tanoira

Gerente de Soluciones de Seguridad
Cisco Systems América Latina
Seguridad Integrada
contra epidemias
Gusanos
y Virus
FOTO: Alejandro Cynowicz - 2006

Muchas compañías están prohibiendo a sus empleados
utilizar en el lugar de trabajo aplicaciones de mensajería
instantánea, acceso a las cuentas personales de correo
como Yahoo o Google mail y programas para bajar músi-
ca y video, para protegerse ante las amenazas de seguri-
dad como epidemias de gusanos y virus.
L
Los ataques de gusanos y virus figuran hoy entre es un buen comienzo, pero no resulta suficiente. rápida y automatizada para defenderse de ellos.
las violaciones a la seguridad más comunes en las Para impedir efectivamente las alteraciones cau- Ésto sólo es posible a través de capacidades de
empresas. Un servidor, un computador portátil, un sadas por ataques de gusanos y virus, las organi- seguridad integradas dentro de la red misma.
PDA están expuestos a gusanos y virus en cualquier zaciones deben: Encender alarmas. Sin una identificación y reac-
momento, y pueden propagarlos fácilmente a tra- Contar con un sistema de identidad. La primera ción instantánea ante la epidemia, una red puede
vés de toda una organización. Infecciones como línea de defensa en la infraestructura de redes de ser derribada en minutos. Los sistemas de preven-
MyDoom, Blaster, Sasser, SQL Slammer, y SoBig han una organización es determinar quién o qué está ción y detección de intrusiones basados en red
desestabilizado aplicaciones corporativas, web accediendo a la red, cuál es el estado del dispositi- logran identificar, clasificar y frenar el tráfico mali-
sites, bancos y aerolíneas, y han mostrado lo vulne- vo de acceso y a qué recursos tiene derechos. Ésto cioso en tiempo real y con exactitud. Una red con
rables que son las compañías a los ataques. Estos permite que solamente los usuarios confiables y inteligencia apropiada puede analizar todo el trá-
ataques están aumentando en severidad, velocidad los dispositivos que se adhieran a las políticas cor- fico que la atraviesa, reconocer un ataque, evaluar
y cantidad, dejando a las compañías con la necesi- porativas de seguridad puedan conectarse a la red su severidad, encender las alarmas apropiadas
dad de contar con mayores recursos de seguridad. de una organización, enviar y recibir datos. que alerten a los administradores de la red y
Los ataques a la seguridad pueden costarle a las Proteger los End Points. Gusanos y virus atacan a tomar acciones correctivas.
compañías mucho más que las ventas perdidas o las aplicaciones que corren en computadoras de Segmentar la red en “islas” de seguridad. Los fire-
que la productividad de sus empleados. Algunos escritorio, servidores y otros puntos finales de la walls se usan tradicionalmente en el perímetro de
gusanos y virus pueden dejar puertas abiertas en red. Aún cuando los antivirus y los firewall son la red de una organización, como puede ser una
las computadoras personales, las cuales se utilizan efectivos contra las amenazas con firmas recono- conexión a Internet, para prevenir tráfico malicio-
para robar información o usar los equipos infecta- cibles, ésto no suele ser suficiente. Hay soluciones so o innecesario, o incluso impedir que los usua-
dos como zombies para propagar más virus, spam que comprueban el comportamiento del disposi- rios entren a la misma. Son igualmente útiles para
u otros ataques. Muchos gusanos actualmente en tivo para identificar y prevenir comportamientos proteger la red interior. Los firewalls pueden ser
circulación, por ejemplo, fueron diseñados para maliciosos o anómalos en los puntos finales. Es configurados para reconocer y bloquear gusanos
generar ataques distribuidos de denegación de una solución que analiza el comportamiento del conocidos y para bloquear puertos que no deberí-
servicio (DDoS). sistema, y que puede eliminar tanto los riesgos an ser usados en segmentos particulares de la red.
Por otro lado, las amenazas a la seguridad están conocidos como los no conocidos, de acuerdo con Cuando se produce un ataque de gusanos o virus,
cambiando constantemente, lo que exige a las el comportamiento de sus aplicaciones. los firewalls previenen la expansión de la infec-
defensas adaptarse y cambiar con ellas. En la Controlar la Admisión a la Red. Esta funcionalidad ción por medio de la segmentación de la red
medida en que la conectividad es cada vez mayor permite habilitar el acceso a la red sólo a aquellos interna en islotes de seguridad.
y el ancho de banda aumenta, la dispersión de dispositivos finales confiables y en cumplimiento Monitorear y administrar el estado de seguridad de
gusanos y virus ocurre a un ritmo más veloz, com- de las políticas establecidas, y restringir el acceso la red. En redes grandes y distribuidas, una visión
plicando el problema. El gusano Blaster/Lovsan de los dispositivos que no cumplen con estos requi- consolidada de todos los dispositivos, de red y de
infectó a más de 1,4 millones de servidores en el sitos. Esta decisión se basa en la información exis- seguridad, y de los servicios de seguridad permi-
mundo entero, alcanzando los 138.000 infectados tente acerca del dispositivo, como su estatus antivi- ten al equipo de IT monitorear eficientemente la
a sólo cuatro horas de su liberación. rus y el nivel de parches de su sistema operativo. red otorgándoles información en tiempo real de
Los antivirus instalados en las computadoras perso- Limitar el contagio de la infección. Algunas veces, y su estado.
nales y servidores hacen un buen trabajo previnien- a pesar de los mejores esfuerzos de una organiza- Todas estas funcionalidades y medidas permiten
do gusanos y virus conocidos, pero los ataques nue- ción, un gusano o virus entra en la red. Dado que trabajar la seguridad de redes a nivel de sistema, de
vos o no conocidos (de día cero) pueden penetrar los virus y gusanos de hoy en día se esparcen muy manera colaborativa entre todos los dispositivos y
estas defensas. Por eso, tener un software antivirus velozmente, es necesario tener una respuesta adaptándose a las amenazas presentes y futuras.
NEX IT SPECIALIST |25|

SEGURIDAD
Ataque
a los datos
en Argentina
De acuerdo con una investigación de Kaagan Research &
Associates, el 68% de los ejecutivos argentinos afirman que los
riesgos a la seguridad de datos se han incrementado en los últi-
mos tres años. Sin embargo, menos del 35% de los ejecutivos
considera que la seguridad es una cuestión de “alta prioridad”.
L
Los incidentes relacionados con la seguridad de dad de datos sea una muy alta prioridad, en con- en las prioridades de los ejecutivos de IT de
datos en las empresas latinoamericanas siguen traste con Colombia y Venezuela, en los que el Latinoamérica, dijo Gastón Tanoira, Gerente de
aumentando, proporcionalmente al riesgo de 51% le asigna esa calificación. Sistemas de Seguridad de Cisco Systems en
ataques futuros, en cuanto disminuye la confianza El aumento significativo de los incidentes y los Latinoamérica. “Sin embargo, las acciones para
de los ejecutivos en relación a las capacidades de riesgos, contrasta con un bajo nivel de confianza enfrentar estas amenazas no se corresponden con
poder enfrentarlos. Esta es una de las conclu- en la capacidades de enfrentar ataques futuros. los riesgos percibidos”.
siones de la encuesta “Acciones de los gerentes de Apenas un pequeño porcentaje de los ejecutivos “En Cisco, estamos trabajando en informar y edu-
IT en América Latina relativas a la seguridad”, real- de IT entrevistados asegura que sus empresas car sobre la necesidad de contar con una arquitec-
izada por Kaagan Research & Associates, empresa están protegidas contra amenazas internas y tura de red que identifique, prevenga y se adapte,
FOTO: (c) JUPITERIMAGES, and its Licensors. All Rights Reserved
de auditoría independiente y patrocinada por externas a la seguridad. El estudio revela que sólo de manera proactiva y automática, a las amenazas
Cisco Systems, Inc e IBM en Argentina, Brasil, Chile, el 18% está “muy confiado” de que sus empresas a la seguridad”, dijo Tanoira. La única defensa
Venezuela, Colombia y México. están protegidas contra amenazas internas, en viable a los modernos ataques a la seguridad,
cuanto que el 23% está “muy confiado” de estar debido a su complejidad y rapidez de expansión,
Qué sucede en Argentina protegidas de amenazas externas. es mitigar estos riesgos en la propia red. No se
Según la encuesta, el 68% de los ejecutivos entre- En Argentina, el 39% de los entrevistados percibe puede depender de dispositivos puntuales que
vistados en Argentina afirma que los riesgos a la como “muy efectivas” las funciones del estén en la periferia sino que la red en sí misma
seguridad se han incrementado en los últimos Information Security, contrastando notoriamente debe defenderse”.
tres años. De éstos, el 31% cree que se han incre- con Brasil, en donde sólo el 9% respondió afirma- “Para IBM, y conforme muestra el estudio, la
mentado en “gran medida”. tivamente a la premisa. seguridad no es más una opción: debe estar incor-
Sin embargo, sólo el 35% del top management de “La encuesta reconfirma que la seguridad de los porada en todo lo que hacemos. Entendemos que,
las empresas argentinas considera que la seguri- sistemas informáticos ocupa un primerísimo lugar para el pleno desenvolvimiento y éxito de una

empresa, la seguridad precisa permear en todos es el país en donde más ejecutivos notaron un
los sectores. Cada elemento de seguridad “aumento significativo” de los riesgos en la seguri-
depende de una integración bien hecha con la dad de datos.
infraestructura de IT existente. Por eso, enten- Confianza en la protección: Apenas un pequeño
demos que las soluciones, las capacidades de porcentaje de los ejecutivos entrevistados está
alcance y experiencia de IBM pueden atender de SI confiado en que sus organizaciones están prote-
forma eficiente todas las necesidades de seguri- 37% gidas contra amenazas internas y externas a la
dad”, destaca Roberto Cruz Arcieri, IBM Global NO seguridad. El estudio muestra que el 18% de los
Services Latinoamérica. 63% ejecutivos asegura que sus organizaciones están
protegidas contra amenazas internas. La confian-
Sobre la encuesta za en la protección contra amenazas a la seguri-
La encuesta “Las acciones de los Gerentes de IT de dad decrece proporcionalmente al tamaño de la
América Latina en relación a la Seguridad de la empresa: 8% de las empresas con 1.000 o más
Información” fue realizada a 203 directores de tec- La organización entrevistada emplea empleados asegura que sus organizaciones están
nología y responsables de la seguridad de empre- un CISO o equivalente? protegidas contra amenazas internas, 16% en las
sas latinoamericanas, y se llevó a cabo entre agos- empresas con 300 a 1.000 empleados, 25% en las
to y septiembre de 2005. Fueron entrevistados cargo de esta área durante los próximos dos años. empresas con menos de 300 empleados.
ejecutivos de Brasil (45), Argentina (26), Chile (25), Las probabilidades de tener un gerente o director En relación a las amenazas externas, el 23% de los
Colombia (26), Venezuela (25) y México (56). de seguridad es proporcional al tamaño de la ejecutivos manifiestan que sus empresas están
La encuesta involucra a empresas medianas y empresa: el 51% de las empresas con 1.000 o más
AUMENTARON 26% 21% SE
grandes, con un mínimo de 50 empleados. Estas empleados cuentan con un gerente de seguridad MUCHO MANTUVIERON
empresas no son propiedad ni son controladas de IT, el 37% de las empresas con menos de 300 IGUAL
por una entidad extranjera. empleados poseen en sus filas a un gerente o 37% AUMENTARON
El 57% de los ejecutivos de todas las empresas director de seguridad de IT. DISMINUYERON 14% UN POCO
entrevistadas trabajan en empresas de más de Presupuesto de Seguridad: El estudio demuestra UN POCO
300 empleados y el 92% de ellos son hombres. En que, en promedio, el 14,5% del presupuesto de IT
2%
Argentina, el 42% de las empresas consultadas de las empresas latinoamericanas es invertido en DISMINUYERON
tiene menos de 300 empleados, el 31% entre 301 seguridad. Para el 66% de los entrevistados, el pre- MUCHO
a 1.000 y el 23% más de 1.000. supuesto aumentó en los últimos dos años, en
La encuesta fue protegida, supervisada y analiza- cuanto apenas el 3% afirma que esa cantidad dis-
da por Kaagan Research Associates, Inc., empresa minuyó en el mismo período. De los recursos des- Cómo cambiaron los riesgos de IS
analista de mercados, con sede en New York. Las tinados a la seguridad, el 51% se invierte en hard- en los últimos tres años
entrevistas fueron realizadas por teléfono o a ware y el 49% en software.
través de Internet, dependiendo del entrevistado. Incidentes de seguridad: El 38% de los ejecutivos protegidas. La confianza en la protección contra
La encuesta fue patrocinada por Cisco Systems e entrevistados dice haber sufrido un ataque a la amenazas a la seguridad, también decrece de
IBM. Para reducir las posibilidades de inducción, seguridad de datos durante el último año, siendo acuerdo al tamaño de la empresa. 16% de los ejec-
los entrevistados no fueron informados de este las empresas mexicanas y las brasileras las más utivos de empresas con 1.000 empleados o más
patrocinio en las entrevistas. afectadas (46% y 42% respectivamente). Según el dijeron que sus organizaciones están protegidas
estudio, el 61% de los incidentes relativos a la contra amenazas externas; el 24% en empresas
46% seguridad se originaron en una fuente externa. con 300 a 1.000 empleados, y el 26% en las
42%
Cuanto mayor es el grado de prioridad que se le empresas con 300 empleados o menos.
33% da a la seguridad de datos, menor es la posibilidad Hackers u otras amenazas: Los hackers representan
29%
de sufrir un ataque externo, de acuerdo con los la principal amenaza a los sistemas de IT, según los
ejecutivos entrevistados. ejecutivos entrevistados. El estudio muestra que el
Riesgos en la seguridad: El 63% de los ejecutivos 47% está “muy preocupado” por los hackers. Los
dice que los riesgos relativos a la seguridad de ejecutivos de grandes empresas (1.000 o más
ARGENTINA/ BRASIL COLOMBIA/ MEXICO datos sufrió un “aumento significativo” o “aumen- empleados) son los más preocupados (61%). La
CHILE VENEZUELA
tó de alguna forma” en los últimos tres años. Brasil segunda fuente de preocupación en lo que respec-
Brecha en los sistemas de seguridad de tecnologías ta a seguridad, son las empresas competidoras:
de la información, durante el año parado 39% de los entrevistados dice que sus competi-
dores son una amenaza a la seguridad de sus sis-
Los directores y ejecutivos de las empresas entre- temas de IT. Este número es especialmente alto en
ALTA
vistadas pertenecen a sectores corporativos más 30% MODERADA México, donde el 52% de los entrevistados consi-
importantes y representativos de la actividad 26% dera que la competencia como una amenaza a la
económica de la región en sus propios países, seguridad. En Argentina representa el 35%.
MUY ALTA BAJA 3%
incluyendo manufacturas, servicios, bancos/ Desafíos relacionados a la seguridad: Las limita-
41%
seguros, distribución/minoristas, energía, minería, ciones de presupuesto son el principal desafío
telecomunicaciones, agricultura y medios de que los ejecutivos de IT enfrentan en cuanto a la
comunicación/entretenimiento. seguridad de datos. Para el 80% de los entrevista-
dos, el presupuesto es un problema. Para el 42%
Principales conclusiones de los entrevistados, es un “gran problema”, y para
de la encuesta el 32% es un “problema menor”. El segundo
Director de Seguridad de IT: Según los entrevista- desafío más importante que enfrentan los ejecu-
dos, el 63% de las empresas no cuentan con un tivos de sistemas de seguridad, es concientizar a
gerente o director de seguridad de IT. De éstas, el rioridad enen
Prioridad ISISdedelalagerencia lacompañia
gerencia de la compaxta los directores de las empresas sobre el valor de la
33% planea contratar un profesional que esté a seguridad de IT (68% de los entrevistados).

SEGURIDAD
Soluciones de
seguridad en Redes
Federico Chaniz La implementación de firewalls y redes privadas virtuales no
Bussines development manager garantiza, en la actualidad, un resguardo total frente a las ame-
Softnet Logical nazas informáticas. Por eso, crece la necesidad de contar con
herramientas más avanzadas que permitan defenderse mejor
frente a agresiones cada vez más especializadas y difíciles de
detectar. Además, la epidemia del spam y la masificación de las
redes inalámbricas generan nuevos desafíos.
Clásicos
Durante los 90 fue norma la instalación de
Firewalls y Antivirus. A principio del 2000 las solu-
ciones de VPN para segurización de acceso remo-
to eran la tendencia del momento. Actualmente
cerca del 100% de las empresas tienen implemen-
tadas soluciones de Firewalls y 80% de las mismas
tiene soluciones de VPN. Estas soluciones cuentan
con una amplia aceptación en el mercado, pero
están lejos de proteger a los usuarios de las ame-
nazas que actualmente se encuentran en las redes
de comunicaciones.
En general, los Firewalls no dejan de ser “puertas”
en los puntos de accesos de la red, que pueden
abrirse o cerrarse a nivel de red (Nivel 4, OSI) pero
no “miran” quien está entrando; o sea que su aná-
lisis del tráfico cursado no llega a nivel de aplica-
ción (Nivel 7, OSI).
Las Redes Privadas Virtuales (VPN) son en realidad
una manera de “privatizar” las comunicaciones
sobre rede publicas, pero lejos están de segurizar
el contenido transmitido por este vinculo privado
virtual. Salvo que se implemente sobre las mismas
soluciones de encripción tipo DES, que de todas
maneras son comunes en este tipo de soluciones.
IDS/IPS
En los últimos años el mercado tomó conciencia
de la necesidad de protección mediante herra-
mientas más complejas que permitan una mejor
defensa ante ataques cada vez más especializados

y difíciles de detectar que explotan las vulnerabi-
lidades de redes y aplicaciones. Es así como las
soluciones de IDS e IPS han cobrado fuerza, si bien
actualmente sólo el 50% de las empresas han
adoptado su utilización. Muchas marcas líderes
del mercado han centralizado su estrategia en
potenciar estas soluciones y hacerlas cada vez
más complejas y eficientes a la hora de proteger
las redes de sus usuarios.
El termino “firmas” es ya parte del lenguaje común
en el ambiente de seguridad, y no son ni más ni
menos que patrones de tráfico malicioso, identifi-

cado por los fabricantes, e incluidos en sus solu-
ciones como un parámetro de comparación del El factor humano, una de las principales amenzazas informàticas.
tráfico analizado (ahora sí a Nivel 7 OSI) para de
esta manera hacer más “profundo” el análisis y la Alrededor del la mitad de las infecciones de PCs y redes son evitalbles, dado que suelen ocurrir como con-
detección. La calidad de estas soluciones, de las secuencia del accionar de internautas distraídos, no informados o curiosos que colaboran inconsciente-
muchas ofertas existentes en el mercado, está mente con los atacantes. ésta fue la principal conclusiòn de un relevamiento llevado a cabo por Trend
dadas básicamente por los siguientes parámetros: Argentina, empresa especializada en seguridad informàtica.
- Cantidad y calidad de estas “firmas” De acuerdo al estudio, el 50% de las 15 principales amenanzas detectadas durante 2005 corresponden al
- Tiempo de respuesta para generar nuevas “fir- llamado grayware. Se trata de programas con còdigos malicioso que funcionan de forma encubierta, brin-
mas”, a partir de nuevos patrones maliciosos. dando al usuario alguna utilidad o licencia, al que accede sin darse cuenta. Asì, los mismos afectados cola-
- La proactividad para estudiar vulnerabilidades y boran en la propagaciòn de virus. El hecho de que el factor humano sea tan importante a la hora de adqui-
generar “firmas” antes de la generación del ataque. rir infecciones, implica que cualquier estrategia de seguridad debe combinar en forma adecuada no sólo
Sin olvidar por supuesto la siempre presente per- soluciones ajustadas a las necesidades particulares de cada empresa, sino tambièn la capacidad constan-
formance del equipo (latencia), ya que el estudio te del usuario mediante seminarios y jormadas asistenciales.
de la totalidad del tráfico de red, su comparación
con patrones, y la toma de desiciones crea un cue-
llo de botella en el flujo de información, que debe de soluciones día a día, para este “flajelo”. a nivel de usuario; conociendo por ejemplo que
ser considerado dentro del análisis de soluciones. tipo de aplicaciones usa cada uno, con cuales host
No siempre la solución mas confiable de IDS/IPS Wi-Fi también o computadoras se comunica más frecuentemen-
será la más “performance”, y viceversa. La masificación y aceptación de las redes Wireless y te, cuál es el volumen de tráfico que trafica, etc.
las ventajas de conectividad instantánea que la Una vez aprendido ésto, sólo es cuestión de detec-
misma genera, han planteado una revisión de los tar cualquier cambio en lo que se considera nor-
“Las Redes Privadas esquemas de seguridad en este tipo de redes, mal, y avisar al operador. En este tipo de solucio-
donde la autenticación de los usuarios y la seguri- nes, la toma de acciones de manera automática
Virtuales (VPN) son en dad de los datos trasmitidos en estos medios “abier- no es recomendada, ya que la anormalidad del
realidad una manera de “privati- tos”, fácilmente accesibles y vulnerables en un prin- tráfico no necesariamente significa su maliciosi-
cipio, ha llevado al desarrollo de nuevos estándares dad ni que deba ser eliminado.
zar” las comunicaciones sobre de autenticación y encripción de los datos. La correlación de eventos es otro tipo de solución
El usuario, accediendo a una red Wi-Fi puede
rede publicas, pero lejos están “abrir” una VPN contra su Host y de esta manera “El termino “firmas” es ya
de segurizar el contenido trans- segurizar su conexión inalámbrica (siempre y
cuando no este bloqueada la aplicación en la red parte del lenguaje común
mitido por esté vinculo de acceso). Pero qué pasa con las empresas que
implementan sus propias redes corporativas Wi- en el ambiente de seguridad,
privado virtual” Fi? Y con los proveedores de servicio que brindan y no son ni mas ni menos
acceso pago? El gran “temor” es que usuarios no
Spam! habilitados ingresen en la red, no sólo para usar- que patrones de tráfico
Estas soluciones si bien detienen la mayoría de las, eso sería lo de menos.
los ataques que llegan a través de la red, otras Y no alcanza con implementar calves de acceso malicioso, identificado
amenazas específicas requieren atención espe-
cial y soluciones a medida. La “epidemia” del
encriptadas (WEP) para los usuarios, son fácilmen- por los fabricantes”
te hackeables, y todos saben como hacerlo. La
spam llega a generar 50% del tráfico de mail no gran panacea es que las redes Wi-Fi puedan tener
deseado y afecta a todos los usuarios de correo el mismo nivel de seguridad que las redes cablea- que brinda a las redes cierta “inteligencia” no para
electrónico. Soluciones que detienen este tipo de das. Se pretende que sobre una red Wi-Fi pueda detectar eventos (logs), sino hacer comparaciones
ataques que degradan la performance de la red y implementar DNS, VLAN, QoS, etc; como en cual- entre ellos y sacar una “conclusión” respecto de lo
aplicaciones, se hacen cada vez más necesarias y quier switch de Layer 3 de LAN. Sin que sea masi- que verdaderamente está pasando. Lo interesante
su implementación ha comenzado a masificarse vo, ni mucho menos, los fabricantes (de networ- en estas herramientas de correlación es que las
en los últimos tiempos. king) han rápidamente desarrollado soluciones mismas no están diseñadas para interpretar y
Desde soluciones “open source” que permiten de seguridad específica para este problema y per- relacionar eventos de un mismo fabricante; sino
desarrollar plataformas de antispam con reglas miten en la actualidad que ésto sea posible. que actualmente existen herramientas “indepen-
propias y “manuales” muy difundidas actualmen- dientes” que toman información de equipos de
te; hasta fabricantes con “bases de conocimiento” Inteligencia Artificial seguridad de distintas marcas para luego hacer un
propias, que cataloga la “reputación” de cada uno La complejidad de las arquitecturas de las redes de análisis de lo que está pasando en la red.
de los “remitentes” de mail y permite un grado de comunicación, no sólo en el ámbito de los provee-
filtrado del spam realmente muy preciso. Esta pre- dores de servicio sino en empresas, cuya estructu- Conclusión
cisión no es menor, el temido “falso positivo” (un ra se asemeja bastante, ha hecho que sea necesa- Este complejo escenario en el tema seguridad,
mail bueno catalogado como spam, y por lo tanto rio el desarrollo de soluciones que puedan dar una incluso luego de esta simplificación, ha hecho que
descartado) es el dolor de cabeza de los imple- visibilidad global a la red, a estudiar su “comporta- una solución completa e integral no dependa sólo
mentadotes de este tipo de soluciones. miento” en general y a detectar anomalías en el de la adopción de una solución específica sino pro-
Por supuesto que varias de este tipo de soluciones mismo manera “inteligente” y “automática”. bablemente de la integración de varias soluciones
vienen en formato “appliance”, con sus propios Existen herramientas que han podido llevar a la y tecnologías de diferentes fabricantes. Y esta inte-
procesadores, almacenamiento y MTA. No olvide- realidad esta necesidad y ofrecen soluciones con gración deberá tener en cuenta no sólo la manera
mos la performance!. Fabricantes específicos de este nivel de análisis de red. Appliance específicos en que se complementan, sino como interactúan
este tipo de soluciones han cobrado nombre en que tienen la capacidad de “aprender” solos cuál entre ellas, cómo optimizan su funcionamiento, y
los últimos tiempo y amplían y mejoran su oferta es el comportamiento normal de una red, incluso cómo se controlan de manera integrada.

SEGURIDAD
Como herramienta
de ataque.
Pedro Paixao “Las fuentes de información públicas, como los buscadores,
SE Manager (Security Expert Manager) permiten a quienes lo deseen, acceder al menos al 80%
Check Point de la información de nuestras redes, sin la necesidad
de exponer su identidad”
T
Tal vez un día se diga que si pasó en la vida real, de seguridad o mismo penetration testing, utilizan- ejecutadas por la gran mayoría de los usuarios,
está publicado en algún sitio de Internet. Puede do nada más que un web browser y Google. En 2004 tenemos la posibilidad de pedir a Google que nos
que todavía no estemos a ese nivel, pero es indis- se reportó el primer gusano de Internet que utilizó presente resultados más relevantes, o interesantes,
cutible que la cantidad de información, hoy publi- estas técnicas para identificar sus víctimas y así utilizando la página de búsqueda avanzada, o mas
cada en Internet, es de tal orden que el problema propagar su código malicioso. Muchas de ellas fácil todavía, utilizando los comandos avanzados
principal es encontrar lo que uno desea, de una pueden ser utilizadas con otros motores de búsque- en la página de búsqueda simples. [fig.1]
manera rápida y relevante. Con esta necesidad da, y su simplicidad y poder es sorprendente. Utilización básica:
nacen algunas de las mayores empresas del Debido a que algunos de los datos presentados son • El uso de comillas “ “ busca toda la string, por ejem-
mundo, como Yahoo y Google, y otras ya estable- reales, los hosts y otra información personal fueron plo “operadores avanzados” sólo devuelve resulta-
cidas, como Microsoft, e invierten billones de ocultados. También como nota me gustaría decir dos que contengan exactamente esta string
dólares para dominar esta importante tecnología: que ningún web site fue visitado directamente para • Utilizar ‘+’ para palabras esenciales, por ejemplo
la búsqueda de información. obtener los datos presentados, todos ellos fueron +password sólo retornan resultados que con-
Las grandes inversiones trajeron muchas mejorías conseguidos accediendo solamente a Google, su tengan la palabra “password”
en los resultados obtenidos, y nuevas tecnologías cache o su conversión de documentos a HTML. • Utilizar ‘-‘ para palabras no deseables, por ejem-
como Tagging y Web 2.0 prometen aumentar el plo "Bill Gates” –microsoft, retorna todos los doc-
contexto y la información semántica de la Web y Comandos Avanzados umentos que contengan la string “Bill Gates” pero
con ello llevar la búsqueda de información a un Mucho mas allá de las tradicionales búsquedas no Microsoft.
nuevo umbral de calidad.
Los motores de búsqueda se transformaron en las
puertas de entrada a Internet y la realidad de hoy
es que si un sitio no está publicado en un motor
de búsqueda, o no aparece en los primeros resul-
tados obtenidos por el usuario, la probabilidad de
que sea visitado es muy baja.
Mucho del trabajo que hacen los motores de
búsqueda es navegar por Internet en busca de
nuevos sites, o nueva información, que una vez
encontrada es almacenada e indexada.
Genéricamente se llama a la aplicación de
indexación el searchbot, y en el caso de Google

éste se conoce como el GoogleBot.
El GoogleBot es un proceso automático, con una
capacidad de indexar millones de páginas web y
otros documentos a cada segundo. Una vez index-
ada la información está disponible para todos los
usuarios que la busquen. Como en muchas otras
tecnologías, existe un lado bueno y un lado
oscuro, y aquí empieza el interés del punto de
vista de seguridad.
En este artículo hablaré de algunas técnicas que
[fig.1] Ciclo de vida de un proyecto de data warehouse
permiten identificar vulnerabilidades, hacer análisis

Operadores avanzados Operador Descripción Ejemplo
Ver cuadro en esta página.
site: Restringe la búsqueda al dominio DNS en cuestión site:www.microsoft.com
La Máquina del Tiempo related: Devuelve todas las páginas que Google encuentra relacionadas related:www.cnet.com
Una de las características más importantes de con la URL utilizada
todos los motores de búsqueda es que éstos no
buscan directamente la web, sino que buscan una link: Devuelve todas las páginas que Google conoce link:www.checkpoint.com
representación de la web como fue vista por el y que conectan a la URL utilizada
Searchbot en un dado momento en el tiempo.
Esta información es almacenada y puede que esté phone: Intenta buscar el número de teléfono phone:”John Smith”
para el nombre mencionado
completamente desactualizada. Este aspecto de
la tecnología tiene implicaciones más o menos Sólo retorna archivos del tipo indicado, si es utilizado filetype:mp3
filetype:
importantes desde el punto de vista de seguridad. con ‘-‘ no retorna archivos del tipo indicado
Como ejemplo tomemos una empresa que, por
alguna razón, publica documentos confidenciales detrange: Devuelve resultados que fueron indexados en una fecha, o entre detrange: 2453857-2453882
en su servidor web, pensando que sólo sus dos fechas. La fecha tiene que estar en formato Juliano, o sea el Busca entre 1 de Mayo de
clientes tienen acceso a los mismos. Dentro de numero de días que pasaron desde Enero, 1 de 4713 A.C.Utilizar 2006 y 26 de Mayo de 2006
días se enteran que debido a un problema de con- un conversor de fechas para este operador
figuración los documentos están disponibles para
inurl: Devuelve resultados que contengan la string indicada en la URL inurl:admin
todo el mundo. El webmaster se apura a reconfig-
urar el servidor, y todo está funcionando como
planeado. ¿Pero lo estará realmente? intitle: Devuelve resultados que contengan la string indicada intitle:confidential
En la realidad el GoogleBot indexo el sitio web y en el título de la página
ahora todos los documentos están almacenados
en la cache de Google. Un hacker busca: intext: Devuelve resultados que contengan la string indicada Intexto:confidential
Google Search: site:compania.ar filetype:pdf en el texto de la página
Y recibe la lista de todos los documentos. Como
allinurl: Devuelve resultados que contengan todas las strings allinurl:admin config
estos links ya no son válidos, podemos utilizar la indicadas en la URL
opción “View as HTML” para tenemos acceso al
contenido. [fig.2] allintext: Devuelve resultados que contengan todas las strings allintext:confidential “do not
Otra opción sería utilizar el link “Cached” [fig.3] indicada en el texto de la página distribute”
Para búsquedas en el tiempo más avanzadas, se
puede utilizar el operador detrange:. allintitle: Devuelve resultados que contengan todas las strings allintitle:confidencial interno
Las implicaciones de ésto son tremendas y Google indicadas en el título de la página
brinda métodos de borrar información de su
* Se pueden utilizar comodines para representar palabras “username=* password=”
Cache, pero le corresponde al dueño de la infor- no para completarlas
mación pedir que sea removida. http://www.goo-
gle.com/webmasters/remove.html nnn..mmm Rango decimal, pude ser utilizado para buscar números 1000..9999
El Proxy Transparente
Como vimos en los ejemplos anteriores es posible
ver el contenido de páginas web u otros docu-
mentos sin entrar a los sitios que los publican uti-
lizando las opciones “View HTML”, y “Cached” de
Google. Esta característica es muy útil para hack-
ers pues pueden investigar todo el sitio de sus vic-
timas, sin nunca tener que entrar a sus servidores!
Se podría llamar a estas funcionalidades el Proxy [fig.2]
Google, pues permite, sólo con el acceso al sitio de
Goolge, “entrar” al sitio de terceros. Otra forma
importante de Proxy vía Google se consigue cuan-
do uno utiliza sus servicios de traducción
automática. [fig.4]
Ejemplo: Yahoo.com vía Google Translation
Services, Yahoo.com ve un acceso de Google no
del cliente que la pidió. [fig.5]
Configuraciones Default [fig.3]

Desafortunadamente la mayoría de las aplica-
ciones presentan problemas de seguridad en sus
configuraciones estándar, o default. El
conocimiento de versiones, y configuraciones es
muy importante una vez que se pueden buscar
bases de datos de vulnerabilidades y rápidamente
identificar victimas.
Por ejemplo podríamos utilizar lo siguiente para [fig.4]

identificar instalaciones default de Apache:
Google Search: intitle:"Test Page for Apache" "It
Worked!"
Otra técnica muy simple que brinda excelentes
resultados en servidores con PHP es buscar
archivos generados por phpinfo. Todas las dis-
tribuciones de PHP incluyen la función phpinfo()
que cuando es ejecutada enlista toda la configu-
ración del servidor en una sola página. Así
podríamos hacer: [fig.5]
Google Search: intitle:phpinfo
Y obtener unos 100,000 resultados, como el que
se ve en la figura 6.
Exploits
La costumbre era ver a los hackers como gente
muy inteligente con la capacidad, y conocimiento
suficiente para investigar problemas en protoco-
los, sistemas operativos o aplicaciones, y desarrol-
lar maneras de explotarlos para con ello tener
acceso a información o recursos informáticos. Ésta
era una comunidad restricta y de difícil acceso. La
información circulaba en un sub-mundo al cual,
para pertenecer, era necesario tener el merito sufi-
ciente. Hoy existen docenas de sitíos web donde
se listan todas las vulnerabilidades conocidas y
como explotarlas. O sea ya no es necesario cono-
cer a fondo la tecnología de ataque, es suficiente
saber como encontrar los programas que
explotan una vulnerabilidad, o exploits del inglés,
y utilizarlos contra aplicaciones vulnerables.
Podemos así separar la tarea de atacar una vícti-
ma en 3 fases: encontrar una vulnerabilidad,
encontrar un exploit y encontrar una victima. En [fig.6]
todas ellas Google puede ayudarnos.
Una simple búsqueda de “bugtraq” y “inurl” nos
revela todas las vulnerabilidades listadas en
Bugtraq, una lista de correo donde se publican
problemas de seguridad, que contengan la pal-
abra “inurl”.
Google Search: bugtraq inurl [fig.7]
Siguiendo el primer link podemos ver una vulner-
abilidad del Woltlab Buletin Borrad.
Ya tenemos la vulnerabilidad. Más abajo en el
texto, podemos ver como explotar la vulnerabili-
dad reportada; Ya tenemos el exploit. [fig.8]
[fig.7]
Como ya es práctica común, se listan también
ejemplos de cómo buscar en Google las aplica-
ciones afectadas, lo único que tenemos que hacer
es utilizarlos, y ya tenemos las víctimas. ¡Todo en
30 segundos o menos! [fig.9]
Bases de Datos
Para los que están acostumbrados con el desarrol-
lo, o configuración de aplicaciones web, sería [fig.8]
impensable publicar la base de datos directa-
mente en el servidor web, sin autenticación y
disponible a todo el mundo. Para evitar el acceso
directo a la información se instalan firewalls, colo-
cando los servidores involucrados en DMZs distin-
tas, se configuran sistemas de autenticación, se
programa la lógica necesaria para que sólo la
información deseada sea visible a los usuarios con
los privilegios correctos, y muchas veces se usan
[fig.9]
mecanismos de encriptación de todas las

sesiones. Todo este trabajo está perdido con un
archivo de backup, o SQL, un sencillo mensaje de
error de la aplicación, o una exportación de datos.
Todo lo que necesita el hacker es un simple motor
de búsqueda, sin siquiera acceder al site victima!
Muchas veces la información contenida en la base
de datos se originó en archivos Excel, o los oper-
adores la exportan a este formato para facilitar la
creación de reportes, estadísticas, u otras manipu- [fig.10]
laciones. Algunas veces estos archivos quedan en
el servidor web, en una carpeta “escondida”
esperando que el Googlebot los indexe. Lo sufi-
ciente para comprometer toda la información de
la base de datos. Veamos un ejemplo: vamos bus-
car todos los archivos Excel (filetype:xls) que con-
tengan uno de los nombres más comunes del
Inglés “Davis”, y que además contengan también la
palabra “User”.
Google Search: filetype:xls Davis User
Uno de los resultados, accedido vía Google Cache,
es una base de datos de una biblioteca que con-
tiene la información de centenas de miembros,
sus números de tarjeta, teléfonos, direcciones y
hasta cuánto dinero deben a la organización.
[fig.10]
Otra posibilidad es buscar por mensajes de error
comunes a los sistemas de bases de datos que [fig.11]
revelan demasiada información. Por ejemplo:
Google Search: "ASP.NET_SessionId" "data source="
Revela, como siempre, miles de sites que gener-
aron en algún momento mensajes de error de
Active Server Pages (ASP) cuando se intentaba
conectar a la base de datos. Uno de ellos es muy
interesante dado que la página, almacenada en
Google Cache, habla de la política de protección
de datos, en todas sus formas por la organización
dueña del site, y más abajo se pueden ver las con-
traseñas de las bases de datos utilizadas – como
mínimo irónico. [figs.11 y 12]
Utilizando el conocimiento del sistema de base de
datos utilizado es posible buscar por nombres de
[fig.12] funciones comunes, en archivos de “include" que
muchas veces no son procesados directamente
por el servidor web. Un ejemplo típico de ésto son
los archivos .inc utilizados en PHP. Al contrario de
los archivos .php que son procesados por el servi-
dor web antes de ser enviados hacia el cliente, los
archivos .inc son muchas veces enviados sin
procesamiento y con ello revelan todo el código
fuente que contienen. Este tipo de archivo tiene
que estar disponible para lectura por el servidor
web, pero no para el acceso directo por parte del
cliente remoto. El problema es que mensajes de
error revelan links para estos archivos, o las car-
petas donde están almacenados permiten su lis-
tado completo, y como tal ellos pueden ser index-
ados por Google. Si buscamos por todos los
archivos .inc (filetype:inc) que contengan la fun-
ción de MySQL mysql_connect(), vamos a tener
algunas sorpresas:
Google Search: filetype:inc mysql_connect() –cvs
No queremos los resultados que contengan la pal-
abra cvs pues ésta se encuentra en repositorios de
software libre que van a generar muchos “falsos
[fig.13]
positivos”. [fig.13]

En este ejemplo podemos ver dos sitios en
que el usuario y contraseña de MySQL apare-
cen directamente en el resumen del docu-
mento, ni siquiera tenemos que visitar la
página en cache!
Otro ejemplo que podemos mencionar es la
búsqueda por comandos SQL. Cuando se insta-
lan las aplicaciones y se crean las bases de datos
es necesario utilizar archivos de texto con
comandos SQL, que una vez procesados
deberían ser borrados, y removidos del servidor,
pero una vez más el operador despreocupado
[fig.14]
nos hecha una mano. [fig.14]
Google Search: “DROP TABLE IF EXISTS”
Se miramos el Cache podemos ver la estructura
de la base de datos e información personal que
quedó en archivo de texto, libremente accesible.
[fig.15]
FTP Access
No es tan común que webmasters dejen en sus
servidores web, los archivos de configuración
de sus clientes FTP pero, como ya vimos en los
párrafos anteriores, lo esperado y lo real es muy
distinto. Una simple búsqueda de archivos .ini
(filetype:ini) que contengan “ws_ftp” y “pwd”,
revela muchos sitios, y uno de ellos escogido al [fig.15]
azar del Cache contiene docenas de servidores
ftp, los nombres de usuario, y la contraseña.
Googel Search: filetype:ini ws_ftp pwd [fig.16]
Estas contraseñas pueden ser fácilmente
descifradas utilizando herramientas libres que
puedes buscar con… Google, claro!
Ahora lo único que el hacker tiene que hacer es
conectar al servidor ftp con estas credenciales
y quien sabe lo que va encontrar ahí.
Otras Posibilidades
El potencial de las técnicas presentadas es casi
ilimitado y con alguna imaginación se puede
pensar en muchas otras búsquedas que van a
revelar información importante.
[fig.16]
• Buscar servidores VNC
- Google Search: "VNC Desktop" inurl:5800 los webmasters decidir que partes de sus sitios <META NAME="ROBOTS" CONTENT="NOINDEX,
• Buscar libros electrónicos web no son indexadas. NOFOLLOW">
- Google Search: filetype:lit lit (books|ebooks) El archivo robots.txt debe existir en la raíz del sitio Atención que no todos los searchbots respectan
• Outlook files web (ejemplo http://misitio.com.ar/robots.txt) y este tag.
- Google Search: outlook filetype:pst su contenido se resume normalmente a un con- Si después de todos los cuidados, nuestro site
• Listado completo de carpetas junto de líneas de texto con el comando Disallow: todavía aparece en el índice de Google debemos
- Google Search: intitle:index.of “parent directory” seguido de la carpeta que deseamos que no sea pedirles que lo retiren. Este proceso puede ser
indexada. hecho en forma manual o automáticamente, si el
Evitando Problemas Ejemplo: servidor web retorna un error “404 Not Found”.
La mejor manera de evitar este tipo de proble- Todos los documentos con error 404 son removi-
mas es la prevención, no dejar archivos de User-agent: * dos del índice automáticamente. El problema con
backup en el servidor web, no dejar configura- Disallow: /cgi-bin/ este abordaje es que no tenemos control de cuan-
ciones default, configurar la autenticación cor- Disallow: /images/ do el documento va ser retirado del índice, si
rectamente, y es muy importante configurar el Disallow: /tmp/ deseamos tener este control hay recurrir al proce-
robots.txt. Los searchbots de los motores de Disallow: /private/ so manual vía http://www.google.com/webmas-
búsqueda respetan el Robots Exclusión ters/remove.html
Standard o robots.txt protocol (www.robot- Si en vez de carpetas completas se desea evitar Si no conoces lo que está publicado en nuestro
stxt.org), que no siendo un estándar formal, es que una página sea indexada se debe utilizar el sitio web otros lo conocerán, todo gracias a
una convención creada en 1994, que permite a Meta Tag ROBOTS Google y sus compañeros.

SEGURIDAD
Cómo funciona un laboratorio de
Detección
de Malware
N
Nuestra huella digital no es aceptada por el sensor Cada vez más Internet está presente en la vida de los individuos
que abre las puertas de Panda Labs, uno de los y de las compañías, y todos los elementos positivos y negativos
laboratorios más modernos e importantes de la
industria de la seguridad. La pregunta inicial nació
de la sociedad se han trasladado a ella, no podíamos pensar que
sola, para qué tanta seguridad? Unas horas des- el delito no lo fuese a hacer, pero lo visto y escuchado, confor-
pués cuando salíamos, estaba más que claro. Pero man una realidad mucho más espeluznante de lo que uno supo-
comencemos por el principio. Cómo funciona, qué ne.
tareas se llevan a cabo, qué se detecta y cómo El Crimeware es una realidad y para defenderse no alcanza con
interactúa con el resto de la industria y con la la tecnología que tengamos instalada en nuestros PCs, sino en
comunidad en general es lo que trataremos de
describir a continuación gracias a la entrevista
la responsabilidad de estar informados de esos riesgos y del
exclusiva que Luis Corrons, su director, le ofreció a buen funcionamiento de centros de investigación y desarrollo
Nex IT, en la visita, donde nos comenta que “El como Panda Labs.
malware ha cambiado, ya no busca epidemias
masivas y sonoras. Hoy el malware se orienta al
delito, lo que hace que quien delinque no desea
reconocimiento y fama como antes, ahora necesi-
tan trabajar en las sombras lo que hace mucho
más difícil detectar el malware”. Nuestra visita
estará llena de ejemplos de una realidad que
asusta, con casos que se pueden divulgar y otros
que no, ya que trabajando en conjunto con
Interpol, FBI, y Policías locales están en etapa de
investigación. (Ver recuadros aparte).
En un laboratorio sin tubos de ensayo, hay varias
cosas que saltan a la vista, mucha más gente tra-
bajando que la que esperábamos ver, cada uno
con dos pantallas, plasmas en las paredes reflejan-
do el estado mundial del malware, columnas
decoradas con los nombres de los más famosos
malwares, como para no olvidarse quién es el ene-
migo, relojes con las horas de varios puntos del de monitoreo mundial, de muestras que envían
planeta, pues en Panda Labs, no se duerme, y alar- Un sitio web ruso ofrece los clientes de todo el mundo, del intercambio de
mas visuales y auditivas que alertan al personal colecciones que se realizan con otras compañías
cuando la muestra analizada posee un grado de un kit de software espía de la industria y de foros de seguridad, desde hace
peligrosidad importante. El proceso de detección 2 años, las tecnologías TruPrevent desarrolladas
de malware comienza así:
llamado WebAttaker por por Panda Software se han constituido como la
Al laboratorio le llegan muestras desde varios orí- un costo de U$D 15.00.- principal fuente de detección de malware.
genes, a través de Honey Pots, que Panda Labs En promedio más de 300 muestras, entre gusanos,
hoy tiene en USA, China, Inglaterra, España, y pró- ofreciendo además servicio troyanos, spyware, phishing, pharming, adware,
ximamente en Latino América, siendo Argentina dialers, etc., llegan diariamente a Panda Labs, 100
uno de los candidatos a ello. A través de sistemas
de soporte técnico. de ellas serán catalogadas a lo largo del proceso

como malware. Luis Corrons nos comentaba “La El Phishing, es una técnica de engaño que lleva al robo de cuentas bancarias y contraseñas. El
percepción del público es que hay menos virus en último ataque detectado por PandaLabs ha sido dirigido a los clientes de la entidad bancaria
circulación y es exactamente al revés: en el ultimo SouthTrust. El mensaje de correo electrónico simula proceder de los responsables de seguridad
año y medio se ha detectado tanto malware como de SouthTrust, afirmando que, debido a ciertas comprobaciones de seguridad, es preciso que el
en los 14 años anteriores”. El proceso continúa en
usuario acceda a una página web e introduzca sus datos confidenciales.
el área de Monitoring, que es quien prioriza y pre-
para estadísticas y reportes. Como particularidad de este Phishing, se destaca que este ataque utiliza varios dominios de
A partir de allí, los Especialistas en Malware, reali- Internet para alojar las falsas páginas web, y que cada uno de ellos tiene asociadas varías direc-
zan lo que se llama procesos de Ingeniería Inversa ciones IP con distintas localizaciones geográficas.
y la Ejecución de archivos en ambientes cerrados, Además, y para mayor peligrosidad, el correo electró-
una de esas dos pantallas que posee cada espe- nico fraudulento hace uso de una función javascript
cialista corresponde a una red cerrada en la cual que falsea la dirección que el usuario ve en la barra
de su navegador, de manera que crea en todo
momento que la página que está viendo se encuen-
Hay troyanos preparados tra realmente en los servidores de SouthTrust, y que
para interceptar y robar se trata de una conexión segura.
información de más de 240
bancos de todo el mundo, se localizan e individualizan las mismas. Una vez
desarrollada la “firma” esta debe ser testeada, no
algunos locales sólo a los efectos de que detecte realmente el La herramienta gratuita
malware, sino también que sea único, es decir que
se conoce del primer al último bit, allí se “libera” el no haya ningún otro software o aplicativo que ActiveScan detecta en
malware y se analizan cada uno de los cambios pueda ser confundido con éste. Conjuntamente Argentina más de 2.000
producidos a cualquier nivel. A su vez, cuando se con la detección se deben verificar y desarrollar
requiere, cada especialista analiza el código las rutinas de Desinfección del Malware, sobre malwares conocidos por mes
assembler del malware, en forma minuciosa. Una todo para el malware que se instala dentro de
vez que se determina que el archivo analizado es otros programas para camuflarse. Pasados todos que están instalados en los
malware, se procede a generar los elementos de los controles se actualiza la base de datos de fir- computadores de este país.
Detección de dicho malware, lo que comúnmente mas y se envía a Calidad para que proceda a che-
se denomina archivo de firmas, para ésto es nece- quear el nuevo archivo de firmas completo resul-
sario identificar una o varias cadenas hexadeci- tante, antes de colocarlo en Internet a disposición por lo general delictivo.
males únicas, mediante procesos automatizados de los usuarios de todo el mundo. Quedan muchos temas por trasmitir, que fueron
El largo y complejo proceso que se debe repetir parte de la charla, por ejemplo, el cómo y por-
por cada uno de las más de 300 muestras diarias qué del nombre de los virus, las tentativas de
posee la mayor parte de sus pasos totalmente estandarización, de nombres términos y crite-
automatizados, con la utilización de software rios de clasificación, ejemplos como el COAST y
específico que también se desarrolla en el propio el ASC, cuál es la peligrosa realidad de las redes
departamento y que se va ajustando a las necesi- de Bots, quienes y cómo las manejan, el proble-
dades y vaivenes de una dinámica del malware ma del uso de técnicas de rootkits, nuevos vec-
que ha cambiado totalmente en los últimos tiem- tores de ataques, el Phishing y las estafas ban-
pos. Hoy en día no se busca infectar millones de carias detectadas y las aún no detectadas, la
Distribución del Malware detectado en el primer equipos, sino que se realizan ataques dirigidos, se explotación de vulnerabilidades, cifras, estadís-
cuatrimestre de 2006 desarrollan troyanos con un fin muy específico y ticas, casos, etc.
El 23 de Febrero de 2006, Panda Labs, recibe una permitiendo conexión remota http. Un servidor
muestra enviada por Truprevent desde Alemania, FTP que envía la información capturada y por últi-
de un archivo que se llamaba 1284.tmp. Los exper- mo una consola de administración.
tos de Panda Labs decubren referencias a varios La información obtenida por este troyano, contra-
sitios web así como un servidor FTP. Éste era el señas, de acceso a correos web, accesos a empre-
comienzo de una trama de Venta de Troyanos a sas de telecomunicaciones, líneas aéreas, servicios
Medida!, el archivo detectado era sólo uno de los postales, sitios de apuestas, y una lista innumera-
varios componentes que conformaban el troyano ble en esta nota, ocupaba 70,6 Mb, almacenada en
Briz A, y que era vendido personalizado con un más de 2000 archivos de texto, los usuarios com-
precio básico de U$D 990.-, de allí la gama de pre- prometidos fueron 1.486, en 90 países.
cios y funcionalidades ascendían hasta una versión Panda se contactó con RSA Security Ltd, trabajan-
con garantía de no ser detectado por ningún soft- do en conjunto lograron luego de muchas accio-
ware de seguridad. nes y contra-acciones que el sitio de venta de tro-
Este troyano estaba compuesto por una DLL, que janos sea levantado definitivamente. Antes de eso
se instala como BHO (Browser Helper Object) en algunas de las páginas que caían y subían en
sobre el IE y registra la información introducida determinado momento se pudo leer “Due to the
al navegador. pressure from China Bamboo Bear software, no
Otro componente funciona como servidor web more sales and development”
OPINIÓN
Cómo andamos
con esto de
la Seguridad
E
Ricardo D. Goldberger El 17 de mayo pasado se celebró por primera vez que se usa para cometer actividades ilícitas en el
el Día Internacional de Internet y las ciberespacio.
Periodista Científico
Telecomunicaciones, sancionado en diciembre Sigue diciendo el informe: "El nuevo panorama de
Especialista en Informática y Nuevas Tecnologías. del año pasado durante la Cumbre de la Sociedad las amenazas está dominado por amenazas como
Produce el newsletter electrónico T-knos.
de la Información que se hizo en Túnez. las redes bot, los códigos maliciosos modulares y
Acá en Argentina se festejó de distintas maneras los ataques dirigidos a las aplicaciones y naveg-
el Día Mundial de Internet, con cursos online, adores Web. Aunque las tendencias anteriores se
seminarios, transmisiones en Red, etc. Y algunas caracterizaban por ataques indiscriminados y rui-
empresas aprovecharon para publicar informes dosos, como las amenazas combinadas y los
acerca del estado actual de distintas cosas. Así, gusanos, actualmente los ataques son silenciosos,
por ejemplo, la firma comScore Networks difíciles de detectar y están dirigidos a un blanco
propagó un estudio acerca de la cantidad de per- específico. Los ataques tradicionales que fueron
sonas que navegan por Internet: "Unos 694 mil- diseñados para destruir la información han dado
lones de personas de más de 15 años en todo el paso a los ataques diseñados específicamente
mundo están ahora navegando en Internet, lo para robar información, generalmente por
cual representa cerca del 14% de la población razones económicas."
total de ese grupo etario", según el cable de AP.
La buena noticia es que esta vez el estudio se Entre los resultados, sobresalen:
tomó en todo el mundo, y los Estados Unidos ya - Las amenazas de los códigos maliciosos que
no son la única "potencia" internetiana: "Hoy, los podían revelar información confidencial aumen-
usuarios en Estados Unidos representan menos taron, al pasar de 74% durante el último periodo
del 25% de los consumidores de Internet en el del informe a 80%.
mundo, en comparación con los dos tercios de la - Los códigos maliciosos modulares representaron
audiencia global que representaban hace 10 el 88% de las muestras, frente al 77% en el perio-
años", dijo Peter Daboll, presidente de comScore do anterior.
Media Metrix. - Incremento del 51% con respecto al anterior
Según el informe, Estados Unidos sigue mante- periodo de ataques diarios de negación de servi-
niendo el primer lugar en el número de usuarios cio (DoS).
de Internet (152 millones), seguido por China (72 - Un descenso del 11% en relación con el anterior
millones), Japón (52 millones), Alemania (32 mil- periodo en computadoras infectadas con progra-
lones) y Gran Bretaña (30 millones). mas bot -una de las pocas variables positivas del
Bien, pero la idea no era hablar de este estudio en informe- y
particular, sino de otro que liberó, el mismo 17 de - China tuvo el segundo mayor incremento de
mayo Symantec, llamado Informe sobre las computadoras infectadas, un aumento del 37%,
Amenazas a la Seguridad en Internet. Cubre el que colocó a China en segundo lugar después de
periodo semestral que comprende del 1° de julio los Estados Unidos en esta categoría.
de 2005 al 31 de diciembre de 2005 e incluye un Éstos son algunos de los datos más importantes
análisis de los ataques a la red, un estudio de las que hemos rescatado de este informe.
vulnerabilidades conocidas, y destaca los códigos Me ha tocado recientemente discutir por radio, es
maliciosos y otros riesgos de seguridad. decir, públicamente y al aire, la famosa hipótesis,
En su introducción, el reporte afirma: "Esta edi- nunca descartada del todo, que dice que los pro-
ción del Informe sobre las amenazas a la seguri- ductores de malware son los mismos productores
dad en Internet de Symantec marca un aumento de software antimalware. No tengo ninguna evi-
destacable en las amenazas diseñadas para facili- dencia que me permita confirmar o descartar esa
tar el delito en el ciberespacio, actos delictivos que hipótesis -si bien desde el sentido común, no me
incorporan un componente informático o de parece muy factible- pero cuando uno mira estas
Internet y un incremento en el uso del "crime- cifras, estos resultados, viniendo además de quien
ware" o software delictivo, es decir un programa vienen, no puedo dejar de recordarla.

SEGURIDAD
La Seguridad de las
Aplicaciones y el Acceso
Desafíos
y Soluciones
Para mejorar y proteger su información corporativa y aplicaciones, cambien de ubicación o dispositivos, o pierdan
las empresas requieren de soluciones robustas y confiables, que conexión, el acceso “always-on” -o “siempre acti-
vo”- los reconecta automáticamente a sus docu-
les garanticen acceso seguro a todos los recursos necesarios.
mentos, sin interrumpir su trabajo. Además, para
poder conectarse a la red de la compañía, el scan-
Dime qué problema tienes... Por Christian Rovira ning de end-points asegura que los dispositivos
El aumento de la movilidad, la demanda de Sr. Sales Engineer Southern Cone de los usuarios permanezcan seguros.
mayor flexibilidad laboral y el incremento de Citrix Systems, Inc. La última versión, Access Gateway 4.2, combina
nuevos dispositivos, junto con los requerimien- las mejores características de IPSec y SSL VPNs,
tos específicos que estos fenómenos generan, con importantes resultados, entre los que se cuen-
exigen que los sistemas garanticen un acceso tan, por ejemplo, la instauración de un único
remoto seguro y confiable. punto de acceso seguro a cualquier aplicación o
A fin de hacer frente a este fenómeno, Citrix pro- recurso de IT, tanto data como voz; bajo costo total
pone su Plataforma de Acceso Citrix Smart de compra y mantenimiento; la mejor experiencia
Access™. Esta capacidad analiza cada escenario y Citrix trabaja junto con para el usuario y, además, refuerzo de la seguridad
de la información.
entrega un nivel de acceso acorde, sin comprom-
eter la seguridad, balanceando libertad del Esta versión incorpora Advanced Access Control,
usuario y control de IT. En otras palabras, según socios estratégicos del una opción de software que incrementa el control
quién sea el usuario y desde dónde se esté sobre cómo la información es accedida, y extiende
conectando, podrá ver las aplicaciones y docu-
mentos, pero no editarlos, editarlos pero no
prestigio mundial de el acceso a más dispositivos y usuarios. Con esta
solución, éste se convierte en un “dimmer switch”,
guardarlos localmente, o editar sin imprimir, o regulador, donde el nivel de acceso puede ser
entre otras opciones. De esta manera, provee Microsoft, IBM, HP, SAP y configurado para cualquier escenario y sus carac-
seguridad en cualquier ambiente con tecnología terísticas particulares.
El uso y administración de las claves constituye un
sense-and-respond, mejora la productividad, a la
vez que garantiza un ambiente de acceso total-
Dell, entre otros, para asunto de gran preocupación dentro de las com-
mente seguro. pañías. Para resolver esta situación, Citrix
Por otra parte, si nos referimos a VPNs y la necesi- continuar desarrollando Password Manager™ es la solución de Single
Sign-On (SSO) más segura para acceder a
dad de eliminar los riesgos informáticos inher-
entes al acceso, Citrix Access Gateway™ se presen- Windows, a la Web, Host y a distintas aplicaciones.
ta como una solución sólida y confiable. Gracias a soluciones más potentes Citrix Password Manager se integra con todas las
ésta, los usuarios remotos pueden conectarse a aplicaciones de manera simple y rápida, utilizan-
través de un cliente fácil de usar, con posibilidad
de descargarlo de Internet, disfrutando de la
y robustas con estándares do tecnología “no intrusiva” y sin necesidad de la
creación de script o modificación de las aplica-
experiencia de sentirse como si estuvieran frente ciones para su correcto funcionamiento.
a su escritorio de PC. En caso de que los usuarios de próxima generación. Su mecanismo consiste en que el usuario se

identifica sólo una vez con una única password Learning Engine que puede, automáticamente,
y esta solución automatiza el logon, aplicación Citrix es la elección de aprender el comportamiento de una aplicación y
de políticas y cambio de contraseñas, haciendo generar recomendaciones de políticas.
de la conexión a las aplicaciones una experien-
cia más sencilla, rápida y segura. Adicional-
180.000 compañías para La Seguridad desde el Diseño
mente, puede reducir los costos de Help Desk La visión de Citrix como compañía sobre el acceso
más de un 25%. proveer acceso seguro, a a través de Citrix Access Platform y su familia de
Ésta es la primera solución de Single Sign-On que productos, es posibilitar a las compañías entregar
permite a los usuarios resetear su password o
abrir su cuenta de Windows desde su PC. En
usuarios locales y remo- servicios de IT a cualquier usuario en cualquier
lugar, sin comprometer la seguridad corporativa.
puestos de trabajo compartidos, común en hospi- Este modelo es conocido como “seguro por diseño”,
tales, bancos, manufacturas y retails, Password tos, a aplicaciones denominación impulsada por la propia empresa. A
Manager 4 presenta Hot Desktop para permitir a través de este esquema se le permite a las organi-
los usuarios realizar logon/off en segundos. zaciones, de cualquier tamaño, tratar la seguridad
Gracias a Single Sign-On, se elimina la carga de cliente-servidor virtualiza- como una parte integral de su arquitectura.
tener que recordar, entrar y cambiar periódica- Para implementar una estrategia de acceso que con-
mente muchas contraseñas individuales, general-
mente con diferentes requerimientos de carac-
das. Además permite al temple todos los aspectos necesarios para obtener
una red segura, eficiente y un mejor desempeño de
teres, para poder acceder tanto a información los negocios, es necesario tener en cuenta algunos
como a aplicaciones. departamento de IT reali- conceptos íntimamente relacionados:
Esta solución, además, se integra con otros pro- Virtualización de Aplicaciones: Con la virtual-
ductos, tales como HP Select Identity, Courion
AccountCourier y IBM Tivoli Identity Manager, a fin
zar un deployment y ización de aplicaciones y la centralización de la
información, los datos nunca salen fuera del cen-
de hacer Single Sign-On totalmente transparente tro de cómputos, permitiendo a los usuarios
para el usuario. Este nuevo lanzamiento también administración de las conectarse desde cualquier lugar, interna o exter-
cuenta con identificación criptográfica para namente. La virtualización consigue esto extendi-
garantizar la integridad de la configuración y endo la seguridad de la red corporativa, evitando
políticas para resguardarse contra vulnerabili- aplicaciones corporativas la instalación de las aplicaciones en dispositivos
dades y phishing. clientes, haciendo más sencillo proteger la infor-
En pocas palabras, Password Manager cambia,
fundamentalmente, el típico acercamiento a la
a la vez que proporciona mación en los confines del data center.
Acceso Remoto Seguro: Permite a los empleados
administración de múltiples contraseñas, trabajar desde su hogar, garantizando acceso
trasladando esta importante responsabilidad a un acceso seguro y on- seguro a partners y consultores. Contar con recur-
manos del departamento de IT. sos tercerizados y offshore puede ser dificultoso, o
Adicionalmente a crear una plataforma de Acceso
Seguro se requiere proteger las aplicaciones Web
demand a estos recursos, simplemente imposible, sin un acceso remoto
seguro y confiable.
sin degradar el rendimiento o el tiempo de Control de Acceso: Los administradores pueden
respuesta de las mismas, Citrix® NetScaler® con el costo de propiedad configurar políticas end-to-end para dictaminar
Application Firewall está especialmente diseñada controles según cada escenario. Estas políticas de
para llevar la seguridad a otro nivel. Con este pro- acceso granular pueden tomar en cuenta usuar-
ducto se detienen ataques que evaden firewalls de (TCO) más bajo, la mayor ios, grupos, tipos de dispositivos, networks y
networks y dispositivos de IPS, además de proveer seguridad de los end-points.
protección contra el robo de identidad aseguran-
do información corporativa confidencial y data
seguridad y la mejor per- Administración de Autenticaciones: La Plataforma
de Acceso protege, controla y refuerza la autenti-
sensible de clientes. Esta solución, adicionalmente, cación de usuarios para asegurar los recursos de
cuenta con la tercera generación de Adaptive formance y escalabilidad. las compañías.

Seguridad del End-point: En asociación con ciones, incluso sobre conexiones Web y Wireless.
líderes de la industria, desde Microsoft a Además, dado la poca demanda de ancho de
Symantec, la Plataforma de Acceso de Citrix opti- banda de sus soulciones, su performance es simi-
miza innovadoras soluciones de end-point, cen- lar a la de un software corriendo localmente.
tralizando la garantía de que sean seguros antes Sólida Seguridad: Las soluciones de Citrix son
Actualmente, más del de permitir el acceso. “seguras por diseño”, lo que significa que la seguri-
Exhaustivo Reporte y Auditoría: Los requisitos de dad está incorporada al desarrollo, no agregada
75% de los ataques de auditoría implican acompañar el ciclo completo de
la información, desde la interacción con end-points
posteriormente. Citrix Presentation Server
refuerza la seguridad manteniendo las aplica-
hasta con el data center. Para cumplir con estos ciones y data en el server detrás del firewall, en
hackers apuntan a las vul- requerimientos, los productos de Citrix soportan vez de exponerla en el desktop. La menor canti-
estos procesos para optimizar los negocios. dad de data que viaja entre el servidor y el cliente
es encriptada, y los administradores pueden con-
nerabilidades de las apli- Acceso Instantáneo a las Aplicaciones Cliente
Servidor a través de la Organización: Citrix trolar centralmente el acceso en el rol del usuario.
Presentation Server hace más sencillo proveer Acceso más Flexible: Presentation Server hace más
caciones. En esta coyun- acceso a los usuarios, incluyendo empleados sencillo para los empleados conectarse vía Web,
desde su hogar u oficina temporal, a un server de
locales y remotos, sucursales, partners y provee-
dores. Con su modelo centralizado, Presentation backup y aplicaciones que necesiten para seguir
tura, la necesidad de Server permite al departamento IT implementar y generando ingresos.
hacer un deploy de aplicaciones como CRM, SFA y Costo más bajo: Las poderosas herramientas de
implementar soluciones ERP más rápidamente que si tuvieran que ser
instaladas y configuradas en cada PC.
administración ayudan al departamento de IT a
aumentar la eficiencia y reducir costos. Desde el
data center, el staff de IT puede administrar apli-
de Application Security se Consideraciones Finales caciones, dar soporte y entrenar usuarios remo-
sobre el Acceso y la Seguridad tos, además de monitorear y reportar el sistema
completo. En vez de utilizar tiempo y dinero via-
incrementa significativa- En todas compañías, de cualquier mercado y
tamaño, contar con soluciones sólidas y específicas jando a distintos puntos, IT puede cumplir sus ta-
es cada vez más imprescindible, tanto para mejo- reas desde la misma consola de Citrix.
mente cada año. rar y proteger las aplicaciones e información cor- El Distribuidor de Citrix para Cono Sur, Licencias
OnLine, cuenta con una red de Partners
porativa, como para potenciar los negocios de las
organizaciones. Para Ésto, la Plataforma de Acceso Certificados para implementar proyectos de
de Citrix cuenta con importantes beneficios: infraestructura de acceso en la región. Para mayor
Mejor Performance: Citrix se destaca por la alta información, por favor comuníquese al 5166-5621
performance en la funcionalidad de las aplica- o escriba a citrix@licenciasonline.com.

SEGURIDAD
Protección
Anti-spyware
¿Existen empresas que utilizan
métodos “non-santos” de modo
de hacernos creer que “su”
producto es el único capaz
de detectar tal malware que
supuestamente tiene nuestra
Por Carlos Vaughn O´Connor máquina o peor aún que se
Senior Security Editor dedican a implantar malware
NEX IT Specialist para luego darnos la solución?
Existen muchos productos anti-spyware, cada uno máquinas están infectadas. Clickeando uno de
aduciendo poder detectar lo que otros no estos aparece la web-page de www.spyaxe.com.
detectan. Muchas veces, al igual que en el caso de La empresa dueña del dominio por supuesto
los virus nos preguntamos si no habrá un negocio niega relación alguna con estos incidentes!!!!
de ciertas empresas engañando sobre la existen- Nuevamente, este es un caso entre muchos.
cia de los mismos o peor aún introduciendo mal- Invitamos a conocer el blog de Mark donde inclu-
ware en nuestras máquinas para luego invitarnos so aparece una película con un ejemplo sobre todo
a usar su herramienta mágica. ésto, para el caso de SpySheriff otro ladronzuelo
Ésto es exactamente lo que plantea y corrobora del antispyware. NO deje de estudiarla.
Mark Russinovich en su blog http://www.sysinter-
nals.com/Blog/: “La conspiración Antispyware” Mark concluye su nota, indicando que ya algunos
Mark nos dice que uno de los modos más fiscales están actuando sobre estos casos y men-
comunes de engañar es cuando ciertas publici- ciona que estos casos lamentablemente generan
dades nos presentan banners o pop-ups que dudas sobre toda la industria. fig.3
parecen errores de Windows y nos indican tomar
una acción inmediata. En cualquier lugar que
toquemos de ese banner no lleva a un link como
el de www.myspwarecleaner.com. La página que
nos presenta es como mensaje de error del IE (
Internet Explorer) e induce al navegador a bajarse
e instalar “su” anti-spyware [Fig.1 y 2].
Mark bajó y probó la herramienta sobre una
fig.4
máquina con Windows XP recién instalado y sin
posibilidad de contaminación. El spyware detectó
una docena de infecciones “extreme risk” y “high
Acerca de Mark Russinovich
risk” que incluían varios cookies inofensivos deja-
dos por MSN.com y varios COM del sistema oper-
ativo. Todos los identificó como spyware [Fig.3].
Por supuesto para removerlos el usuario debería
pagar una registración. ¿Quién hace Spyware
Cleaner? No aparece en la web-page pero corrien-
do el Whois Mark finalmente encontró su dueño:
Gary Preston de Secure Computer LLC!!!!!.
Éste no es un caso aislado y aún más, desafortu-
nadamente hay quienes infectan máquinas para
Mark Russinovich es ingeniero en software y
luego a través de un chantaje logran que se les
escritor. Escribe en forma regular en la prestigio-
compre el anti-spyware.
sa revista “Windows IT Pro” fundamentalmente
Mark nos narra el caso “Spyaxe” una de las infec-
sobre la arquitectura de Windows. Es autor de
ciones que más se discuten en los foros de
muchas herramientas populares usadas desde
Sysinternals. El malware continuamente muestra
Windows NT hasta 2003 Server. Es un experto en
pop-ups (como en la figura 4) diciendo a los
fig.2 Windows y un MVP de Microsoft.
usuarios que Windows ha detectado que sus
Mucho de su trabajo lo realizó con David
Solomon y puede apreciarse en su webpage
http://www.sysinternals.com/ dotada de innu-
merables herramientas freeware muy útiles. La
parte comercial de su trabajo la realiza en
fig.1 Winternals Software.

SEGURIDAD
P
Permítanme que comencemos con esta frase tri- nerables. Ya lo dejo claro el Martín Fierro, con eso ground se entere inmediatamente, pero sí que
llada pero no por eso menos cierta, sobre todo que "Los hermanos sean unidos, / Porque esa es la otros puedan protegerse a tiempo, que se puedan
cuando hablamos de un profesional de Seguridad ley primera; / Tengan unión verdadera / En cualquier generar métricas -punto fundamental para tomar
de la Información. tiempo que sea, / Porque si entre ellos pelean / Los decisiones informadas y no usando el famoso
En general, quienes trabajamos en IT no solemos devoran los de ajuera.". Nunca la metáfora fue más método de los cinco dígitos oscilantes-, adoptar
ser la más comunicativa del mundo. Desde un precisa que en nuestro caso. medidas legales, recibir ayuda de quienes ya
principio aprendimos que en nuestra industria el La matemática no está de nuestro lado. La canti- padecieron lo mismo y otras tantas cosas. Por
conocimiento es poder, y cuanto menos tengan dad de recursos, tanto económicos como de tiem- supuesto, no es cuestión de andar ventilando a los
los demás, mejor es para nosotros. po que dispone el área de seguridad son, siendo cuatro vientos nuestras debilidades, pero si hay
Quizá los primeros que lograron superar este generoso, muy limitados. Si medimos estos recur- algo que se esta haciendo cada vez más patente,
paradigma fueron los desarrolladores. A medida sos contra los que tienen el universo de adversa- es la necesidad de puntos de contacto con otros
que los proyectos crecieron, tuvieron que apren- rios potenciales, es fácil darse cuenta que estamos miembros del sector, que comparten nuestra pro-
der a convivir entre sí, trabajar en grupos y con el en desventaja. blemática y con los que podemos relacionarnos y
tiempo, descubrieron que colaborando se podía Para complicar aún más el problema, tenemos la enriquecernos mutuamente.
llegar más lejos y más rápido. asimetría básica de la seguridad: el (o los) encar- No importa si es un tema de seguridad de red, de
Compartiendo ideas, problemas, soluciones, y gado de seguridad tiene como misión cubrir desarrollo, de actualización de parches, de concien-
finalmente código y componentes, llegaron a evo- todos los problemas potenciales de seguridad tización de usuarios o de seguridad física de los
lucionar en una verdadera comunidad. Así, no creo existentes y los que aparecen cada día, mientras archivos. Si tiene información -y qué no tiene infor-
que exista mucha duda que hoy en día, no hay otra que cualquiera de nuestros atacantes -internos y mación hoy en día- es de nuestra incumbencia.
área de IT que haya desarrollado una conciencia de externos-, sólo necesitan encontrar una única vul- Y, por si todas estas incumbencias no bastaran, el
la importancia de la comunidad como ésta. nerabilidad para hacer destrozos. rol de seguridad ya no es uno solamente técnico,
Probablemente el polo opuesto sea ocupado por la Tanto por una cuestión de imagen de nuestras com- sino que se ha expandido para abarcar desde
gente de seguridad de la información. En parte por pañías, como por no exponernos aún más, entre aspectos de management -la seguridad como
naturaleza -por algo se termina trabajando en ésto- tantas otras razones, optamos por hacer mutis por soporte y en función del negocio, no al revés- y de
, en parte porque nuestras tareas nos enseñan a ser el foro respecto de los inconvenientes sufridos. capacitación de personal hasta aspectos legales,
reservados, la realidad es que la gente de seguridad Flaco favor nos hacemos. Que nosotros dejemos edilicios y de seguridad física. ¿No lo creen? Piensen
está sola. Y estar solos en esta posición nos hace vul- de reportar problemas, no evita que el under- en un centro de cómputos debajo de un baño, en

No es bueno
que el hombre
esté solo.
Una mirada rápida sobre la problemática Por Lic. Nicolás Mautner
Licenciado en Sistemas
que determina la necesidad de una verda- CISSP Certified
dera comunidad de seguridad de la infor-
mación, y un breve resumen de las inicia-
tivas disponibles en la actualidad, en las
cuales participar.
una planta baja vidriada o en un subsuelo. estándares y creíbles de acreditación de conoci- Para responder a estas situaciones, lentamente en
Ésto nos lleva a otro problema que podemos ver mientos), toman aún más importancia las certifi- el país y en la región se están dando los primeros
frecuentemente. En la mayor parte de las áreas de caciones profesionales. pasos, por medio de diferentes tipos de iniciativas,
la industria, los roles y funciones que cumplen los Cada vez son más las empresas que consideran las cuales, cada cual a su modo, intentan crear
profesionales son claros. A nadie se le ocurriría estas certificaciones un plus importante a la hora espacios válidos y necesarios para que los profe-
pedirle a un Administrador de Red que desarrolle de seleccionar su personal, aunque su variedad sionales de Seguridad de la Información puedan
una aplicación contable, ni a un programador VB (desde lo completamente generalista hasta lo conectarse y convertirse de un grupo de gente
que configure un servidor de mail en Linux. absolutamente específico, y desde lo independien- que trabaja en lo mismo, a una comunidad de pro-
En Seguridad de la Información ésto no sucede. te hasta las certificaciones de empresas proveedo- fesionales y practicantes integrada y participativa.
Las búsquedas de personal de InfoSec son, en el ras-caso CISCO, Symantec y muchas otras-), unido a Sin ánimos de hacer listas exhaustivas, sino de
mejor de los casos, confusas. No es una práctica una falta de conocimiento cabal de los alcances de comentar sobre lo que conozco, son dignas de
habitual relevar para los recursos de seguridad las cada una, hace que no siempre elijamos la que más mencionar:
tareas de cada rol, los roles que pueden cumplirse se adapte a nuestra experiencia o necesidades.
en cada puesto y en armar una matriz de incom- Es aconsejable, antes de elegir una certificación ADACSI
patibilidades relacionada, de forma tal de no bus- (que suelen ser bastante caros e insumir una nada Es la Asociación de Auditoría y Control de Sistemas
car a "alguien de seguridad", sino a un profesional despreciable cantidad de tiempo y esfuerzo) de la Información. Es el capítulo local de la interna-
con experiencia en el perfil deseado. tomarse un tiempo para evaluar cuales hay en el cional ISACA, y está integrado principalmente por
Finalmente, creo que uno de los aspectos más com- mercado, que tan reputadas y buscadas son en el auditores de sistemas. Internacionalmente, fue
plejos relacionados con el área es la capacitación. mercado al que apuntemos (local, regional, o creada en 1976 y cuentan con más de 50.000
La oferta a nivel terciario, de grado y postgrado, internacional) y que costo/beneficio traería a miembros. Tienen una intensa actividad académi-
además de francamente escasa, es poco conocida nuestro desarrollo profesional. Si bien un análisis ca en forma de cursos a lo largo de todo el año.
- ¿Cómo esperamos tener gente capacitada si en de la oferta en materia de certificaciones de segu-
la mayor parte de las carreras relacionadas las ridad excede ampliamente el objeto del presente ASIS International
materias de seguridad de la información no exis- artículo, existen en la Web numerosas fuentes de Es una asociación internacional de profesionales
ten o, en el mejor de los casos, son optativas? -. información al respecto. A quien le interese, un de seguridad. Está formada por profesionales con
Justamente por esta falta de opciones de capaci- buen punto de inicio es www.issa.org/certifica- al menos una década de experiencia en dirección
tación (y por lo tanto de formas más o menos tions.html de seguridad y dicta anualmente el curso de pre-

paración para la prestigiosa certificación CPP. Además, el CASI genera, a lo largo del año, papers de hacer nuestro trabajo entre diversas organiza-
Originada en 1955, tienen globalmente más de y material respecto a temas claves que afectan a ciones es, en el mejor de los casos, poco estimu-
33.000 miembros, y se enfoca en la dirección de los diferentes aspectos del gerenciamiento de lante. Es mucho más significativo, para el indivi-
seguridad como un todo, incluyendo profesionales InfoSec. El ingreso al CASI se realiza por votación duo y para la comunidad -al menos inicialmente-,
de todas las ramas, como ser personal de agencias de los miembros. elegir un grupo y trabajar en él a conciencia, que
de seguridad, abogados y arquitectos entre otros. pertenecer a varios, ser oyente en todos y no apor-
ASIAR es una asociación creada en 2005 por pro- SEGURINFO tar a ninguno.
fesionales que trabajan en el área de seguridad Creada en 2004, es nada menos que el grupo de Como es de esperar, cada vez más, casi todos estos
de la información, el ingreso a ASIAR es por pos- seguridad de la ya antológica USUARIA. Desde su grupos interactúan entre sí, tratando de comple-
tulación con CV y su posterior escrutinio por fundación, con un importante énfasis en su comi- mentar sus capacidades y habilidades, y así evitar
parte de un comité. té académico, SEGURINFO organiza anualmente el duplicar esfuerzos. Aunque cada uno tenga una
congreso de seguridad homónimo. visión un poco más orientada a uno u otro tema
CASI (Consejo Argentino en particular, sus objetivos son comunes y la
de Seguridad de la Información) ISSA Argentina comunidad de seguridad es una sola y no tan
Es una iniciativa que organizó Microsoft hacia Establecida en 2004, es el capítulo local de ISSA extensa. La práctica viene demostrando hace
fines del 2004, con el fin de generar un espacio de (Information Systems Security Association) y está tiempo que cuando un grupo intenta sesgarse de
discusión entre los responsables de seguridad de formada por profesionales y practicantes de la los demás, más que una posición de elitismo con-
empresas de gran envergadura, en diferentes seguridad de la información. Busca promover el sigue una de ostracismo.
industrias. Es de destacar que Microsoft no es uso de buenas prácticas que aseguren la confi- No importa donde elijamos pertenecer, es funda-
"dueño" de este consejo ni participa como miem- dencialidad, integridad y disponibilidad de la mental recordar que la participación de los miem-
bro del mismo, sino que es su impulsor y brinda información. Mundialmente, cuenta con más de bros es lo único que puede hacer subsistir a cual-
las facilidades para su continuidad de operación. 13.000 miembros formando 110 capítulos locales quier grupo de profesionales. No esperemos de la
en 24 países. comunidad nada que no estemos dispuestos a
Acerca del Lic. Nicolás Mautner La inscripción es abierta y realiza diversas activi- darle. Si no queremos invertir nuestro trabajo en
dades, desde grupos de investigación (awareness, ella, o tememos someternos a la evaluación de los
Nicolás Mautner es Licenciado en Sistemas egre- métricas, etc.) hasta actividades de capacitación demás -el problema con hacer es que todo lo que
sado de la Universidad CAECE, y se ha certificado tanto a nivel técnico como aspectos de gerencia- hacemos es siempre susceptible a la crítica y al
como CISSP. miento de la seguridad de la información. Sus escarnio-, no deberíamos pedirle que genere con-
Se ha desarrollado profesionalmente en varias objetivos son mantenerse como un referente tenidos de valor a nuestra profesión.
áreas diferentes de Tecnología y Sistemas, como independiente -no alineado a ningún interés A fin de cuentas, una asociación es útil en la medida
ser análisis y desarrollo de aplicaciones, dirección comercial- y agnóstico a cualquier producto, tec- en que sus miembros se beneficien de participar en
de proyectos, evaluación de tecnologías, y otros. nología o servicio, y colaborar con el desarrollo ella, tanto por su aporte como por el de sus pares.
En los últimos años ha trabajado como Auditor profesional de sus miembros. Bajo esta misma Dicho ésto, los invito a sumarse a una comuni-
de Sistemas y Consultor en Seguridad de la línea de independencia, ISSA no auspicia ninguna dad, a colaborar, descubrir las ventajas de ser
Información. certificación profesional en particular. parte de ella y ver como en seguridad como en
Es fundador y actual presidente del capítulo argen- tantos otros aspectos, no es bueno que el hom-
tino de ISSA, miembro del Consejo Argentino de ¿En cuál participar? bre este solo.
Seguridad de la Información y del comité acadé- En el fondo, la organización a la cual cada uno
decide favorecer con su participación -tengamos Para más información:
mico de SEGURINFO desde su creación.
ésto siempre en mente, una organización no nos ISSA: www.issa.org
Es profesor en la Universidad CAECE de
hace el favor de dejarnos participar, nosotros le ISSA Argentina: www.issaarba.org
Seguridad Informática, Taller de Seguridad
hacemos el favor de dedicarle nuestro tiempo y ASIS: www.asisonline.org
Informática I y II, y Seminario de Seguridad
capacidades- debería depender de la medida en ADACSI: www.adacsi.org.ar
Informática.
que coincidan los objetivos personales con los de SEGURINFO: www.segurinfo.org.ar
Ha dado conferencias en congresos y publicado
la entidad elegida. Dicen que el tiempo es tirano, y CASI: casi@casi-ba.com.ar
artículos relacionados con la materia.
la idea de repartir el poco que nos queda después ASIAR: info@asiar.org.ar
SEGURIDAD
NEX IT entrevistó a expertos locales de 3COM buscando

conocer más sobre TippingPoint y su relación
con las PYMEs y el mercado corporativo.
NEX: ¿Qué beneficios obtuvo 3Com con la compra NEX: ¿Dónde están ubicados sus laboratorios de fibra o combinación de ambas, hasta un máximo
de TippingPoint y cuándo se realiza? investigación? de 8 puertos (4 segmentos físicos).
R: La adquisición de TippingPoint se realiza en R: El laboratorio de investigación conocido como Adicionalmente a estas soluciones se incorpo-
Febrero del año 2005, luego de un amplio estudio “Threat Management Center” está ubicado en raron este año equipos como el TippingPoint
y búsqueda de empresas con un reconocido Austin, Texas. X505, que sobre la plataforma del IPS más chico,
desempeño en el mercado de Seguridad se suma principalmente las funcionalidades de
Informática, y principalmente que dispongan de NEX: ¿Qué ofrecen las soluciones de TippingPoint? Firewall, Concentrador VPN y Filtrado de
una solución diferencial como es un IPS (Sistema R: Se disponen de soluciones de appliance IPS con Contenido Web, entre otras.
de Prevención de Intrusos). los modelos TP50, TP200, TP400, TP1200, TP2400 y También se suma otro lanzamiento como el TP
Esta importante compra significó para 3Com la TP5000E; en donde el número hace referencia al M60, un IPS de 60Gb throughput del tipo chasis de
apertura y llegada a nuevos mercados, nuevas throughput total en megabits soportado por cada gran escalabilidad para el segmento Carrier Class.
oportunidades de hacer negocios, como también equipo y se presentan con interfaces de cobre y
ha generado despertar el interés de los encarga- NEX: ¿A qué mercado están dirigidas sus soluciones?
dos de seguridad de muchas de las más grandes R: Se ofrecen soluciones tanto para las PyMEs como
empresas de la región. TippingPoint es símbolo de IPS (Intrusion para las empresas de perfil Corporativo y Carriers.
Prevention System/Sistema de Prevencion Esta característica diferencial la tenemos dado el
NEX: ¿Qué nuevas soluciones técnicas propone esta de Intrusos). amplio abanico de equipos con el que contamos.
adquisición? 3Com es conocido por sus productos para
R: Principalmente TippingPoint propone un appli- infraestructura de redes. La compañía fue NEX: ¿Es posible ampliar más sobre las siguientes
ance Sistema de Prevención de Intrusos (IPS) de co-fundada en 1979 por Rober Metcalfe y características de las soluciones: Seguridad sobre
gran performance basados en ASICs. tiene su central en Marlborough, Massa- VoIP, Administración del bandwidth, Protección
Peer to Peer, Posibilidad de bloquear codigo mali-
chusetts. Su nombre proviene del foco
NEX: ¿Cuál es la historia de TippingPoint y su expert- cioso casi sin ningun tuning especial?
principal de la empresa: "Computers,
ise en Intrusion Prevention?
R: TippingPoint nació directamente con el desar- Communication and Compatibility". R: • Seguridad sobre VoIP
rollo propio de un IPS en el año 2001. A partir de Robert Metcalfe inventó Ethernet en Xerox La tecnología IPS de TippingPoint protege a las
allí tuvo en sostenido crecimiento a nivel de rev- PARC y subsecuentemente co-fundó 3Com redes contra los conocidos cyber-ataques o ame-
enue y market share en el mercado Americano en 1979. 3Com comenzó fabricando tarje- nazas de hoy, así como futuras vulnerabilidades
(USA/Canadá) y Europeo. tas Ethernet para la PCs IBM y un conjunto específicas de VoIP y amenazas que están comen-
A partir de la adquisición, el market share sigue de software y equipos orientados a las PCs zando a ser emergentes.
creciendo y conquistando mercados a los que de modo de poder compartir servicios Las implementaciones de VoIP enfrentan una va-
antes no podíamos llegar con ciertas soluciones. riedad de amenazas desde las diferentes capas de
sobre LANs usando el protocolo XNS.
Hoy no sólo tenemos la mejor solución de seguri- networking, así como desde diferentes áreas de
En enero de 2005, 3COM adquiere
dad sino también un completo portfolio de pro- confianza dentro de la red. Un atacante podría
ductos de excelente performance y precios más TippingPoint (www.tippingpoint.com) la comprometer un gateway VoIP, causar un ataque
que atractivos. En 3Com seguimos pensando en prestiogiosa firma especializada en IPS de Denegación de Servicio al sistema central (Call
soluciones que se adapten a las necesidades del (Intrusion Prevention System). Manager), explotar una vulnerabilidad en una
cliente y no al revés. implementación sobre el protocolo SIP o tratar de

escuchar llamadas a través de un TCP Hijacking,
UDP spoofing o manipulación de una aplicación.
La disponibilidad de los servicios VoIP dependen
Quién es
directamente de la disponibilidad de la
infraestructura IP donde éstos corren. Cualquier
Robert Metcalfe
ataque DDoS como ser SYN Floods o similar, que
comprometa los recursos de la red podría Robert "Bob" Metcalfe nació en Brooklyn, Nueva
impactar severamente en todas la comunica- York, en 1947. Desde pequeño tuvo un ávido
ciones VoIP. También gusanos o hosts zombies interés por la tecnología, que de grande lo llevó
escaneando servers vulnerables pueden causar a desarrollar el estándar de red más popular del
tráfico no intencional disminuyendo la disponibil- mundo, Ethernet. También fundó la empresa
idad de los servicios VoIP. 3Com y formuló la Ley de Metcalfe.
A nivel de aplicación VoIP existen distintos Metcalfe hizo sus estudios de grado en el MIT,
ataques que pueden interrumpir o manipular un donde se graduó en 1969 con los títulos de
servicio: Bachiller en Ingeniería Eléctrica y de Adminis-
Denial of Service: spoofeando su identidad, un ata- tración de Negocios (este último por la Sloan
cante puede causar un denial-of-service en una School of Management del MIT). Sólo un año
red VoIP basado en SIP, enviando un mensaje después, obtuvo la maestría en Matemáticas
“Cancel” o “Bye” a un integrante y terminar la lla- Aplicadas en la prestigiosa Universidad de popular en conectividad de redes LAN.
mada. Como SIP está basado en UDP, mandar un Harvard, para terminar sus estudios en 1973 En 1980 recibió el Premio Grace Murray Hopper
paquete spoof ICMP con el mensaje “port doctorándose en Ciencias de la Computación de la Association for Computing Machinery por
unreachable” a una llamada establecida puede con una tesis sobre conmutación de paquetes su trabajo en el desarrollo de redes locales, espe-
resultar un DoS. escrita mientras trabajaba en el Proyecto MAC cíficamente Ethernet.
Eavesdropping: un atacante con acceso local a la del MIT. En 1990 abandonó 3Com tras una disputa con la
red VoIP puede esnifear (olfatear) el tráfico de red Mientras finalizaba su doctorado en 1972 junta directiva. En ese tiempo logró que su
y descifrar una conversación de voz. Una he- Metcalfe comenzó a trabajar para Xerox en el empresa se convirtiese en una de las empresas
rramienta llamada VOMIT (Voice Over Misconfi- centro de desarrollo de Palo Alto (Xerox PARC), que aparecen en la lista de Fortune 500 y un refe-
gured Internet Telephones) puede ser bajada para donde conoció a D. R. Boggs. Metcalfe y Boggs rente en el área de conectividad. A día de hoy,
fácilmente realizar ese ataque. inventaron lo que llegó a conocerse como Metcalfe sigue presente en el mercado informá-
Call Hijacking: un intruso puede spoofear una Ethernet, la tecnología de área local que hoy se tico, tanto con sus ensayos como con sus charlas.
respuesta SIP, indicando al otro integrante que la utiliza para conectar a millones de computado- Gracias Robert Metcalfe. ¿Dónde estaríamos sin
llamada ha sido movida a una dirección SIP ras en todo el mundo. la invención de Ethernet? (Fuente Wikipedia)
“nueva”, y “secuestrar” la llamada. En 1979, Metcalfe abandonó
Mas allá de un firewall en cualquier infraestruc- Xerox para fundar 3Com en
tura IT de hoy, la tecnología de Prevención de Santa Clara (California).
Intrusión se volverá un componente requerido en Desde 3Com, Metcalfe trabajó
cualquier implementación VoIP. El IPS de para promover la conectividad
TippingPoint ofrece una única, total seguridad y entre PCs utilizando la tecnolo-
alta performance para proteger los desarrollos gía Ethernet. A pesar de no
VoIP. TippingPoint previene de inundaciones lograr la participación de IBM,
DDoS, virus, gusanos, buffer overflows, y muchos Metcalfe logró el apoyo de DEC,
otros ataques maliciosos contra la infraestructura Xerox e Intel, y logró imponer
IP y los servicios VoIP Ethernet como el estándar más
• Administration del bandwidth

Mediante la plataforma TippingPoint se permite
proteger y garantizar ancho de banda para aque- La ley de Metcalfe
llas aplicaciones críticas de cualquier empresa;
aplicando reglas como “rate limit”. La ley de Metcalfe dice que el valor de un sistema de comunica-
ciones aumenta proporcionalmente al cuadrado del número de
• Protección Peer-to-Peer usuarios del sistema (N²). Para ser más exactos y puesto que un
TippingPoint ofrece protección ante cualquier tráfi- usuario no se puede conectar consigo mismo, la fórmula real es:
co maligno que ingrese utilizando servicios P2P; así n(n – 1)
como también protege los recursos y disponibili-
dad de la red por el mal uso de herramientas P2P. 2
Formulada por primera vez por Robert Metcalfe en relación a
• Posibilidad de bloquear código malicioso con casi Ethernet, la ley de Metcalfe explica muchos de los efectos de red
ningún tuning especial de las tecnologías y redes de comunicación, como Internet o la
Ésto es posible por que toda la línea de productos World Wide Web. La ley suele ilustrarse con el ejemplo de apara-
ofrece el denominado “Recomended Settings”, por tos de fax: un único aparato de fax es inútil, pero el valor de cada
el cual el equipo viene pre-configurado de fábrica aparato de fax aumenta con el número total de faxes en la red
con filtros/firmas ya habilitados sobre las ame- puesto que el número total de personas que pueden enviar y
nazas más críticas conocidas hasta el momento recibir documentos crece. Ésto contrasta con los modelos tradi-
tanto a nivel aplicativo como de infraestructura; cionales de la Ley de la oferta y la demanda, donde si aumenta la
garantizando un mínimo tuning. cantidad de algo su valor disminuye. (Fuente Wikipedia)

Nota 4
SEGURIDAD
en LINUX
Tal y como dice el refrán, el ojo del dueño engorda
al ganado. Es así que nos enfrentamos a esta cuar-
ta nota de la serie, la cual tratará acerca de cómo
mantenernos al día con actualizaciones, y relevar
periódicamente el estado de nuestra red sin que Por Luis H. Otegui
esto suponga un suplicio.
Las prácticas sistemáticas de seguridad son las más
difíciles de mantener, dado que exigen algo más que
conocimientos. Nos exigen constancia, compromiso,
y mantener la mente abierta a nuevas ideas.
De 0 a 100
Normalmente, al encontrar una solución que nos per-
mita hacer las cosas de manera más fácil, la adopta-
remos de inmediato. Pero si no sabemos que existe
esa solución, difícilmente podamos probarla…
en 5 Notas
En esta cuarta nota, haremos un repaso por las tec-
nologías y soluciones disponibles a la hora de rea-
lizar monitoreos sistemáticos del estado de la red.

Panorama general básica de software necesario para comenzar a igualmente válida, y que les recomiendo mirar, es
Cuando hablamos de herramientas para siste- controlar de manera seria le desempeño de los OSSEC (6).
matizar las prácticas de seguridad, necesaria- servidores y la red incluye: Lo ideal, sería colocar un NIDS en cada host de la
mente debemos estandarizar la mayor cantidad - Un monitor de intrusiones basado en host (HIDS). DMZ, aunque con un FIDS que realice corridas
de procedimientos posibles. Las razones son - Un monitor de intrusiones basado en red (NIDS). periódicamente y nos informe sus resultados
varias. En primer lugar, la sistematización nos - Un monitor de tráfico. debería bastar.
permitirá realizar estas tareas de modo más efi- - Un monitor de estado de la red. - Monitores de intrusiones basados en red:
ciente -tanto más cuanto más grande sea la red - Un analizador de vulnerabilidades. El estándar de facto en ésta categoría es Snort.
a monitorear. Segundo, evitará que "pequemos - Un sistema de alertas (vía web, sms, etc.). Bien configurado, nos puede avisar a su frontend
por omisión", dejando de lado algún chequeo - Un analizador de logs, o un servidor de logs. web de los intentos de intrusión, port scannings, y
en la vorágine de pruebas a realizar. Y tercero, - Una suscripción a un buen servicio de alertas, o actividades anómalas varias, como ataques DDoS
nos permitirá uniformar la salida de los distin- CERT. y de otros estilos. Un hermanito menor de Snort es
tos procesos y, si tenemos suerte, unificar la OK, terminada nuestra primera check-list, pode- Bro (7) (¡¡Perdón por el juego de palabras!!). Aún
misma en alguna forma de informe. De esta mos ver qué oferta tenemos para cada ítem en el no es -según sus autores- tan potente y confiable
manera, podremos cumplir con la segunda mercado de software libre: como Snort. Sus resultados pueden ser interpreta-
parte de una auditoría de seguridad de manera - Monitores de intrusiones basados en hosts: dos y ¿Mejor? visualizados con la ayuda del fron-
mucho más eficiente. Acá las opciones más conocidas para tener un tend web The Spinning Cube (8), desarrollado ex
¿Cuál es la segunda parte? Aquella que involucra HIDS básico que trabaje de manera activa son profeso para la conferencia SC-03. Una tercera
tomar alguna medida respecto a las anomalías Portsentry (1), un detector de port scannings, o opción, que en primera aproximación luce intere-
y/o fallos desvelados por nuestra auditoría. Pero Snort (2), aunque en mi opinión, a éste último, sante, es My Net Watchman (9). Lo diferente de
primero, establezcamos un orden de prioridades. ésta categoría le queda chica. Como HIDS pasivos MNW es cómo trabaja. Nosotros instalamos un
podemos mencionar a Tripwire (3) o AIDE (4). Los agente sobre nuestro sistema, y el mismo analiza
La lista del súper llamamos pasivos porque sólo pueden avisarnos la salida de los logs del firewall, y comunica los
Como a la hora de hacer compras, deberemos, de una intrusión después de que ésta ocurrió (en incidentes a un servidor central. Luego, depen-
antes de salir, relevar qué tenemos en casa, y qué la jerga también se los llama FIDS, o Filesystem- diendo de la severidad del ataque, nos informa vía
nos hará falta incorporar. Luego, de la oferta exis- based Intrusión Detection Systems). Los HIDS acti- correo del incidente. La idea central detrás de éste
tente, podremos elegir con qué producto cubrire- vos nos avisan de un intento de intrusión mientras producto es poder tomar conciencia lo antes posi-
mos el faltante de nuestra despensa… éste ocurre. Tripwire y AIDE sólo se dan cuenta de ble de un problema a gran escala, no de ataques
Siempre pensando el monitoreo y el control cambios en el sistema de archivos, al igual que aislados a un host o red en particular.
desde hosts corriendo sistemas Linux, una lista Chkrootkit (5). Otra opción menos conocida, pero Lo ideal sería destinar una máquina a monitorear

El ojo
del Dueño...
la red mediante Snort, y colocar la misma como un bados, sea mediante Festival. A este respecto, reco- nativa es configurar como dirección de correo
gateway entre la línea de firewalls externos y el miendo el HOWTO de Israel Ochoa (15), muy sim- destinataria de las alertas la que en la mayoría de
interior de nuestra red. ple y descriptivo. las compañías de teléfonos celulares está asocia-
- Monitores de tráfico: Podemos instalar Nagios en algún host de la red da al propio número de teléfono. Lo más impor-
Acá la cosa es qué nos interesa monitorear, y qué interna, y configurarlo para que monitorice la tante al crear o montar un sistema de alertas es
nivel de invasión de la privacidad de nuestros misma, así como la DMZ. decidir qué queremos que nos avise, y cuándo (no
usuarios queremos vulnerar. Un muy potente ana- - Analizadores de vulnerabilidades: es muy agradable que nos despierte el teléfono a
lizador de tráfico de red en tiempo casi real es Hay quien dice que en éste apartado, con mencio- las tres de la mañana porque hay un posible port
Ntop (10). El mismo es capaz de individualizar el nar a Nessus (16) basta. Es hoy por hoy la solución scanning en progreso…).
tráfico de cada host, discriminarlo por tipo (mail, más activa a la hora de analizar los potenciales - Servidores de logs:
http, https, programas p2p, etc.), y presentarlo vía problemas en redes de muchos hosts, porque ade- Dependiendo del tamaño de nuestra red, nos
un frontend web que ya trae integrado. Nos infor- más de realizar distintas evaluaciones, nos informa puede resultar mucho más simple monitorear un
ma además y si queremos de los puertos y direc- de las posibles soluciones a las mismas. La comuni- solo servidor de logs antes que a cada host en par-
ciones de destino de cada conexión, aunque esto dad detrás de Nessus es muy activa, y renueva los ticular. Sysklogd, el servidor de logs por defecto
puede resultar bastante pesado para el host plugins que permiten detectar nuevas vulnerabili- en la mayoría de las distribuciones, soporta log-
donde lo corramos. Una opción más liviana es dades constantemente. La ventaja principal es que ging remoto por defecto. El único problema es
IPAudit (11), integrándolo con su frontend web integra los análisis realizados por muchas herra- que los datos se envían vía UDP, con lo cual pode-
IPaudit-web (12). El mismo corre como un script mientas en una sola interfaz, y que al trabajar por mos perder alguna transacción ante una coges-
que es levantado y muerto cada un cierto período definiciones, resulta fácil mantenerlo al día. Sin tión o caída de la red. La opción más recomenda-
de tiempo vía cron, y que al morir nos deja los embargo, si deseamos hacer las cosas a la antigua ble es Syslog-ng (20). El mismo trabaja cifrando
datos que colectó en un archivo. Este archivo es usanza, podemos caer en un set de herramientas las comunicaciones entre el cliente de logs y el
interpretado por su frontend, que nos muestra los como el descrito en http://www.l0t3k.org/secu- servidor, mediante conexiones TCP, con lo cual, nos
datos vía web. Es bastante potente, e intuitivo. rity/tools/vulnerabilityscanner/. Otras herramien- aseguramos de recibir todos los datos en el servi-
Su ubicación ideal sería en el mismo host que tas y guías para realizar pen-tests están disponi- dor, y además evitamos fugas de información por
monitorea el tráfico con Snort, o sea, detrás de los bles en http://www.owasp.org/index.jsp. Pero potenciales sniffers.
firewalls principales. insisto, la ventaja principal de Nessus es que nos Lo siguiente a pensar al instalar un servidor de logs
- Monitores de estado de red: permitirá sistematizar el análisis y la interpretación es cómo interpretaremos los datos que de él surjan.
Los monitores de estado de red más populares son de resultados. Leer los logs guardados a ojo no es una solución
Nagios (13) y el autóctono JFFNMS (14). Ambos Al igual que con Nagios y JFFNMS, nos convendrá muy sana para nuestra psiquis, así que en general
ofrecen la posibilidad de monitorear el estado de colocar Nessus en un host de la intranet. Para ana- deberemos caer en algún analizador de logs.
los distintos nodos de la red en tiempo real, no sólo lizar los hosts de la DMZ, lo más conveniente es Logwatch (21) es la utilidad que a éste respecto
para ver si siguen vivos, sino además en cuanto a su utilizar una distro como ASC (17). incluyen la mayoría de las distribuciones, y que
"salud" (uso de disco rígido, memoria, procesador, - Sistemas de alertas: básicamente recorre los logs del sistema en bús-
etc.) y a la de los servicios que brindan. Necesitan Lamentablemente, aquí no existe la solución uni- queda de irregularidades, o datos que encajen con
de la configuración de una comunidad SNMP para versal (excepto por el caso de Nagios, que ya inclu- un cierto patrón. Para analizar los logs del Squid
lograr ésto, pero tienen muy buenos tutoriales a ye esta capacidad). Deberemos customizar algún existen varias herramientas, desde la simple
disposición de quien desee probarlos. Nagios ofre- script como los de Danielle Duca (18) para la uti- Squidview (22), pasando por Webalizer (incluido
ce además la posibilidad de enviarnos alertas vía lidad mon (19), si es que deseamos alertas vía en muchas distribuciones), hasta llegar a
SMS, interactuar con él con una interfaz WAP, o que SMS. Las alertas vía mail son fácilmente configura- Squeezer2 (23), un script que genera reportes de
nos avise con mensajes verbales, sean éstos pregra- bles en la mayoría de las aplicaciones. Otra alter- uso de eficiencia, por usuario, etc. Otra opción avan-

zada, pero muy recomendable, así como en los servidores de correo). De nuevo, encuentren en condiciones lo más similares posibles
es Modlogan (24). Modlogan las actualizaciones automáticas deben ser mane- a su operación normal, pero que no tengamos inter-
también es capaz de analizar los jadas con mucho cuidado, ya que nos podrían trae ferencias por tráfico. De esta manera, podremos lle-
logs de Apache, así como de varios ser- más de un dolor de cabeza, al modificar la confi- var a cabo la tarea más eficientemente. Es por ésto
vidores FTP. El único problema es que ya no es man- guración de algún servicio esencial. que lo ideal sería agendar estos relevamientos para
tenido, si bien mucha gente lo sigue usando. Una pastilla sobre la organización de la intranet: si fines de semana o feriados. Un intervalo menor
Webalizer mismo nos puede servir para analizar el bien nos llevará más trabajo, no confiemos la asig- deberían tener los relevamientos referentes a los
tráfico de Apache, generando reportes de utiliza- nación de direcciones IP a un servicio dinámico, hosts de la intranet, pero a éstos los podremos reali-
ción bastante detallados. Una opción más simple como DHCP. De esta manera evitaremos posibles zar en forma pasiva, es decir analizando la salida de
es AWStats (25), que además puede analizar la intrusiones por asignación de direcciones a hosts los monitores de red y NIDS. Para poner las cosas en
salida de servidores de correo y FTP. La única no deseados. Si es necesario manejar un pool de claro, digamos que una vez por semana analizamos
macana es que no es capaz de generar alertas. Y al direcciones dinámicamente, coloquémoslas críticamente las salidas de los NIDS y monitores de
ser un script CGI, es necesario tratar con cuidado detrás de un Proxy bien monitoreado, y con capa- red sobre los hosts de la intranet, una vez por mes
los permisos con los que se instala y trabaja. cidades limitadas a la hora de comunicarse. auditamos las vulnerabilidades de los servidores de
- Suscripción a un servicio de alertas: A la hora de configurar el servidor de correo -y no la DMZ, y una vez cada dos meses realizamos un
Un CERT, o Computer Emergency Response Team, a manera de cortesía como mucha gente piensa- mantenimiento general de la DMZ y de los firewalls,
es un equipo (usualmente de alguna universidad o configuremos las direcciones postmaster@nues- actualizando software si es necesario.
de alguna institución gubernamental) que se trodomino y abuse@nuestrodominio. Nos permi- Desde luego, ante un aviso de amenaza o vulnera-
dedica a colectar y analizar vulnerabilidades de tirán identificar alguna práctica de abuso de bilidad de riesgo alto que recibamos desde un
sistemas operativos y aplicaciones. Usualmente correo que no hayamos advertido, originada en CERT, deberemos tomar las medidas necesarias.
publican además una lista actualizada con las un posible zombie alojado en nuestra intranet, Para la gerencia o administración puede resultar
amenazas más activas, y brindan un servicio de por ejemplo. Y además, le haremos la vida más chocante, pero a veces será prudente sacar de pro-
alertas vía correo electrónico o RSS que se expide fácil a los administradores de otras redes. ducción un servidor que no tiene parche para una
diariamente. Por lo general podremos configurar Luego, concentrémonos en cómo centralizar las aler- vulnerabilidad hasta que éste sea liberado. Es
el canal de información que deseamos recibir, para tas de los distintos monitores, en lo posible sobre un necesario hacerles entender ésto, porque el com-
poder acotar la cantidad de alertas que recibimos. solo host. Y por último, en función de los análisis que promiso de los datos contenidos en él podría
Los más recomendables son el de la Universidad obtengamos de los distintos hosts, comencemos a traernos consecuencias mayores…
Carnegie Mellon (26), el de RedIris (27) en España, ajustar las configuraciones de los servidores Proxy,
y localmente tenemos ArCERT (28). Como consejo firewalls y NIDS para mejorar el desempeño de la Conclusiones
personal, no se pongan golosos a al hora de suscri- red, y la utilización del ancho de banda. A simple vista, la parte más pesada de implemen-
birse a un CERT. Comiencen con un par de listas de Una vez que creamos que tenemos el panorama tar un esquema de seguridad de manera respon-
distribución, y luego, si ven que todo va bien, asó- más o menos dominado (escribí creamos a propó- sable reside en la palabra "implementar". Pero,
ciense a otras. El volumen de datos brindado por sito), deberemos consensuar con los usuarios y/o seamos realistas, pese a los problemas la instala-
cada una puede ser inmanejable, y más temprano personal administrativo un esquema de interva- ción y configuración nos resultará la parte más
que antes los terminará aburriendo… los de mantenimiento. Dichos intervalos de man- entretenida. Es así que lo que con el tiempo se nos
tenimiento deberían basarse en varios ciclos hará más pesado es lo representado por la palabra
Del papel a la realidad superpuestos. "responsable". La responsabilidad y el compromi-
El siguiente paso consiste en evaluar qué vamos a so que tengamos con los esquemas de auditoria y
instalar, y dónde. Lo ideal es realizar un releva- Looping the loop mantenimiento serán determinantes a la hora de
miento de la red como expliqué en notas anterio- Los ciclos de mantenimiento se estructuran en fun- tener que lidiar con un problema real. Cuanto más
res, y luego plantearnos las ubicaciones de los dis- ción de la importancia del equipamiento a mante- preparados estemos, más fácil nos será sobrelle-
tintos servicios y monitores a instalar. Una vez ner, de la exposición de los mismos al resto del var un ataque o un problema en nuestra red…
configurados los hosts e instalados los programas, mundo, y de la frecuencia con la que se liberen La nota siguiente estará dedicada a aquello que
lo más conveniente será comenzar con un análisis actualizaciones para el software instalado en ellos. más tememos, es decir, cómo lidiar con una intru-
de vulnerabilidades vía Nessus. Con el reporte Pero en lo que hace a mantenimiento preventivo, sión. Nos podrá molestar, es cierto, pero tendre-
brindado por ésta aplicación ya tendremos bas- deberemos realizar una agenda independiente de la mos que seguir viviendo, tratar de contener
tante para trabajar, así que tomémonos las cosas de mantenimiento necesario. Dentro de ésta agenda daños, y devolver el o los sistemas comprometi-
con calma. Comencemos por solucionar los fallos incluiremos las auditorias y relevamientos de vulne- dos a producción lo antes posible. Es así que, de
encontrados en los servidores y firewalls de rabilidades de los distintos hosts en la red. Para reali- nuevo, cuanto más previsores seamos, mejor sal-
borde. Hay que tener mucho cuidado con las zarlos, es conveniente que los sistemas a analizar se dremos de estas situaciones.
actualizaciones automáticas en el caso de los ser-
vidores. Lo ideal sería basar las distintas instala- Referencias:
ciones en una misma distribución, y en una misma 1- http://sourceforge.net/projects/sentrytools/ 15- http://nagios.linuxbaja.org/
release de esa distribución. Esto nos permitiría 2- http://www.snort.org 16- http://www.nessus.org
3- http://sourceforge.net/projects/tripwire 17- http://www.remote-exploit.org/index.php/
montar además un servidor de testing, donde 4- http://www.cs.tut.fi/~rammer/aide.html Auditor_main
probar las actualizaciones antes de volcarlas en 5- http://www.chkrootkit.org/ 18- http://www.danieleduca.it/smsmon.php
masa a los servidores de producción. Ahora bien, 6- http://www.ossec.net/ 19- http://www.kernel.org/software/mon/
esto sólo será posible si estamos instalando por 7- http://bro-ids.org/ 20- http://www.balabit.com/products/syslog_ng/
8- http://www.nersc.gov/nusers/security/ 21- http://www.logwatch.org/
primera vez, o sino planteamos una renovación a TheSpinning-Cube.php 22- http://www.rillion.net/squidview/
fondo de la infraestructura, Pero en general, debe- 9- http://www.mynetwatchman.com/ 23- http://www.rraz.net/squeezer2/
remos lidiar con tener más de una distribución y 10- http://www.ntop.org 24- http://modlogan.org/
11- http://www.sp.uconn.edu/~jrifkin/ipaudit/ 25- http://awstats.sourceforge.net/
más de una versión de cada distro instalada. 12- http://ipaudit.sourceforge.net/ipaudit-web/ 26- http://www.cert.org/
Luego, sigamos con los hosts de la intranet (de 13- http://www.nagios.org 27- http://www.rediris.es/cert/
más está decir que es necesario contar con una 14- http://www.jffnms.org/ 28- http://www.arcert.gov.ar/
solución antivirus para las estaciones de trabajo,

IMPOSIBLE NO CONOCER Foundstone
HACKME BANK™ V2.0
Hackme Bank™ está diseñado para enseñar a los desarrolladores de aplicacio-
Las empresas de cierta envergadura realizan adquisiciones de otras empresas. Se dice “dime nes, programadores y profesionales de la seguridad como crear software segu-
ro. Hackme Bank es una aplicación bancaria online similar a la que se encuentra
a quién ha adquirido y te diré quién es”. en el “mundo real” y basada en web services. Ésta fue construida con un núme-
ro de vulnerabilidades conocidas y comunes. Ésto les permite a los usuarios rea-
Foundstone Inc. es una de las empresas de seguridad informática de más prestigio existen- lizar exploits verdaderos contra una aplicación web y por tanto aprender temas
específicos y como mejor arreglarlos. Los web services expuestos en Hackme
tes. Mc Affee en el 2003 adquirió Foundstone que hoy forma parte de ella. Invitamos a cono-
Bank son usados por otras aplicaciones ofrecidas por Foundstone en “Free
cer foundstone y la gran cantidad de white papers y herramientas gratuitas que ofrecen al Tools” incluyendo “Hackme Book” y “Hackme Travel”.
profesional de seguridad informática. Como ejemplo podrán ver en este artículo la herra-
mienta “Hackme Bank” y algunos de libros cuyos autores trabajan en Foundstone. Requirimientos
Hackme Bank™ v2.0
Windows .NET Framework v1.1
Seguramente todos reconocerán “Hacking Exposed”. Stuart McClure es su co-autor y co-fun- Microsoft IIS
Copyright 2004-2006 (c)
dador de Foundstone. by McAfee, Inc.
MSDE or Microsoft SQL Server 2000
http://www.foundstone.com
Microsoft Internet Explorer 6.0
LIBROS DE FOUNDSTONE SEGURIDAD INFORMÁTICA EN LAS EMPRESAS ARGENTINA

Foundstone es la fuente de conocimien-
tos líder en seguridad de redes, y ha NEX IT Specialist consultó a Daniel Astudillo Vivar,
escrito “el libro” sobre los últimos méto- Gerente de Ingeniería de Preventas Cono Sur, McAfee,
dos de protección. Inc. sobre la situación e importancia de la seguridad
Contando con el más calificado conjunto informática en las empresas argentinas.
de talentos en seguridad jamás reunido,
incluyendo a expertos de la industria de NEX: ¿Qué nivel de importancia asignan las importancia a la necesidad de invertir en seguridad que los pudiesen afectar, y princi-
seguridad IT, los autores de Foundstone empresas nacionales al tema de la seguri- seguridad informática, principalmente por palmente al interior de las mismas, ya que
proveen los libros de referencia más dad informática? que la gerencia ha entendido la problemá- estadísticamente la gran mayoría de los
ampliamente consultados en la industria DAV: En la actualidad la seguridad infor- tica. Constantemente evalúan las solucio- incidentes reportados fueron cometidos
mática juega un rol importantísimo en las nes que están disponibles en el mercado y dentro de las corporaciones.
de la seguridad.
empresas nacionales, ya que cada día se eligen la que mejor relación protección v/s La seguridad informática es muy importan-
desarrollan e incorporan procesos del precio puedan adquirir. Al mismo tiempo te si está relacionada directamente al nego-
1) “Hacking Exposed: negocio que van de la mano con la tecno- se han dedicado a realizar auditorías de cio de la empresa, y al proteger la inversión
Network Security Secrets logía informática. Sin dudas es una preocu- seguridad y evaluaciones de riesgo opera- informática estamos menos expuestos a
pación que la gran mayoría de los adminis- cional no sólo a los activos informáticos, si que la continuidad operacional se vea afec-
& Solutions”,
tradores de seguridad tienen en cuenta, no que abarcando el contexto global de la tada. Si la empresa es afectada por inciden-
Osborne/McGraw-Hill. por lo que aplican medidas de control para operación del negocio. No obstante lo tes de seguridad (fuga, borrado, cambios y
(2005) por Stuart mitigar las amenazas presentes con dife- anterior, creo que no se ha hecho lo sufi- no disponibilidad de la información) se verá
McClure, Joel Scambray, rentes políticas y herramientas. Si nos enfo- ciente respecto a lo que seguridad infor- afectada en su imagen y probablemente sus
y George Kurtz camos a las grandes empresas la preocu- mática se refiere, hago hincapié también a socios no quieran hacer negocios con una
pación es mayor, y la dedicación y esfuer- lo importante que resulta el contar con empresa que carece de seguridad; por el
2) “Honeypots for zos van de la mano con la inversión a pro- capacitación adecuada respecto del uso de contrario, si demuestra preocupación por el
Windows”, teger. Es por ésto que en las grandes los recursos informáticos y sus vulnerabili- tema, sus socios estarán mas susceptibles a
Apress. (2005) empresas se hace más frecuente encontrar dades más comunes, incluidas las de tenerlos.
por Roger A. Grimes administradores o jefes de seguridad con Ingeniería Social y el robo de identidad.
dedicación exclusiva a dichas tareas, mien- Las empresas medianas y pequeñas se han NEX: ¿Existe cultura empresarial acerca de
tras que en las pequeñas y medianas, es preocupado de adquirir tecnologías de la seguridad informática a nivel nacional?
común encontrar al administrador de red seguridad mínimas y por lo general no han DAV: Como se ha dicho anteriormente, nos
preocupado de la seguridad pero en un realizado evaluaciones de riesgo operacio- atrevemos a decir que la preocupación a
3) “Network Security grado menor. nal, lo anterior, principalmente por desco- nivel nacional existe pero en dos grandes
En general la alta gerencia de las grandes nocimiento y la negación a aceptar que un grupos, grandes empresas (con encarga-
with OpenSSL:
empresas le ha dado el nivel de importan- problema de seguridad informático pudie- dos de seguridad con dedicación exclusiva
Cryptography for Secure cia que corresponde a la seguridad infor- se afectar sus sistemas. Las empresas que si al tema) y la PYME con conocimientos y
Communications”, mática, sin embargo la administración en lo han hecho, ha sido lamentablemente herramientas limitadas.
O'Reilly. (2002) las pequeñas y medianas empresas están debido a alguna incidencia que afectó sus
por John Viega, Matt un poco retrasados, debido principalmen- sistemas anteriormente. NEX: ¿Cuál es la tendencia actual en temas
Messier, Pravir Chandra te, a la poca información y preocupación de seguridad informática en nuestro país?
relativa al tema informático, ya que se NEX: ¿Qué tan necesario es que las empre- DAV: Sin lugar a dudas la tendencia es a
4) “Web Hacking: dedican en su gran mayoría al negoció y sas nacionales velen por temas de seguri- una mayor preocupación, principalmente
Attacks and Defense”, operación, dejando de lado los agentes dad informática al interior de las mismas? en las pequeñas y medianas empresas
Addison Wesley externos lo que lo pueden afectar. ¿Es un tema operativo o más bien un donde hay mucho que hacer y mejorar. A
Professional. (2002) tema estratégico? nivel nacional existen empresas de servi-
por Stuart McClure NEX: ¿Existe conciencia en la necesidad de DAV: Toda empresa que base la operación cios y de productos con la tecnología ade-
invertir en este ámbito? de sus negocios sobre activos informáticos cuada para cada necesidad.
DAV: Las grandes empresas le han dado debe necesariamente velar por los temas de

SEGURIDAD
Information Systems
Security Assessment Por Hernán Marcelo Racciatti
Senior Security Consultant
SICinformática
En ediciones anteriores, tuvimos oportunidad de presentar algu-

nos de los aspectos que habrían hecho del OSSTMM, un están-
dar de facto en lo que a Testeos de la Seguridad se refiere. Llegó
el turno de conocer como ISSAF, puede convertirse en nuestro
aliado, al momento de poner en marcha un proyecto de
Penetration Testing.
M
Muchas son las herramientas con las que organiza- por la seguridad de la información. mente CUÁNDO, QUÉ y CUÁLES eventos deben ser
ciones y profesionales, contamos a la hora de tra- Hace algunos meses desde estas mismas páginas, testeados, así como también proveer tanto al profe-
bajar en función de minimizar el riesgo asociado a hacíamos mención al modo en que organizaciones sional a cargo del proyecto de testeo como al cliente,
cada uno de los activos que a diario intentamos tales como ISECOM ("Institute for Security and de un marco estándar y consistente así como resul-
proteger. Entre éstas, las tareas relacionadas con el Open Methodologies"), a través de proyectos tados claramente cuantificables, mediante los cuales
proceso de evaluación de la seguridad, desempe- como el OSSTMM ("Open Source Security Testing sea posible garantizar los resultados, la exactitud y la
ñan un rol fundamental de cara a la estrategia Methodology Manual"), habrían colaborado con la validez de las pruebas realizadas.
integral, que directamente relacionada con la profesionalización de las tareas de testeo, convir- A diferencia de la metodología desarrollada en el
"Política General de Seguridad" y por ende el tiendo a sus prácticas relacionadas en una activi- OSSTMM, el framework que revisaremos juntos en
negocio en sí mismo, nos permiten conocer la pos- dad respetada, y proveyendo a la comunidad toda esta oportunidad, se encuentra más enfocado a
tura que presenta nuestra organización en general (Corporaciones, Profesionales de la Seguridad, etc.) resolver el CÓMO, lo que sin dudas nos permitirá
y cada uno de nuestros activos en particular. de un documento que aproximadamente cinco aprovechar la información en él contenida, para
Como probablemente sea de vuestro conocimien- años después de su aparición, se ha convertido en complementar las sentencias generales dispues-
to, y dejando de lado el marketing que hoy en día un estándar de facto en lo que a evaluaciones de tas a lo largo de las diferentes metodologías,
rodea todos y cada uno de sus aspectos y términos seguridad se refiere. (Mas información sobre incluyendo el prestigioso manual de ISECOM
relacionados, la seguridad sigue y seguirá siendo OSSTMM e ISECOM en NEX #20: "Testeo de la sobre el cual hemos centrado nuestra atención en
un proceso continuo. Como parte de dicho proceso, Seguridad: Una Acción Metodológica") números anteriores, o por supuesto utilizarlo de
la evaluación de seguridad en cualquiera de sus Quienes hayan tenido oportunidad de trabajar o al modo exclusivo dependiendo las circunstancias.
formas (Auditing, Penetration Testing, Vulnerability menos echar un vistazo al OSSTMM, sin dudas En tal sentido, debido a la naturaleza modular de
Assessment, Ethical Hacking, etc.) representa a dife- habrán notado que uno de sus objetivos primarios este framework, siempre tendremos oportunidad
rencia de lo que muchos consideran, tan solo un es el de definir un conjunto de reglas y lineamientos de utilizar módulos independientes, un subcon-
recurso más a nuestra disposición a la hora de velar a partir de los cuales sea posible establecer principal- junto de ellos o el framework en forma íntegra.

con herramientas de uso frecuente, referencias a
documentos puntuales relacionados con las tare-
as de testing de cada uno de los dominios, o con-
troles concretos a implementar como parte de las
contramedidas.
A pesar de ello, ISSAF no solo se concentra en lo
técnico. A lo largo del framework, es posible
encontrar mucha y variada información respec-
to de aspectos tales como: evaluación de ries-
gos, referencias a la administración de proyec-
tos, formularios y documentos tipo (Templates)
a utilizar en las tareas de evaluación, informa-
ción respecto del armado del laboratorio de
pruebas con el que el profesional debería estar
familiarizado antes de realizar pruebas en las
instalaciones del cliente, conceptos de BCP (Plan
de Continuidad de Negocios) y DRP (Plan de
Recuperación ante Desastres), pautas para la
conformación de equipos de trabajo y mucha
otra información sin desperdicios.
ISSAF: Penetration
Testing Methodology
Sin dudas, uno de los aspectos alrededor de ISSAF
que concentra mayor atención por parte del publi-
co en general, se encuentra relacionado principal-
mente con la sección de nombre "Technical
Controls and Security Assessment", en la cual se
incluye entre otros puntos, la metodología de
Penetration Testing propuesta por OISSG. Ésta, se
compone de tres fases principales y nueve pasos
de evaluación, y ha sido diseñada específicamente
para evaluar red, sistemas y aplicaciones. A efectos
de que el lector pueda obtener un primer vistazo
de dicha metodología, a continuación citaremos
una breve descripción de lo que incluye cada una
de estas fases, así como su objetivo principal:
Conociendo ISSAF modo, es posible encontrar descripción de procesos
(Information Systems de hardening, checklist o listas de comprobación PHASE I: PLANNING
Security Assessment Framework) para algunos de los productos de software o tecno- AND PREPARATION
Tal como su nombre lo indica, ISSAF es un frame- logías más populares, y mucha otra información Esta primera fase, involucra aspectos tales como el
work desarrollado por el grupo de tareas de OISSG relacionada con diversos controles de seguridad. intercambio de información inicial entre el cliente
a cargo de Balwant Rathore (Ver Destacado: Como mencionamos anteriormente, ISSAF se y el equipo de evaluación, el planeamiento, y la
"Acerca de OISSG"), en el cual es posible encontrar encuentra organizado de acuerdo a criterios de preparación del test. Entre las tareas principales,
cada uno de los diferentes aspectos relacionados evaluación, cada uno de los cuales ha sido revisa- se encuentra la confección y firma de ambas par-
con la evaluación de seguridad de los sistemas de do por expertos en cada dominio. Para cada uno tes de un documento conocido como "Assess-
información, divididos en grandes categorías cla- de estos, el framework incluye una estructura ment Agreement", el cual provee básicamente
ramente diferenciadas, las cuales comúnmente compuesta por los ítems mencionados a conti- protección legal tanto al equipo al que se le ha
referidas como dominios, incluyen información nuación, de modo de facilitar su lectura y puesta encargado el Penetration Test como al cliente. A
detallada respecto de tareas especificas a realizar, en práctica: su vez, dicho documento especifica también,
así como también el criterio de evaluación indivi- - Una descripción del criterio de evaluación. aspectos tales como el rango de fechas en las que
dual recomendado para cada una de las mismas. - Sus objetivos. serán llevadas a cabo las tareas, el tiempo total de
Uno de sus objetivos principales, es el de proveer - Los pre-requisitos para llevar a cabo la evaluación. duración del Test, el alcance en cuanto al escala-
al profesional de seguridad de la información, de - El proceso de evaluación. miento de sistemas dentro del cliente, y cualquier
la experiencia de campo obtenida por el equipo - Exhibición de los resultados esperados. otro aspecto que deba ser acordado previamente.
de desarrollo de OISSG conformado por expertos - Contramedidas recomendadas. A modo resumen, a continuación se mencionan
en los diferentes dominios, en la realización de - Referencias a documentos externos. algunas de las tareas que entre otras conforman
evaluaciones de seguridad y tareas de assessment Un aspecto interesante de ISSAF, es como hemos esta primera fase:
en escenarios reales, de modo tal que la misma mencionado, que a diferencia de muchas otras - Identificación y Registro de la Información de
sirva como una guía efectiva al momento de eva- metodologías o frameworks, éste habla no sólo contactos individuales de ambas partes.
luar de modo práctico cualquier tipo de sistema acerca de QUÉ/CUÁNDO/DÓNDE sino también del - Reunión de confirmación de alcance y comuni-
de información y mejorar su nivel de seguridad. CÓMO. Éste es el motivo por el cual a lo largo de cación de approach y metodología a utilizar a lo
ISSAF no solo hace referencia a tareas de testing o ISSAF, no sólo encontrará sentencias de alto nivel largo del Test.
evaluación, sino que también incluye información o referencia normativa, sino que tal vez lo más rico - Acuerdo respecto de los test específicos a reali-
respecto a los diferentes procesos involucrados en de este framework, se encuentre en aspectos tales zar, así como también de los límites de escala-
una estrategia de seguridad tradicional. De este como: técnicas de assessment concretas, ejemplos miento.

puntos de existencia obligatoria entre los que se sión del framework ISSAF publicada y disponible
PHASE II: ASSESSMENT encuentran: para su descarga en el enlace del sitio oficial de
Este es el paso en el cual se realiza el Penetration - Resumen Ejecutivo OISSG mencionado al final del presente artículo,
Test, utilizando para ello un approach comúnmen- - Alcance del Proyecto (y partes fuera de alcance!) es el Draft 0.2.1 (01-05-2006), lo cual indica que si
te referido como Layered, en el cual cada capa - Herramientas que han sido utilizadas bien es posible identificar varias secciones incom-
representa un nuevo nivel de acceso en el cual su (Incluyendo cualquier tipo de exploit) pletas, las mas de mil trescientas paginas de
información es evaluada. A continuación, se men- - Información respecto de Fecha y Hora en la que extensión del mismo, sin dudas resultaran de uti-
cionan los nueve pasos que componen la fase de los test fueron realizados lidad a cualquier persona u organización que rela-
Assessment, cada uno de los cuales posee su propia - Cada salida individual de cada uno de los test lle- cionada de uno u otro modo con la Seguridad de
sección dentro del framework, a partir de la cual es vados a cabo (Excluyendo escaneos de vulnerabi- la Información, encontrarán en ellas un recurso
posible acceder a información detallada respecto lidades los cuales pueden ser incluidos como invaluable a la hora de llevar a cabo proyectos
de la lista de tareas a realizar en cada paso: attachments) relacionados con este ámbito.
1. Information Gathering - Lista de todas las vulnerabilidades identificadas Como dato adicional, cabe mencionar que en esta
2. Network Mapping incluyendo recomendaciones de cómo cada una ultima entrega, el equipo de desarrollo de ISSAF ha
3. Vulnerability Identification de ellas puede ser mitigada. decidido dividir el documento original en dos par-
4. Penetration - Lista de acciones a tomar (Prioridades, solucio- tes a fin de simplificar su lectura: "ISSAF0.2.1A" y
5. Gaining Access & Privilege Escalation nes recomendadas, etc.) "ISSAF0.2.1B". La primera de ellas nuclea los aspec-
6. Enumerating Further Respecto de las tareas de Clean-Up & Destroy tos relacionados con el gerenciamiento de proyec-
7. Compromise Remote Users/Sites Artifacts, toda información que haya sido creada tos y buenas practicas de assessment, mientras que
8. Maintaining Access y/o almacenada sobre los sistemas testeados, la segunda contiene los capítulos técnicos referidos
9. Covering Tracks debe ser removida. Si por alguna razón, no fuera puntualmente a Penetration Testing.
posible eliminar artifacts en algún sistema remo-
PHASE III: REPORTING, CLEAN UP to, cada uno de estos archivos así como su locali- Conclusión
& DESTROY ARTIFACTS zación, deben ser mencionados en el reporte téc- ISSAF es un proyecto nuevo, el cual aún necesita
Como su nombre lo indica, en esta fase se comple- nico, de modo tal que los mismos puedan ser mucho trabajo por parte de la comunidad a fin de
tan las tareas de reporting, limpieza y destrucción identificados y removidos por el staff técnico del conseguir la madurez que hoy en día ostentan
de artifacts. Respecto del trabajo de reporting, cliente, una vez recibido dicho informe. proyectos tales como el OSSTMM. A propósito de
ISSAF provee una serie de consideraciones y reco- este punto y a pesar de encontrarse ISSAF en
mendaciones generales en cuanto a su forma y ISSAF: Disponible para su descarga etapa de borrador, si bien es cierto que en muchos
estructura, a la vez que se mencionan algunos Al momento de escribir este artículo, la última ver- casos existe un solapamiento en algunas áreas
Acerca de OISSG
OISSG (Open Information Systems Security

Group), es una organización internacional sin
fines de lucro, cuyo objetivo principal se
encuentra relacionado con la difusión de dife-
rentes aspectos relacionados con la seguridad
de la información. Actualmente, cuenta con 39
Capítulos o Chapters distribuidos en 22 países.
Su visión, se encuentra centrada en estable-
cer un entorno donde entusiastas de la segu-
ridad de todo el mundo, compartan y cons-
truyan conocimiento. Con el fin de lograr su
objetivo, OISSG trabaja junto a la comunidad
profesional, a fin de determinar necesidades,
desarrollar, entregar, y promover programas
que agreguen valor a la comunidad respecto
de temas relacionados con la Seguridad de
la Información.
Proyectos en Desarrollo:
- Information Systems Security

Assessment Framework (ISSAF)
- Computer Crime Investigation
Framework (CCIF)
- Capture the Flag (CTF)
- Security Essentials Framework (SEF)
- FIST Briefings
- Vulnerability Research
- Password Research
- Vulnerability Disclosure Policy (VDP)
- Metacortex-NG
respecto del OSSTMM, muchos encontraran que cesos y sistemas. Sin embargo, ésto implica que el algún punto para elevar el nivel de seguridad de
juntos pueden ser vistos como un gran comple- esfuerzo dedicado a mantener actualizado este sus sistemas, o colaborado a que cada vez más
mento el uno del otro. framework es verdaderamente MONUMENTAL y personas entiendan los riesgos asociados a las
Visto desde un punto de vista general, ISSAF pre- debe ser un aspecto a cuidar a fin de que el proyec- tecnologías de información, sin dudas el trabajo
tende ser amplio y detallado, de este modo aspec- to continúe vigente, de modo tal que la informa- del equipo de OISSG no habrá sido en vano y una
tos puntuales como la evaluación de sistemas ción en el dispensada continúe siendo efectiva en vez mas podremos mirar fascinados, lo que la
AS400, dispositivos de red, dispositivos móviles, un ciento por ciento a través del tiempo. ardua tarea detrás de proyectos Open Source
VPNs, etc. encuentran en este framework trata- Para concluir y a efectos de llevar estos concep- puede generar cuando se lo propone.
miento pormenorizado. La idea en torno a ISSAF, es tos al plano práctico, podríamos determinar
de algún modo la de incluir tanta información que el OSSTMM al encontrarse quizás mas enfo- Referencias
como sea posible, lo cual a menudo incluye aspec- cado a nivel metodológico, se encuentra menos y Lectura Complementaria
tos tales como: ejemplos de técnicas de testeo, las afectado por factores que puedan volverlo - OISSG: Open Information Systems Security Group
salidas de algunas herramientas y otro tipo de obsoleto, pudiendo usted utilizar la misma http://www.oissg.org
cuestiones similares. Este approach pose ventajas metodología cuantas veces quiera en el tiempo,
y desventajas. Entre las ventajas, podemos men- haciendo uso de diferentes técnicas y herra- - ISSAF: Information Systems
cionar el invalorable recurso de poseer al alcance mientas. ISSAF en cambio, es un framework el Security Assessment Framework
de la mano y en un solo sitio, información concre- cual pretende darle la última información sobre http://www.oissg.org/issaf
ta respecto de cómo conducir un proyecto de técnicas, herramientas, mejores prácticas y
Security Assessment para un amplio rango de pro- regulaciones, ya sea que usted utilice OSSTMM - ISECOM: Institute for Security
o cualquier otra metodología. and Open Methodologies
Acerca de Hernán Marcelo Racciatti Por último, sea que usted vaya a utilizar ISSAF http://www.isecom.org
como parte de su trabajo o no, apuesto a que su
Hernán Marcelo Racciatti es miembro del Core sola lectura, sin lugar a dudas le resultará apasio- - OSSTMM: Open Source Security
Team de ISECOM (Institute for Security and Open nante. Quizás usted no se encuentre interesado Testing Methodology Manual
Methodologies) y Coordinador del Capitulo en la parte regulatoria o de administración de http://www.isecom.org/osstmm
Argentino de OISSG (Open Information System proyectos de assessment, pero le resulte atractivo
Security Group). Actualmente se desempeña conocer algo más acerca de las técnicas de tes- - Puntos de vista respecto de las diferencias
como Senior Security Consultant en SICinfor- ting; quizás no le interese el modo en el que debe entre ISSAF y OSSTMM
mática, asesorando y capacitando a compañías ser configurado un webserver en forma segura, http://seclists.org/lists/pen-test/2006/Apr/
del sector público y privado, conduciendo test de pero se sienta atraído respecto de las diferentes 0222.html
intrusión controlados y como orador en conferen- iniciativas de awareness mencionadas en el fra-
cias relacionadas con su especialidad. mework. De uno u otro modo, si cualquiera de las - Presentaciones varias respecto de OISSG e ISSAF
partes de este extenso trabajo, ha servido en http://www.hernanracciatti.com.ar

TENDENCIAS DEL SOFTWARE
NOTA
El negocio del Software:
3
#1 Caso de Éxito Snoop Consulting
Gente, Procesos y Métodos
#2 (Métodos ágiles y disciplinados)
Modelado y diseño de sofware
#3 (De la nada al software, hoy)
#4 Quality Assurance de Software
#5 JAVA vs. .NET
Data Warehouse, Bussiness

#6 Intelligence y Data Mining
Coordinando procesos
#7 de negocios con BPEL
¿Por qué modelar el software?
Modelado y diseño
¿Por qué modelar algo antes de construirlo?
Quizás no sea realmente necesario. Las cosas sim-
ples no necesitan necesariamente ser modeladas
antes de su construcción, tales como un utilitario
De la nada al software, hoy de conversión de monedas, una cucha de perro o

una simple macro en un procesador de texto que
imprima cuatro copias del documento activo.
Bruno Forchieri Esos proyectos tienen alguna o todas estas carac-
terísticas:
Senior Solution Architect • El dominio del problema es muy bien conocido
Snoop Consulting S.R.L. • La solución es relativamente fácil de construir
• Se requiere la colaboración de muy pocas per-
sonas para construir la solución

• Es poco probable que el alcance de las necesi-
dades futuras crezca substancialmente
Modelar puede ser una manera eficaz de manejar la complejidad • La solución requiere poco o nulo mantenimiento
En estos casos, se hace difícil justificar la necesi-
del desarrollo de software. Permite la comunicación, diseño y dad del modelado; pero supongamos que ningu-
entendimiento de requisitos, arquitecturas, software y sistemas. na de estas características es válida. No es ni
A pesar de estas virtudes, el desarrollo de software todavía no económica ni técnicamente acertado construir
ciertas clases de sistemas complejos sin primero
saca el suficiente provecho del modelado en el día a día de hoy.
crear un diseño, un modelo o alguna otra repre-

sentación abstracta. Mientras que un arquitecto propuesto por la programación lineal. representan las distintas maneras en las que el
puede construir una cucha de perro sin un diagra- Ésto se siguió dando en torno a descomponer más usuario u otro sistema (actores) interactuarán con
ma de diseño, nunca intentará construir un edifi- y más al programa, ya que la tendencia en pleno el sistema a desarrollar para cumplir con un deter-
cio de oficinas de 25 pisos sin un arsenal de planos crecimiento requería crear sistemas cada vez más minado objetivo. Los casos de uso deben conce-
arquitectónicos, diagramas y un una maqueta grandes y complejos; lo que llevó a los desarrol- birse estrictamente desde la perspectiva que el
para la visualización. ladores de software a pensar en una nueva forma usuario tiene del sistema y redactarse conse-
Modelar puede ser una manera eficaz de manejar de programar que les permita crear sistemas de cuentemente; es decir, usando el vocabulario
la complejidad del desarrollo de software. Permite niveles empresariales y con reglas de negocios referido al negocio del usuario y no el técnico del
la comunicación, diseño y entendimiento de req- muy complejas. analista funcional. No deben incluirse en las
uisitos, arquitecturas, software y sistemas. A pesar Para dichas necesidades ya no era suficiente la especificaciones de los casos de uso cuestiones
de estas virtudes, el desarrollo de software programación estructurada ni mucho menos la relacionadas con la modificación de registros de la
todavía no saca el suficiente provecho del mode- programación lineal. Es así como aparece la pro- base de datos o cuestiones similares.
lado en el día a día de hoy. gramación orientada a objetos (POO). La POO Las diferencias entre el significado de un término
viene del perfeccionamiento de la programación en un lenguaje y el otro pretende ser equilibrada
Breve historia del modelado estructurada; básicamente la POO facilita la pro- mediante un documento específico: el Glosario.
En sus orígenes, el software era construido de una gramación con los nuevos conceptos que intro-
manera secuencial o lineal, es decir, consistía en duce y una nueva filosofía en lo referente al dis- Modelo de dominio
una serie de pasos sucesivos con estructuras de eño. La POO se basa en dividir el problema a El modelo de dominio es una visualización de los
control y bifurcaciones. Los programas desarrolla- resolver en pequeñas unidades lógicas de código conceptos que manejará el sistema. El mismo
dos en esta forma, de “spaghetti”, no ofrecían flex- que representen la realidad. A estas pequeñas intenta representar la realidad en la que se con-
ibilidad ante cambios o mejoras, por lo que el unidades lógicas de código se les llama objetos. centra el sistema. A partir de las relaciones
mantenimiento de una gran cantidad de líneas de Los objetos son unidades independientes que se establecidas entre los actores y el sistema,
código en un sólo bloque se volvía una tarea bas- comunican entre ellos mediante mensajes. empiezan a surgir un grupo de entidades que el
tante complicada. sistema deberá contener. Dichas entidades con
Entonces, frente a esta dificultad aparecieron los sus atributos o propiedades y las relaciones entre
lenguajes estructurados de programación (Pascal, “En el 80% de los ellas, se plasman en un modelo gráfico de
C y Cobol, entre otros). La idea principal de esta dominio. Estrictamente hablando, el modelo de
forma de programación radicaba en diferenciar
currículms vitae que dominio, es un modelo de clases UML, donde las
las partes del programa según su función y sepa- analizo noto que exis- entidades se representan según el componente
rarlas en módulos o subprogramas que fueran gráfico asociado en dicho lenguaje.
ejecutados según sean requeridos. De esta mante un punto referido a
era, al momento de tener que realizar tareas de Modelos de diseño
mantenimiento en el sistema –corrección de algún nivel de conoci- Modelo de clases
errores o agregados de nueva funcionalidad– era La célula básica del diseño orientado a objetos es
más simple para el programador localizar el punto
mientos de UML.” el modelo de clases. En el diagrama de clases se
justo a modificar en todo el sistema completo. exponen las clases con sus jerarquías, asocia-
Cosa que nunca hubiera sido así, por ejemplo, en ciones, composiciones, atributos y métodos.
un gran programa de 1.000.000 de líneas de códi- UML, ¿Qué es y qué no es? Este diagrama mantiene una absoluta vigencia y
go. Además, se lograba reutilizar a dichos módu- Después de casi veinte años de evolución desde la es el más usado hoy en día para representar las
los empaquetándolos en librerías o unidades, programación estructurada, nos encontramos hoy clases que componen un sistema dado.
dependiendo del lenguaje. con el paradigma de Programación Orientada a
Ahora bien, ¿Cómo determinar qué funcionalidad Objetos totalmente instaurado como la manera El Arquitecto de Software, hoy
distribuir en cada módulo para obtener una alta inteligente de producir software. Incluso actual- Lejos de la imagen del “Arquitecto” de la trilogía
cohesión entre las funciones de cada uno? ¿Cómo mente se presentan otras variantes interesantes Matrix, el Arquitecto del sistema es hoy el dis-
hacerlo de manera tal que los módulos no queden que exploraremos más adelante en esta nota. eñador general e integrador de la aplicación. Es
dependientes todos entre sí y en lugar de tener UML, con casi diez años de vida y una tímida ver- responsable por realizar el diseño del los princi-
código “spaghetti” pasemos a tener “un plato de sión 2.0, sustenta la cualidad de ser el lenguaje pales componentes y por mantener la integridad
spaghetti”? Es aquí donde nace la necesidad de estándar de modelado por excelencia e indepen- conceptual de la arquitectura. Además, es el
trasformar al programador en un diseñador con diente del lenguaje de programación que se pre- encargado de asegurar la calidad técnica de los
capacidad de obtener diseños modulares en base tenda usar. UML no es una metodología, por lo productos de trabajo entregados por el equipo
a los requerimientos del sistema, antes de cual no tiene asociados un conjunto de entre- del proyecto, incluyendo diseños, especificaciones
empezar a programarlos. Por aquel entonces, el gables a generar. Sin embargo proporciona varios y otra documentación. En ese sentido, también
diseño modular estaba marcado por las ideas de tipos de diagramas que, cuando se utilizan dentro programa los mecanismos y las funcionalidades
Edward Yourdon, los diagramas de flujo de datos y de una metodología dada, aumenta la facilidad de para validar las arquitecturas que presenta, sería
las cartas de estructura. Éstas últimas eran diagra- entender la aplicación bajo desarrollo. un error no hacerlo.
mas que representaban a los diferentes módulos UML tampoco es un producto de software ni un
de una transacción que se realiza dentro de un sis- IDE de desarrollo. Si bien existen varias herramien- Evolución de los modelos en RUP
tema, a sus archivos o almacenamientos de infor- tas que permiten generar diagramas UML. Iterativo, reducción de riesgos
mación, a las relaciones y a las dependencias En un proceso de desarrollo de software iterativo,
entre los módulos y los datos que debieran viajar Modelos de análisis se busca dividir a cada actividad del proyecto
entre ellos. Mediante estas herramientas se dis- Modelo de casos de uso (análisis, diseño, desarrollo, prueba e implantación)
eñaba el sistema antes de empezar a programar- El modelo de casos de uso se trata de una técnica en varias iteraciones incrementales. Y planificar
lo. A medida que los sistemas aumentaban su muy difundida para capturar los requerimientos cada iteración con el objetivo de reducir todos los
tamaño y complejidad, este estilo de progra- funcionales y no funcionales del sistema. Cada riesgos, sobre todo los inherentes a la construc-
mación fue reemplazando al estilo “spaghetti” caso de uso contiene uno o más escenarios que ción, lo más temprano posible en la duración del

proyecto. Ésto se basa en que la manifestación de riesgo, muy posiblemente absorbido. co de problemas, en un contexto dado. Pueden
un riesgo tiene un impacto cada vez mayor a Ante ésto, los modelos de análisis y diseño evolu- tener alguna variación para contemplar requisitos
medida que avanza el reloj del proyecto. cionan durante todo el proyecto. Es decir, el mod- particulares del consumidor del activo, y reglas
Un ejemplo de ésto sería asumir que la inte- elo de dominio sólo contiene las entidades rela- para el uso que son las instrucciones que
gración con un sistema externo al que se está cionadas con los casos de uso especificados en la describen cómo el activo debe ser utilizado. Los
desarrollando es muy fácil y no representa riesgos iteración en curso y en las anteriores. Pero no se artefactos son cualquier producto que se genera
por lo que el desarrollo de la misma queda relega- especifican todos los casos de uso ni se plantea el en el ciclo de vida del desarrollo del software, por
do frente al de una funcionalidad simple que es modelo de análisis 100% completo antes de ejemplo documentos de requisitos, modelos,
clave para el cliente. Ocurre entonces que al empezar con el diseño y la implementación. archivos de código fuente, descriptores de
momento de desarrollar dicha integración, pocas despliegue, test cases o scripts, etc.
semanas antes del fin del proyecto el equipo de Diseño para mañana La especificación de activos reutilizables define
desarrollo detecta que existe una incompatibili- Reusable Software Assets (RSA) una manera estándar de empaquetar dichos
dad total en los protocolos de intercambio de Las compañías requieren muy a menudo una activos del software, el objetivo es establecer un
información; y resolverlo llevará 4 meses más. manera de organizar los activos existentes para sistema de pautas prácticas y específicas sobre
Haber tomado la precaución de evaluar al detalle transformarlos en activos reutilizables. Un “activo cómo describir activos reutilizables para:
dicha integración al inicio del proyecto hubiera reutilizable de software” es, en el sentido más 1. Facilitar y mejorar la comunicación entre los
arrojado el mismo resultado, sólo que las alterna- amplio, cualquier colección cohesiva de artefactos productores y los consumidores del activo.
tivas de acción hubieran sido muchas más y el que solucionan un problema o un grupo específi- 2. Representar los activos en herramientas de
desarrollo del software
3. Proporcionar los medios para la gestión e inter-
cambio del activo
El OMG (Object Management Group) ha aprobado
un RFC propuesto por varias empresas de soft-
ware denominado “Reusable Software Asset
Specification” (RAS) que logra ésto definiendo un
sistema de términos relacionados con el desarrol-
lo basado en activos y definiendo la mínima infor-
mación estructurada que es requerida para facili-
tar la reutilización de dichos activos.
RAS describe a los activos como parte del Asset
Based Development (ABD) que complementa la
arquitectura dirigida por el modelo (MDA), descri-
biendo la producción, el consumo, y la gestión del
activo. Cada activo reutilizable debe contener
como mínimo un archivo “manifest”, y por lo
menos un artefacto que se considerará un activo
reutilizable válido. Un archivo “manifest” es un
documento XML que valida contra uno de los
esquemas XML conocidos de RAS. Un paquete de
activos es la colección de archivos de artefactos
más un archivo “manifest".
Enterprise patterns
Hoy en día las empresas de alto rendimiento en el
desarrollo de software tienen y se nutren de un
repositorio propio de patrones propios identifica-
dos mediante RSA, ésto les permite ganar produc-
tividad reaprovechando el conocimiento circu-
lante en la empresa.
Una vez que existe una solución que es probada
para un problema y un contexto dados, todos los
artefactos de dicha solución deben ser cataloga-
dos mediante RSA y archivados en un repositorio
común de acceso para todo el equipo de desarrol-
lo. En algunos casos ésto se puede implementar en
un file system compartido, pero lo más correcto
sería un sistema de administración de versiones
(CVS, SubVersion, Microsoft Visual SourceSafe,
etc.); dado que dicho activo reutilizable puede
verse modificado por cambios y mejoras.
Por otro lado, muchas herramientas de modelado
y diseño de software soportan la conexión a un
repositorio de este tipo para brindarles a los
arquitectos y desarrolladores acceso a los
patrones corporativos para realizar sus tareas.

Buenas y malas prácticas Nuevas tecnologías removida de los propios objetos y es transferida a
Experiencia – se nace y se hace Nuevas arquitecturas una forma de Factory. Con un mecanismo medi-
Siempre, no importa cuánto tiempo se haya inver- En los últimos tiempos el mundo del software ante el cual se logra un muy bajo acoplamiento, lo
tido en diseñar cada detalle, al finalizar la con- Open Source ha liberado frameworks que han que indirectamente resulta en objetos que
strucción de una determinada porción del sistema cambiado la forma de hacer aplicaciones para la pueden ser fácilmente testeados inyectándoles
surge (casi como una visión divina) la pregunta: Web. Un ejemplo de ésto es JSF (Java Server Faces) mock-objects. Es decir, evitando dependencias en
¿Ésto o aquello no podría haberse hecho mejor de donde virtualmente se quiebra el paradigma las clases de colaboración por medio de depen-
otra manera? request-response que durante años había domi- dencias sólo contra las interfases que son imple-
Los problemas ante ésto son dos. Por un lado, la nado el terreno de este tipo de aplicaciones. JSF, mentadas por ellas es posible producir pruebas
porción del tiempo total del proyecto necesaria en sus diferentes implementaciones (MyFaces, unitarias específicas.
para haberlo hecho de esa manera ya fue inverti- JSF-Spring, Project Rave, etc.) propone un modelo Las implementaciones de Dependency Injection
da y, por otro lado, el costo en horas de desarrollo de listners que traduce cada interacción en la son también conocidas como contenedores
ya fue también incurrido. Con lo cual, sólo pensar interfase de usuario en una invocación de un livianos (lightweight containers) por su respons-
en volver a construir esa parte con un nuevo dis- método de esos listeners que se configuran por abilidad en la creación de instancias de las clases
eño es casi imposible. Pero ésto tiene una ventaja, cada página. Dicha invocación se no se realiza con definidas. Existen tres formar típicas de DI: basada
la experiencia; que, hubiera elegido la solución los clásicos HTTPRequest y HTTPResponse; sino, en “setters”, constructores y en interfases.
correcta antes de empezar y, se acaba de nutrir con argumentos concretos relacionados con la El framework Spring es la más conocida de las
por no haber acertado. información de los campos de la interfase implementaciones de este pattern. Básicamente
Ante ésto, es importante resaltar que no cualquier Por otro lado, el pattern “Dependency Injection” se deben definir en un XML los “beans” de la apli-
cación que serán inyectados a otros.
<beans>
<bean id="EjemploA" class="com.snoopcon-
sulting.sample.EjemploA">
<property name="propiedad">
<ref local="EjemploB"/>
</property>
</bean>
<bean id="EjemploB" class="com.snoopcon-
sulting.sample.EjemploB">
<property name="archivo">
<value>ejemplo.txt</value>
</property>
</bean>
</beans>
Aquí vemos un ejemplo de un archivo de configu-

ración donde la clase EjemploB recibe un valor
String con el nombre de un archivo y la clase
EjemploA requiere una instancia de una de las
interfases que implementa EjemploB.
Ésto permite una absoluta flexibilidad ya que si
quisiéramos ejecutar una batería de casos de prue-
ba unitarios sobre la clase EjemploA sin que interac-
túe contra una instancia real de la clase EjemploB,
podríamos hacerlo con solo modificar este XML.
Conclusión
Existe mal software con mal diseño, mal software
con un buen diseño, pero es imposible encontrar
buen software sin un buen diseño.
programador, diseñador, o arquitecto por más ha logrado disminuir en gran medida el Bibliografía
conocimientos que tenga va a dar con la mejor acoplamiento entre clases con la implementación - Design Patterns: Elements of Reusable Object-
solución a un determinado problema. Es la experi- del mismo en el framework Spring. Oriented Software. Erich Gamma, Richard Helm,
encia –sumada a los conocimientos- lo que resul- Dependency Injection (DI) es un design pattern y Ralph Johnson and John Vlissides. Addison-
ta en una aproximación mayor al diseño óptimo. un modelo arquitectónico, a veces también nom- Wesley, 1995.
brado como Inversion of Control (IoC), aunque - JavaServer Faces in Action, Kito Mann,
Ingeniería inversa – un mal necesario estrictamente hablando, la Dependency injection Hibernate in Action, Christian Bauer,
La ingeniería inversa es lograr que el diseño se refiere específicamente a la implementación de
cumpla con el código generado; al revés de lo que una forma particular de IoC. El pattern busca
realmente debiera ser. Si bien tiene sus con- establecer un nivel de abstracción a través de una Lecturas Adicionales
traindicaciones, resulta una herramienta suma- interfase pública y eliminar las dependencias Object Management Group (OMG)
mente útil al momento de enfrentarse a un soft- entre los componentes; por ejemplo, mediante un http://www.omg.org/
ware desconocido que debe ser modificado, mecanismo de plug-ins. La arquitectura subya- Reusable Software Asset Specification 2.1
extendido o, lo que es peor, corregido. Ya que ráp- cente será la encargada de unir los componentes, http://www.omg.org/cgi-bin/apps/doc?ptc/05-04-02.pdf
idamente es posible obtener un diagrama de en lugar de ser los componentes los que se vincu- Spring (http://www.springframework.org)
todas las clases existentes con sus jerarquías y lan entre sí. Inversion of Control Containers and the Dependency
relaciones que permite gozar de una visión global En este pattern la responsabilidad de la creación Injection pattern. Martin Fowler, 2004, www.martin-
fowler.com/articles/injection.html
para empezar el trabajo. de instancias y la relación entre objetos está

TENDENCIAS DEL SOFTWARE
Service
Oriented
Architecture
¿Qué es SOA? función de costos, modular y escalable, lo cual
La Arquitectura Orientada a Servicios –por sus permite soluciones SOA extremo a extremo per-
siglas en inglés SOA— es el enfoque de los nego- sonalizadas a sus requisitos, cronogramas y prior-
cios competitivos del futuro: una plataforma que idades” explica Silvia López Grandío, Gerente de
permitirá a las empresas contar con una Software de IBM Argentina.
infraestructura tecnológica integrable, flexible, IBM entiende la orientación a servicios y del nego-
adaptable y de alto nivel de servicio. cio. Cuenta con las habilidades, el software y la
Según un informe reciente de la firma de analistas experiencia que se necesitan para lograr flexibili-
Gartner,“El management SOA no es una opción, es dad de negocios utilizando arquitecturas orien-
un imperativo.” De hecho, Gartner estima que la tadas a los servicios.
no implementación de mecanismos de gerenci- “IBM cuenta con una variedad y profundidad
amiento SOA que funcionen será la falla más inigualable de productos de software para SOA.
común de los proyectos SOA en 2006. Tenemos más de 200 patentes relacionadas con
SOA, hemos sido nombrados por los principales
¿Por qué SOA? analistas del mercado como ‘líderes’ en ocho cate-
La base para toda Orientación a Servicios y gorías relacionadas con SOA y hemos invertido
Arquitectura Orientada a Servicios comienza con más de mil millones de dólares por año en SOA”,
procesos de negocio. Un servicio es simplemente comenta la ejecutiva.
una tarea de negocios. Para ganar flexibilidad La extensa experiencia en la industria y mejores
informática y resolver verdaderos problemas de prácticas de IBM incluyen más de mil proyectos
negocio con éxito (por ejemplo, elevar la atención SOA en clientes de todo el mundo.
al cliente, integrarse con asociados de negocio o “Mientras que otros podrán hablar de sus
tener una visión unificada de los clientes), es cru- estrategias SOA, IBM cuenta con la experiencia
cial tener un fuerte y estrecho vínculo entre los y la especialización necesarias para hacer de
negocios y la tecnología informática. Hoy las SOA una realidad hoy: contamos con un ecosis-
empresas pueden ganar flexibilidad y al mismo tema próspero de asociados, tenemos aproxi-
tiempo alinear los negocios con la IT manejando madamente cien mil consultores, arquitectos y
procesos de negocio a través de una SOA. especialistas en tecnología informática dedica-
SOA usa conexiones flexibles con interfaces bien dos a SOA en todo el mundo, soluciones de
definidas y basadas en estándares para ayudar a negocios habilitadas para SOA y una cartera
las empresas a incorporar flexibilidad a su exclusiva de propiedad intelectual y métodos”
infraestructura existente. Los servicios SOA destaca Lopez Grandío.
pueden reutilizarse extensivamente, ya se trate de
nuevos servicios o activos de IT existentes. SOA: La arquitectura del cambio en IT
“Brinda una infraestructura flexible y robusta para Hoy en día, más del 70% de las grandes empresas
modelar, ensamblar, implementar y administrar a nivel global implementaron SOA (Arquitectura
los procesos de negocio para el ambiente de Orientada a los Servicios) como método de cen-
negocios on demand de la actualidad. Es eficaz en tralización de los servicios en pos de un negocio

Las empresas necesitan, cada vez más, alinear sus negocios
a la tecnología. Ésta debe estar puesta al servicio de los objetivos
empresariales para que la efectividad en el negocio sea cada vez
mayor. Para lograr que la tecnología sea percibida como una
fortaleza en el logro de las metas y objetivos, es necesario crear
un sistema flexible y efectivo que unifique todas las aplicaciones
tecnológicas creando una infraestructura de IT que mantenga
una estrecha relación con el negocio.
más rentable con un retorno sobre la inversión plantea desafíos únicos: una iniciativa SOA puede Al extender el management tecnológico para
concreto, según información brindada por la con- descarrilarse si no se cuenta con un marco de incluir SOA, las empresas podrán realizar plena-
sultora Forrester Research. management eficaz para identificar claramente mente el potencial de un enfoque basado en los
SOA es un sistema que está en pleno crecimiento los roles, las responsabilidades y los derechos de servicios. El gerenciamiento SOA eficaz involucra
y que está cambiando la manera en que las decisiones relacionados con los servicios. Además, más que la mera tecnología: requiere un enfoque
empresas compran, instalan y utilizan la tec- este marco debe incluir mecanismos de medición integral de la gente, los procesos, la información y
nología. Una de las ventajas principales que pre- y control para asegurar mejor el cumplimiento de los activos de una organización”, explica la respon-
senta es que las organizaciones no perciben a la las políticas y brindar valor de negocios. sable de software de IBM Argentina.
Arquitectura Orientada a los Servicios como un “La adopción de SOA es un catalizador para que
método duro al cuál deben adaptarse, sino todo lo una organización comience a pensar acerca de El ciclo de vida de un Marco
contrario: es el sistema el que se adapta a la una mejor conducción corporativa y tecnológica. de Management SOA
empresa según sus requerimientos, necesidades, Existen determinadas acciones que son nece-
tiempos y prioridades. sarias para establecer, mantener y mejorar el man-
Otra de las características de SOA es que puede Oportunidad agement SOA eficaz. Estas acciones se describen
ser utilizada sobre activos nuevos, o reteniendo y de mercado SOA en términos de un ciclo de vida que consta de
reutilizando los activos preexistentes, ayudando a cuatro fases: planificación, definición, habilitación
las empresas a incrementar la flexibilidad de sus y medición.
procesos de negocios y fortalecer sus infraestruc-
• SOA es una importante oportunidad
turas de IT. Los beneficios se hacen visibles en la de crecimiento para IBM y cambiará Planificación
resolución de los problemas reales de negocios, la forma en que los clientes compran, Durante la fase de planificación de la construcción
como la mejora en el servicio a los clientes, una instalan y utilizan la tecnología. del marco de management SOA, los líderes de
mayor integración con los socios y una visión • Los analistas Forrester sostienen proyecto SOA deben enfocarse en comprender el
unificada de los clientes, entre otros. alcance general de la necesidad de conducción
Partiendo de la base de que la infraestructura de que más del 70% de las grandes dentro de la organización, e identificar áreas para
IT de una empresa debe estar fuertemente rela- empresas ya están utilizando la mejorar.
cionada con los objetivos de negocios y una arquitectura SOA. La mayoría de estas actividades están centradas
mayor eficacia en los resultados, las estrategias • IDC predice que el mercado para en las personas, y se enfocan en la colaboración
SOA son una efectiva y garantizada alternativa amplia entre las gerencias de IT y de negocios.
que podría ser señalada como “la nueva revolu-
SOA, que incluye software, servicios y Esta fase debe concebirse como el paso dentro del
ción del software”. hardware, llegará a los U$S 21 mil ciclo de vida cuando el equipo define “el problema
Así mismo, la arquitectura SOA promueve la flexi- millones en 2007. a tratar”.
bilidad de la empresa; el management SOA impul- • Gartner pronostica que hacia 2008 Esta fase también incluye: comprometerse con
sa los resultados del negocio. Las empresas están más del 60% de las empresas usa- una iniciativa SOA dentro de la estrategia general
adoptando rápidamente las estrategias basadas de tecnología informática; determinar explícita-
en SOA para hacer sus empresas más modulares y rán SOA como “principio guía” para mente el nivel de capacidades de IT y SOA; articu-
mejorar el rendimiento general entre los silos de las infraestructuras de tecnología lar y refinar la visión para SOA; revisar las posibili-
la organización, y al mismo tiempo apalancar las informática. dades y los acuerdos de management actuales, y
plataformas de tecnología. Sin embargo, SOA desarrollar un plan de management general.

políticas y acuerdos de management –por ejemp- combinación de productos puntuales juntados
Liderazgo de IBM lo, acuerdos de nivel de servicio (Service Level desordenadamente que deben encajar a la fuerza.
en SOA Agreements / SLA), niveles de reutilización y Un verdadero SOA se crea con un enfoque basado
políticas de cambio– deben ser evaluados en este en estándares abiertos a través de cuatro etapas
momento. estratégicas: modelar, ensamblar, implementar y
• IBM se posicionó como líder en el “El management SOA ayuda a los clientes a administrar.
Cuadrante Mágico de Gartner para establecer en la organización derechos de
Plataformas de Servicios Web (julio decisión a medida y a implementar los mecanis- 7. Súbase al Bus del Servicio Empresarial: Un ESB
de 2005). mos de definición de políticas, mediciones y con- proporciona la infraestructura de conectividad
troles necesarios para poner en práctica dichas tan necesaria que puede usarse para integrar ser-
• IBM Global Services fue nombrada
decisiones. El management eficaz ayuda a liberar vicios dentro de un SOA. Juntos, SOA y ESB ayudan
Market Maker Líder para SOA por IDC a los equipos de las incertidumbres y los desafíos a reducir la cantidad y complejidad de las inter-
(agosto de 2005). de tratar de definir quién necesita dar su faces, permitiéndole concentrarse en los temas
• IBM fue reconocida como la líder en aprobación a qué cosas, de modo que puedan centrales de su negocio, en lugar de en el manten-
SOA por AMR (septiembre 2005). concentrarse en crear y brindar soluciones de imiento de su infraestructura tecnológica.
negocios innovadoras” concluye Silvia López
• En menos de un año, la comunidad Grandío de IBM. 8. Paso a paso: Cuando el pensamiento de insta-
de asociados SOA de IBM aumentó a lar un SOA en toda la empresa se vuelve abru-
1000 miembros. 10 consejos para un SOA exitoso mador, recuerde que el mejor enfoque es probar
• IBM está invirtiendo más de mil Si bien cada empresa tiene distintas necesidades y modificar continuamente mientras se lo imple-
de negocio y cada industria enfrenta su propia menta primero por departamentos, y luego en
millones de dólares en SOA este año.
serie de desafíos, hay problemas comunes que toda la organización, a fin de identificar proble-
pueden llevar al fracaso de una SOA. Aquí diez mas en tanto se va incrementando su arsenal de
consejos para evitarlos: mejores prácticas.
Definición
Una vez identificadas las oportunidades para 1. Evite la falta de auspicio ejecutivo: Antes de 9. Evite el enfoque “carpe diem”: Recuerde que no
una mejor gestión, los profesionales de negocios presentar cómo asegurará el éxito del SOA prop- está construyendo su SOA sólo para hoy o para
y de tecnología trabajan en conjunto para definir uesto en su empresa, esté preparado para este año. Se trata de un enfoque en toda la orga-
y modificar los acuerdos y mecanismos de man- demostrar éxitos y fracasos de otras compañías nización para alinear la IT con las necesidades del
agement actuales. Por ejemplo, éste es el en su camino hacia SOA y para articular cómo negocio, y debe satisfacer las necesidades de hoy
momento para acordar nuevos enfoques a la emulará las prácticas comprobadas y cómo evi- y las del futuro. Por ejemplo, asegúrese de incluir
creación de políticas. tará las complicaciones. soporte para dispositivos móviles e inalámbricos,
Otras decisiones de conducción importantes que así como de tener suficiente flexibilidad para estar
se toman durante esta fase incluyen: establecer o 2. Alinee las tropas: Contrario a superar el obstácu- preparado para el “próximo gran cambio”.
refinar un Centro de Excelencia (Center of lo del apoyo ejecutivo para su SOA se encuentra el
Excellence / COE) para SOA; definir requisitos adi- desafío de alinear su organización para trabajar y 10. Evite el SOA accidental: Muchas organiza-
cionales tales como actualizaciones a la pensar de nuevas maneras. Para hacer ésto, iden- ciones pueden descubrir que tienen un reposi-
infraestructura de TI; acordar políticas para la tifique y reclute a defensores críticos en cada torio saludable de servicios web que integrará
reutilización del servicio entre las líneas de nego- parte del negocio que darán su apoyo e incluso la mayoría de su SOA. Si bien usted no cree que
cio; implantar mecanismos de financiación para predicarán los esfuerzos SOA. el SOA comienza y termina con una colección
promover la reutilización, y establecer mecanis- de servicios web, recuerde que un SOA debe ir
mos para garantizar los niveles de servicio. 3. Consolide visiones: Elimine las múltiples visiones más allá de los servicios web para dar soporte a
de la información que actualmente flotan por la todos sus procesos de negocio. También debe
Habilitación organización de modo de buscar siempre una brindar un enfoque flexible, extensible y com-
Durante esta fase se llevan a la acción las solu- visión singular, integral y coherente del negocio. ponible para reutilizar y extender las aplica-
ciones según la necesidad de administración. Se ciones y los servicios existentes, así como para
instalan nuevos y mejorados componentes de 4. Reutilización equivale a reutilidad: Identifique y construir nuevos.
tecnología y procesos de management para des- mantenga un repositorio de sus actuales servicios
cubrir y administrar los activos. La comunicación web para evitar la duplicación de esfuerzos. Puede
relativa a los comportamientos y las prácticas que sorprenderle todo el trabajo que ya se ha hecho
se esperan dentro de las comunidades de toma de en distintos sectores de su organización.
Productos de IBM
decisiones tanto de negocios como de tecnología para SOA
informática resulta esencial durante esta fase para 5. Integre los silos: Aunque en teoría muchas de las
poder habilitar la infraestructura de políticas. organizaciones de IT de hoy están buscando inte- IBM ha identificado cinco puntos de
grar y evitar redundancias y al mismo tiempo entrada para permitir a los clientes
Medición maximizar sus inversiones tecnológicas actuales,
Finalmente, todos los acuerdos de management la realidad es que se están dedicando esfuerzos abordar e iniciar más fácilmente un
delineados precedentemente deben ser moni- extraordinarios a seguir manteniendo distintos proyecto SOA. Estos puntos de
toreados, administrados y medidos. Ésto ofrece la sistemas de IT que coexisten pero no están inte- entrada incluyen enfoques centra-
oportunidad de evaluar los resultados y, de ser grados. El enfoque que cuida los centavos pero no dos en las personas, los procesos y
necesario, comenzar un nuevo ciclo de estas cua- los dólares simplemente no funciona cuando se
trata de un SOA.
la información, así como conectivi-
tro fases a fin de refinar y mejorar la eficacia del
gerenciamiento. dad y la capacidad de reutilizar acti-
Más aún, el análisis de la eficacia de tecnología 6. Que los árboles no le impidan ver el bosque: vos existentes.
informática y el monitoreo el cumplimiento de Recuerde que un SOA es una arquitectura, no una

Nuevo GENTOO
BREVES El Gentoo Release Engineering team lanzó
el Gentoo 2006.0. Éste usa el kernel
2.6.15, e incluye el GCC 3.4.4, y el entorno
gráfico XFCE 4.2.2 lightweight.
La característica clave del Gentoo es el
MEPIS se muda Portage. Esta herramienta ayuda a

seguirles la pista a los paquetes de aplica-
ciones instalados en el sistema, y a instalar
a UBUNTU las actualizaciones de éstas. Actualmente, Gentoo

soporta más de 10000 paquetes. Soporta las arquitecturas,
x86, Sparc, Alpha, AMD 64, PowerPC, PowerPC64, y HP PA-RISC.
La próxima versión de SimplyMEPIS, el SimpleMEPIS 6.0, estará
http://www.gentoo.org
basada en Ubuntu Dapper. El cambio hacia Ubuntu fue hecho
para darle a los usuarios un sistema subyacente más estable. La
empresa dice no haberse apartado de Debian; periódicamente
Ubuntu captura el estado de Debian inestable, hace sus mejoras
y correcciones de errores, y luego aporta dichas modificaciones al
código fuente de Debian.
Previamente, MEPIS era miembro de la DCC Alliance (un grupo de vendors
con distros basadas en Linux quienes trabajaban en un sistema base Debian en común).
El cambio ha suscitado cierta ambigüedad acerca del futuro de esta alianza ya que “no está claro
hacia dónde está yendo la DCC”, según Warren Woodford, fundador de MEPIS.
Barracuda Networks, Inc. es una compañía que provee productos de
http://www.mepis.org
firewalls para bloquear spam, virus, spyware y software de mensajería
instantánea. Barracuda Networks comenzó sus actividades en 2002 y
actualmente tiene sus oficinas principales en Mountain View, California
de propiedad. IronPort está impulsando nue-
(tras haberse establecido primero en Cupertino, California, durante sus
vos estándares y ofreciendo productos innova-
primeros tres años).
dores para quienes deben enfrentarse a la
El primer producto de la compañía es el appliance anti-spam llamado
monumental tarea de administrar, proteger y
Barracuda Spam Firewall que corre sobre Linux. Fue lanzado al mercado
IronPort Systems es el principal proveedor de desarrollar sistemas de correo electrónico de
en Octubre de 2003, y ha ganado desde entonces muchos premios
seguridad para correo electrónico corporativo, gran importancia.
otorgados por publicaciones. El producto acepta el tráfico SMTP y ana-
desde pequeñas empresas hasta empresas de Hoy por hoy, IronPort protege a más de 1
liza la fuente y contenido de cada mensaje de correo electrónico
Global 2000. IronPort ha desarrollado una fami- millón de buzones de correo electrónico en
entrante y luego toma la decisión de admitirlo, etiquetarlo, ponerlo en
lia de dispositivos de seguridad para correo México y 4 millones de buzones en el resto de
cuarentena, o bloquearlo. El tráfico permitido y etiquetado, es pasado al
electrónico, denominada IronPort C-Series™, Latinoamérica.
próximo sistema SMTP en la ruta, generalmente un MTA (Mail Transfer
que ofrece un rendimiento de avanzada, facili- IronPort es un startup respaldado por impor-
Agent) de la organización. Varios modelos pueden soportar diferentes
dad de uso sin precedentes y menor costo total tantes firmas de capital.
niveles de tráfico y números de dominios. Estos sistemas pueden esca-
larse para permitir incrementar su capacidad y tolerancia a fallos.
En Abril de 2005 el Barracuda Spyware Firewall fue lanzado al mercado,
y en Febrero de 2006 el Barracuda IM Firewall.
Ya está disponible
el Fedora Core 5
Esta versión de Fedora está repleta de características nuevas y aplicaciones.
Kernel Linux 2.6.16, compilador GCC 4.1 e incluye Web Server Apache 2.2. Entre
otras muchas nuevas características se destacan:
• Integración mejorada con el sistema de virtualización XEN.
• Inclusión del recientemente actualizado Gnome 2.14 y desktop KDE (3.5)
• El nuevo X11 R7.0 de Xorg para incrementar la performance de aplicaciones
en X Window. http://fedora.redhat.com
Libro recomendado:
Humor - Por Severi
Fedora 5 and Red Hat Enterprise Linux 4 Biblia
Autor: Christopher Negus.
SAMBA 4 Preview
El proyecto Samba ha lanzado el Samba basada en la web (SWAT, por sus siglas en
4.0.0TP2 (el TP significa Technology Preview). inglés, Samba Web Administration Tool), una
Samba es una aplicación open source que per- nueva interfaz de scripting que permite a pro-
mite compartir impresoras y archivos en siste- gramas en javascript poder entenderse con los
mas Unix, Linux, y Windows, usando el protoco- “Samba internals” y nuevas características de
lo de Microsoft SMB (Server Message Block) y el su sistema de archivos virtuales (VFS, Virtual
CIFS (Common Internet File System). File System). Samba 4 se encuentra aún en
Entre sus características nuevas, la más impor- desarrollo y no se encuentra disponible para
tante es el soporte de los protocolos de logon entornos de producción.
de Active Directory (LDAP) usados por http://us1.samba.org/samba/ftp/samba4
Windows 2000 y posteriores, además de inte- http://us1.samba.org/samba/history/samba-
gración de la herramienta de administración 4.0.0tp2.html
|82| NEX IT SPECIALIST

Edicion 26 PDF

Cargado por

Copyright:

Formatos disponibles

Edicion 26 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Edicion 26 PDF

Cargado por

Copyright:

Formatos disponibles

DIRECTOR

- Dr. Carlos Osvaldo Rodriguez

Se que disfrutarán de este ejemplar y como siempre, no dejen de contac-

NEX IT SPECIALIST |3|

Seguridad en 03 Nota del Editor 44 Cómo estamos con eso

Linux Nota 4. 09 Eventos

El ojo del 11 Especial Cisco Systems

24 Gusanos y Virus 58 Seguridad en Linux Nota 4

54 26 Ataque a los Datos

Seguridad en Redes Security Assessment

34 Google como Herramienta 72 Modelado y Diseño

|8| NEX IT SPECIALIST www.nexweb.com.ar

Gira Internacional de INETA AVAYA CONNECT 2006

CALENDARIO DE EVENTOS IT EN ARGENTINA PARA EL 2006

www.nexweb.com.ar NEX IT SPECIALIST |9|

También quiso flexibilidad para el futuro. Para que

|12| NEX IT SPECIALIST www.nexweb.com.ar

www.nexweb.com.ar NEX IT SPECIALIST |13|

Plataformas de Aplicaciones y Middleware

Entrega de Aplicaciones Redes Orientadas a Aplicaciones

Servicios Móviles Servicios de Servicios de Cómputos

Campus Sucursal WAN/MAN

Servidor Almacenamiento Clientes

Arquitectura de red Cisco orientada a servicios

permite segmentar la red de forma segura para

|14| NEX IT SPECIALIST www.nexweb.com.ar

La Universidad Nacional de Singapur: SONA en Práctica

|16| NEX IT SPECIALIST www.nexweb.com.ar

FOTO: Purdue News Service photo/Dave Umberger

|18| NEX IT SPECIALIST www.nexweb.com.ar

www.nexweb.com.ar NEX IT SPECIALIST |19|

Cisco ISR P Arbor

Arbor Arbor Hosting

Detección Desvío/Inyección Mitigación

Identificar y Clasificar Ataques Desvío de tráfico “malicioso” Inspección de Paquetes y Limpieza

Arquitectura de la Solución de Protección de DDoS - Cisco

|20| NEX IT SPECIALIST www.nexweb.com.ar

Servicio en Cisco, se enfo- ataques DDoS a servidores administrados de apli-

|22| NEX IT SPECIALIST www.nexweb.com.ar

Por Gastón Tanoira

|24| NEX IT SPECIALIST www.nexweb.com.ar

NEX IT SPECIALIST |25|

|26| NEX IT SPECIALIST www.nexweb.com.ar

|28| NEX IT SPECIALIST www.nexweb.com.ar

defensa ante ataques cada vez más especializados

|30| NEX IT SPECIALIST www.nexweb.com.ar

|32| NEX IT SPECIALIST www.nexweb.com.ar

indexación el searchbot, y en el caso de Google

|34| NEX IT SPECIALIST www.nexweb.com.ar

Configuraciones Default [fig.3]

www.nexweb.com.ar NEX IT SPECIALIST |35|

|36| NEX IT SPECIALIST www.nexweb.com.ar

|38| NEX IT SPECIALIST www.nexweb.com.ar

|40| NEX IT SPECIALIST www.nexweb.com.ar

Cómo funciona un laboratorio de

|42| NEX IT SPECIALIST www.nexweb.com.ar

|44| NEX IT SPECIALIST www.nexweb.com.ar

|46| NEX IT SPECIALIST www.nexweb.com.ar

www.nexweb.com.ar NEX IT SPECIALIST |47|